...

McAfee Web Gateway 7.5.0 製品ガイド

by user

on
Category: Documents
353

views

Report

Comments

Transcript

McAfee Web Gateway 7.5.0 製品ガイド
製品ガイド
改訂 A
McAfee Web Gateway 7.5.0
著作権
Copyright © 2014 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいま
す) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する
注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約
の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購
入額全額をお返しいたします。
2
McAfee Web Gateway 7.5.0
製品ガイド
目次
15
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
15
このガイドの内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1
17
はじめに
Web トラフィックのフィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
アプライアンスの主要機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
アプライアンスの主要コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
2
アプライアンスの配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
高レベルの管理アクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
23
ユーザー インターフェース
ユーザー インターフェースの主要要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
設定機能のサポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
変更の破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
データをリロードして変更を破棄する . . . . . . . . . . . . . . . . . . . . . . . . 26
ユーザー インターフェースでの Web セキュリティ ポリシーの設定 . . . . . . . . . . . . . . . .
27
キー要素ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
キー要素を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30
完全なルール ビュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
31
完全なルール ビューでルール要素を設定する . . . . . . . . . . . . . . . . . . . . .
32
ユーザー インターフェース以外での Web Gateway の管理 . . . . . . . . . . . . . . . . . . . 33
3
35
ルール
フィルタリングについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
フィルタリング サイクル . . . . . . . . . . . . . . . . . . . . . . . . . . . .
35
37
プロセス フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
ルール要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
ユーザー インターフェースでのルールの形式 . . . . . . . . . . . . . . . . . . . . . 39
複雑な条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
41
ルール セット システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
ルール セット ライブラリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
ルール セット タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
ルールに名前を付けて有効にする . . . . . . . . . . . . . . . . . . . . . . . . .
44
46
46
[条件の追加]ウィンドウの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . 47
ルール条件の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
ルール アクションを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
ルール イベントを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
ルール セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
McAfee Web Gateway 7.5.0
製品ガイド
3
目次
ルール セットのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
53
ベスト プラクティス - ルールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
適切なサイクルでルールとルール セットを使用する . . . . . . . . . . . . . . . . . . . 54
フィルタリング プロセスの最後に複雑なプロパティを使用する . . . . . . . . . . . . . . . 55
ルールの条件に使用するプロパティを 2 つ以下にする . . . . . . . . . . . . . . . . . .
56
構成項目へのアクセス制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4
59
リスト
リスト タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
リスト タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
61
リストへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
リスト タブのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . .
63
ルールのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . .
63
リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
新しいリストの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
64
リストのエントリーの入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
さまざまなタイプのリストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
65
ワイルドカード式を URL のグローバル ホワイトリストに追加 . . . . . . . . . . . . . . . 65
URL カテゴリをブロック リストに追加する . . . . . . . . . . . . . . . . . . . . .
66
メディア タイプ フィルター リストにメディア タイプを追加する . . . . . . . . . . . . . . 66
購読リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
購読リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
購読リスト コンテンツの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
購読リストの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
顧客保守リストのコンテンツ ファイルの作成 . . . . . . . . . . . . . . . . . . . . .
70
ベスト プラクティス - マカフィー が維持する購読リストの使い方 . . . . . . . . . . . . .
71
外部リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
73
ルールでの外部リスト データの使用 . . . . . . . . . . . . . . . . . . . . . . . .
74
置換とプレースホルダー . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
外部リスト モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
外部リスト モジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
外部リストの全般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 82
外部リスト システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
82
マップ タイプ リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
マップ タイプ リストを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . 83
プロパティによるマップ タイプ リストの操作 . . . . . . . . . . . . . . . . . . . . . 84
外部リストと購読リストを使用したマップ データの取得 . . . . . . . . . . . . . . . . .
共通カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
85
86
共通カタログ リストの使用を準備する . . . . . . . . . . . . . . . . . . . . . . . . 86
共通カタログ リストのユーザー アカウントのセットアップ . . . . . . . . . . . . . . . . 87
共通カタログ リストに管理者アカウントをセットアップする . . . . . . . . . . . . . . . . 87
共通カタログ リストでの REST インターフェースの使用を有効にする . . . . . . . . . . . .
88
McAfee ePO サーバーに Web Gateway を登録する場合の設定例 . . . . . . . . . . . . . . 88
JavaScript Object Notation データ . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
89
93
設定
設定のタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
設定タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
アクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
設定タブのアクションおよびモジュール設定にアクセスする . . . . . . . . . . . . . . . . 96
ルールのアクションおよびモジュール設定へのアクセス . . . . . . . . . . . . . . . . .
96
システム設定へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
アクションおよびモジュール設定の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 97
4
McAfee Web Gateway 7.5.0
製品ガイド
目次
6
99
プロキシ
プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
明示的プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
100
100
明示的プロキシ モードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
101
ベスト プラクティス - プロキシ HA モードの設定 . . . . . . . . . . . . . . . . . .
102
ベスト プラクティス - 高可用性構成でのサイズ制限 . . . . . . . . . . . . . . . . . . 105
透過型プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
プロキシ HA 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
112
透過型ルーター モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
113
透過型ルーター モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 114
透過型ルーター モードでノードを設定する . . . . . . . . . . . . . . . . . . . . .
114
透過型ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117
透過型ブリッジ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
透過型ブリッジ モードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 119
透過型ブリッジ モードでノードを設定する . . . . . . . . . . . . . . . . . . . . .
119
透過型ブリッジの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
セキュア ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
SOCKS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
SOCKS プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
125
SOCKS プロキシ ルールでのプロパティとイベントの使用 . . . . . . . . . . . . . . . . 125
SOCKS プロキシを設定する . . . . . . . . . . . . . . . . . . . . . . . . . .
SOCKS プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
126
126
インスタント メッセージング . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
127
XMPP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
共通のプロキシ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
131
送信元 IP アドレスの制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142
送信ソース IP アドレスの制御を設定する . . . . . . . . . . . . . . . . . . . . . .
WCCP による FTP トラフィックのリダイレクト . . . . . . . . . . . . . . . . . . . . . .
143
143
FTP トラフィックのリダイレクトに WCCP の使用を設定する . . . . . . . . . . . . . . . 144
FTP ログオンでの Raptor 構文の使用 . . . . . . . . . . . . . . . . . . . . . . . . . .
145
ノード通信プロトコル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
145
ドメインに応じた DNS サーバーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 146
ドメインに応じて DNS サーバーを設定する . . . . . . . . . . . . . . . . . . . . .
147
ドメイン名サービスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
147
リバース HTTPS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
148
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト . . . . . . . .
149
アプライアンスに、DNS エントリによりリダイレクトされた要求を待機させる . . . . . . . .
150
リバース HTTPS プロキシ構成の SSL 証明書 . . . . . . . . . . . . . . . . . . . .
151
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ . . . . . . . . . .
154
プロキシ自動構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161
.pac ファイルを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . .
161
wpad.dat ファイルをダウンロードするルールの作成 . . . . . . . . . . . . . . . . .
162
wpad ホストの自動検出の構成 . . . . . . . . . . . . . . . . . . . . . . . . .
162
Helix プロキシの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163
Helix プロキシの使用の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
7
163
165
認証
ユーザーの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
166
LDAP ダイジェスト認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
167
認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
認証モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
McAfee Web Gateway 7.5.0
製品ガイド
5
目次
異なる認証方法の実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179
認証を構成するためのシステム設定の使用 . . . . . . . . . . . . . . . . . . . . . . . .
180
Kerberos 管理システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 180
アプライアンスを Windows ドメインに参加させる . . . . . . . . . . . . . . . . . .
181
Windows ドメイン メンバーシップの設定 . . . . . . . . . . . . . . . . . . . . .
182
ベスト プラクティス - 配備タイプに合わせた認証の設定 . . . . . . . . . . . . . . . . . . . . 183
明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . .
184
透過型モードの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
WCCP を使用した明示的プロキシ モードの認証 . . . . . . . . . . . . . . . . . . . . 189
インスタント メッセージング認証 . . . . . . . . . . . . . . . . . . . . . . . . . . .
190
インスタント メッセージ認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . 191
インスタント メッセージ認証の認証モジュールの構成 . . . . . . . . . . . . . . . . .
191
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成 . . . . . . . .
192
IM 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192
ワンタイム パスワード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194
ユーザー認証にワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . .
195
許可オーバーライドにワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . 196
ワンタイム パスワードを設定する . . . . . . . . . . . . . . . . . . . . . . . . . 196
認証サーバー (OTP による時間/IP ベースのセッション) ルール セット . . . . . . . . . . .
197
「OTP を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . . . . . 199
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セット . . . . . 201
「OTP と Pledge を使用する許可オーバーライド」ルール セット . . . . . . . . . . . . . . 203
クライアント証明書認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
205
クライアント証明書認証のための証明書の使用 . . . . . . . . . . . . . . . . . . . . 205
クライアント証明書認証のためのルール セット . . . . . . . . . . . . . . . . . . . . 206
認証サーバーへのリクエストのリダイレクト . . . . . . . . . . . . . . . . . . . . . 207
クライアント証明書の認証の実施 . . . . . . . . . . . . . . . . . . . . . . . . . 208
認証サーバー(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . .
208
サーバー証明書の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . 209
証明機関の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . . .
210
アプライアンスのリクエストを受信するリスナー ポートの構成 . . . . . . . . . . . . . .
210
Cookie 認証(X509 認証の場合)ルール セットのインポート . . . . . . . . . . . . . .
211
受信要求のリスナー ポートを変更するためのルール セットの変更 . . . . . . . . . . . . . 212
クライアント証明書のブラウザーへのインポート . . . . . . . . . . . . . . . . . . .
管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
212
214
管理者アカウントの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
214
管理者アカウントの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
215
管理者アカウントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
215
管理者アカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
215
管理者のロールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216
管理者のロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217
外部アカウントの管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
8
217
219
クォータの管理
Web ページ上でクォータおよびその他の制限を課す . . . . . . . . . . . . . . . . . . . . . 220
時間のクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
222
時間のクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
時間のクォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223
時間のクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 223
ボリュームのクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225
ボリュームのクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . .
226
ボリューム クォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
6
ボリュームのクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . .
227
警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
230
McAfee Web Gateway 7.5.0
製品ガイド
目次
警告の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
警告設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
警告ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
231
許可オーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232
許可オーバーライドの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
許可オーバーライド設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
233
許可オーバーライド ルール セット . . . . . . . . . . . . . . . . . . . . . . . .
234
セッションのブロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
ブロック セクションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
ブロック セッションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
セッションのブロック ルール セット . . . . . . . . . . . . . . . . . . . . . . .
クォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
9
Web フィルタリング
236
237
239
ウイルスおよびマルウェアのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . 240
ウイルスとマルウェアのフィルタリングにキー要素を設定する . . . . . . . . . . . . . .
241
ウイルスとマルウェアのフィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . 241
完全なルール ビューでウイルスとマルウェアのフィルタリングを設定する . . . . . . . . . .
242
マルウェア対策モジュールを設定する . . . . . . . . . . . . . . . . . . . . . . .
243
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更 . . . . . . . . . . .
244
マルウェア対策設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245
Gateway Anti-Malware ルール セット . . . . . . . . . . . . . . . . . . . . . . . 250
メディア ストリームのスキャン . . . . . . . . . . . . . . . . . . . . . . . . .
252
マルウェア対策キュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
マルウェア対策の透かしを削除する . . . . . . . . . . . . . . . . . . . . . . . .
254
URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
URL フィルタリングでキー要素を設定する . . . . . . . . . . . . . . . . . . . . .
257
URL フィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . . . . . . . . 257
完全なルール ビューで URL フィルタリングを設定する . . . . . . . . . . . . . . . . . 259
URL フィルター モジュールを詳細する . . . . . . . . . . . . . . . . . . . . . . . 259
URL フィルターー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
260
ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワイトリストに追加する
263
URL フィルタリング ルール セット . . . . . . . . . . . . . . . . . . . . . . . .
268
Dynamic Content Classifier を使用する URL フィルタリング . . . . . . . . . . . . . . 270
固有の URL フィルター データベースの使用 . . . . . . . . . . . . . . . . . . . . .
IFP プロキシを使用した URL フィルタリング . . . . . . . . . . . . . . . . . . . .
271
272
メディア タイプ フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . .
277
メディア タイプ フィルタリングでキー要素を設定する . . . . . . . . . . . . . . . . .
278
メディア タイプ フィルタリングのキー要素 . . . . . . . . . . . . . . . . . . . . .
278
完全なルール ビューでメディア タイプ フィルタリングを設定する . . . . . . . . . . . . . 279
メディア タイプ フィルタリングのプロパティ . . . . . . . . . . . . . . . . . . . .
279
メディア タイプ フィルタリング ルールの変更 . . . . . . . . . . . . . . . . . . . . 280
メディア タイプ フィルタリングのルール セット . . . . . . . . . . . . . . . . . . .
アプリケーション フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . .
アプリケーション フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . .
281
282
284
アプリケーション フィルタリングのリストを作成する . . . . . . . . . . . . . . . . .
285
アプリケーション フィルタリング ルールのリスク レベルを修正する . . . . . . . . . . . .
286
アプリケーション コントロール ルール セット . . . . . . . . . . . . . . . . . . . . 287
ストリーミング メディア フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . 288
ストリーミング メディア フィルタリングの構成 . . . . . . . . . . . . . . . . . . .
290
ストリーミング メディア検出モジュールを設定する . . . . . . . . . . . . . . . . . .
290
ベスト プラクティス - ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . 291
ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
292
グローバル ホワイトリスト登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
293
McAfee Web Gateway 7.5.0
製品ガイド
7
目次
グローバル ホワイトリストの構成 . . . . . . . . . . . . . . . . . . . . . . . .
293
グローバル ホワイトリストのルール セット . . . . . . . . . . . . . . . . . . . . .
294
SSL スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
SSL スキャンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
296
SSL スキャン モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . .
297
デフォルトのルート証明書権限の置換 . . . . . . . . . . . . . . . . . . . . . . .
298
クライアント証明書リスト . . . . . . . . . . . . . . . . . . . . . . . . . . .
299
SSL スキャナー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
302
SSL クライアント コンテキストの設定 . . . . . . . . . . . . . . . . . . . . . . . 303
証明書チェーン設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 304
SSL スキャナー ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 304
ハードウェア セキュリティ モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . 309
ハードウェア セキュリティ モジュールで証明書キーを処理する . . . . . . . . . . . . . .
311
ハードウェア セキュリティ モジュールのローカル使用を設定する . . . . . . . . . . . . .
311
ハードウェア セキュリティ モジュールのリモート使用を設定する . . . . . . . . . . . . .
312
証明書の設定にキー ID を使用する . . . . . . . . . . . . . . . . . . . . . . . .
313
ハードウェア セキュリティ モジュールの設定 . . . . . . . . . . . . . . . . . . . .
313
Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
Advanced Threat Defense を使用する場合のワークフロー . . . . . . . . . . . . . . .
317
Advanced Threat Defense 追加スキャンの条件 . . . . . . . . . . . . . . . . . . .
318
Advanced Threat Defense を使用する場合の設定要素 . . . . . . . . . . . . . . . . . 319
Advanced Threat Defense の使用状況のモニタリング . . . . . . . . . . . . . . . . . 320
既存の Advanced Threat Defense スキャン レポートの使用 . . . . . . . . . . . . . . . 321
実行中の Advanced Threat Defense スキャン結果の使用 . . . . . . . . . . . . . . . . 323
Advanced Threat Defense の使用を設定する . . . . . . . . . . . . . . . . . . . .
323
Advanced Threat Defense のキー要素を設定する . . . . . . . . . . . . . . . . . .
325
Advanced Threat Defense を使用する場合のキー要素 . . . . . . . . . . . . . . . . . 325
Advanced Threat Defense の使用に必要な設定を行う . . . . . . . . . . . . . . . . . 326
ゲートウェイ ATD の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327
「Advanced Threat Defense」ルール セット . . . . . . . . . . . . . . . . . . . .
329
ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ルール セット . . . .
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
330
332
Data Loss Prevention の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 335
デフォルトの分類を使用して Data Loss Prevention を構成する . . . . . . . . . . . . .
336
ディクショナリ エントリを使用して data loss prevention を構成する . . . . . . . . . . . 336
Data Loss Prevention(分類)の設定 . . . . . . . . . . . . . . . . . . . . . . . 338
Data Loss Prevention(ディクショナリ)の設定 . . . . . . . . . . . . . . . . . . . 338
Data Loss Prevention ルール セット . . . . . . . . . . . . . . . . . . . . . . . 339
ICAP サーバーを使用した Data Loss Prevention . . . . . . . . . . . . . . . . . .
10
341
345
サポート機能
進行状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
345
進行状況の表示の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 346
進行状況の表示モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 347
進行状況ページ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
データ トリックル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
348
進行状況の表示(ルール セット) . . . . . . . . . . . . . . . . . . . . . . . .
349
帯域幅スロットル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
350
帯域幅スロットル ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
8
帯域幅スロットルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
351
Web キャッシング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
352
Web キャッシュの有効化の検証 . . . . . . . . . . . . . . . . . . . . . . . . .
352
Web キャッシュ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
352
ネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
354
McAfee Web Gateway 7.5.0
製品ガイド
目次
ネクスト ホップ プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . 354
ネクスト ホップ プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . .
355
ネクスト ホップ プロキシをリストに追加する . . . . . . . . . . . . . . . . . . . .
356
ネクスト ホップ プロキシ モジュールの構成 . . . . . . . . . . . . . . . . . . . . . 356
SOCKS トラフィックのネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . 357
ネクスト ホップ プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
11
361
ネクスト ホップ プロキシ設定を追加する . . . . . . . . . . . . . . . . . . . . . .
361
プロトコル ディテクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
362
ネクスト ホップ プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . .
362
365
ユーザー メッセージ
ユーザーへのメッセージの送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
ユーザー メッセージのテキストを編集する . . . . . . . . . . . . . . . . . . . . . . . .
367
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368
ブロック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
369
リダイレクト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
370
テンプレート エディター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371
12
377
システム構成
初期セットアップのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377
初期セットアップ後のシステム構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
378
一般的な機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 378
ネットワーク システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 378
認証およびクォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 379
Web フィルタリング システム設定 . . . . . . . . . . . . . . . . . . . . . . . .
379
集中管理システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
ログおよびトラブルシューティングに対するシステム設定 . . . . . . . . . . . . . . . . 379
システム設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
[アプライアンス] タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
一般的なアプライアンス機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . .
381
ライセンス設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
381
GTI URL フィードバックの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
382
日時設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384
ファイル サーバー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
385
ユーザー インターフェース設定 . . . . . . . . . . . . . . . . . . . . . . . . .
386
ネットワーク機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . .
388
ネットワーク インターフェースの設定 . . . . . . . . . . . . . . . . . . . . . . .
388
ネットワーク保護設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391
ポート転送設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
391
静的ルート設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
392
システム ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
393
ファイル エディター タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
394
キャッシュ ボリュームのサイズ変更 . . . . . . . . . . . . . . . . . . . . . . . . . . .
395
データベースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396
データベース情報の手動更新 . . . . . . . . . . . . . . . . . . . . . . . . . .
396
自動エンジン更新のスケジュール . . . . . . . . . . . . . . . . . . . . . . . . . 396
閉鎖されたネットワークの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 397
閉鎖ネットワークのアプライアンスの更新 . . . . . . . . . . . . . . . . . . . . . . 397
13
399
一元管理
一元管理構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
400
一元管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
401
一元管理構成にアプライアンスを追加 . . . . . . . . . . . . . . . . . . . . . . . . . .
402
一元管理設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402
McAfee Web Gateway 7.5.0
製品ガイド
9
目次
ノード グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . . . 403
ランタイム グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . .
403
更新グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . 404
14
ネットワーク グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . .
404
ベスト プラクティス - 集中管理構成でのノード グループの設定 . . . . . . . . . . . . . . . .
405
ノードの同期を確認する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
407
スケジュール設定されたジョブを追加 . . . . . . . . . . . . . . . . . . . . . . . . . .
407
一元管理構成でのアプライアンス ソフトウェアの更新 . . . . . . . . . . . . . . . . . . . .
408
一元管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
409
419
クラウド シングル サインオン
クラウド シングル サインオンの設置方法 . . . . . . . . . . . . . . . . . . . . . . . . .
420
プロキシ モードと非プロキシ モードでの SSO プロセス . . . . . . . . . . . . . . . . . . .
421
対応する認証方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423
SSO データソース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
423
サポートされるクラウド サービスの SSO カタログ . . . . . . . . . . . . . . . . . . . . .
423
SSO カタログの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
424
サービスとしての SSO カタログ . . . . . . . . . . . . . . . . . . . . . . . . .
424
コネクター テンプレート (汎用と個別) . . . . . . . . . . . . . . . . . . . . . . . 425
テンプレートを使用してカスタム クラウド コネクターを設定する . . . . . . . . . . . . .
425
カスタム クラウド コネクターを削除する . . . . . . . . . . . . . . . . . . . . . .
426
SSO コネクター リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
427
SSO コネクター リストを使用したクラウド アクセスの設定 . . . . . . . . . . . . . . .
427
クラウド コネクターを SSO コネクター リストに追加する . . . . . . . . . . . . . . . . 427
HTTP クラウド アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . . . .
428
HTTP クラウド アプリケーションの SSO 認証情報モデル . . . . . . . . . . . . . . . .
428
HTTP クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . . .
428
汎用 HTTP クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . .
429
汎用 HTTP コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
430
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . .
SAML シングル サインオンの開始方法 . . . . . . . . . . . . . . . . . . . . . . .
433
433
SAML シングル サインオンの集中管理 . . . . . . . . . . . . . . . . . . . . . . .
435
SAML2 クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . .
436
SAML2 コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 436
汎用 SAML2 クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . . 437
汎用 SAML2 コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 438
SAML シングル サインオンで使用する外部データソースの設定 . . . . . . . . . . . . . .
441
.NET と Java Web アプリケーションへの SSO サービスの提供 . . . . . . . . . . . . . . . . . 443
汎用 IceToken クラウド コネクターを設定する . . . . . . . . . . . . . . . . . . . . 443
汎用 IceToken コネクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 444
エンドユーザーによるアプリケーション ランチパッドの使用 . . . . . . . . . . . . . . . . . .
445
クラウド サービスのブックマークの作成 . . . . . . . . . . . . . . . . . . . . . . . . .
447
ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング . . . . . . . . . . . .
447
シングル サインオン ルール セットのサマリー . . . . . . . . . . . . . . . . . . . . . . .
447
クラウド シングル サインオン設定のキー要素 . . . . . . . . . . . . . . . . . . . . . . .
448
シングル サインオン ルール セットのリファレンス . . . . . . . . . . . . . . . . . . . . . . 450
サービス選択ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . .
451
HTTPS 処理ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . .
454
ランチパッド ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . 454
OTP 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . .
456
ログイン アクション取得ルール セット . . . . . . . . . . . . . . . . . . . . . . . 458
「フォーム認証情報の管理」ルール セット . . . . . . . . . . . . . . . . . . . . . . 462
10
未処理の管理要求ブロック ルール セット . . . . . . . . . . . . . . . . . . . . . .
464
SSO 実行ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . .
464
McAfee Web Gateway 7.5.0
製品ガイド
目次
シングル サインオンのリストと設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
465
シングル サインオン リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 465
15
シングル サインオンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
466
SSO 証明書と秘密鍵の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
468
SSO 問題の解決 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
469
471
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号 . . . . . . . . . . . . . . . . . . . . . . . .
471
クラウド ストレージ データの暗号化と復号を設定する . . . . . . . . . . . . . . . . . . . .
474
データの暗号化と暗号化解除を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . 474
クラウド ストレージ暗号化の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475
16
クラウド ストレージ暗号化サポートの設定 . . . . . . . . . . . . . . . . . . . . . . . .
475
クラウド ストレージ データを手動で復号する . . . . . . . . . . . . . . . . . . . . . . .
476
クラウド ストレージ暗号化ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
476
479
ハイブリッド ソリューション
ハイブリッド ソリューションの使い方 . . . . . . . . . . . . . . . . . . . . . . . . . .
480
ハイブリッド ソリューションを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
481
ハイブリッド ソリューションを設定する . . . . . . . . . . . . . . . . . . . . . . . . .
481
ハイブリッド ソリューションのルール セットを選択する . . . . . . . . . . . . . . . . . . .
482
同期を手動で実行する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
ハイブリッド ソリューションの制限 . . . . . . . . . . . . . . . . . . . . . . . . . . .
483
Web Hybrid の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
485
レガシー ハイブリッド ソリューション . . . . . . . . . . . . . . . . . . . . . . . . . . 486
レガシー ハイブリッド ソリューションの設定の同期 . . . . . . . . . . . . . . . . . .
486
同期のための Web フィルタリングの設定 . . . . . . . . . . . . . . . . . . . . . . 487
17
同期設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
488
Web Hybrid レガシーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . .
488
491
モニタリング
ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
491
ダッシュボードへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . .
492
アラート タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492
グラフおよび表のタブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 495
ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
501
ロギングの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
502
ログ ファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
503
ログ ファイル タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
503
ログ ファイル設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505
ログ ファイル マネージャー設定 . . . . . . . . . . . . . . . . . . . . . . . . .
506
ファイル システム ログ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 508
ログの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509
ログ ハンドラーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
509
ログ ルールの要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
510
ベストプラクティス - ログ ファイル フィールドの追加 . . . . . . . . . . . . . . . . . 511
ベスト プラクティス - ログの作成 . . . . . . . . . . . . . . . . . . . . . . . .
512
ログ ルール セットへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . .
518
ウイルス検出ログ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . .
519
エラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519
エラー ID を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . 519
インシデント情報を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . .
520
エラー処理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
521
エラー処理ルール セットの表示 . . . . . . . . . . . . . . . . . . . . . . . . .
521
ベスト プラクティス - エラー ハンドラーの使い方 . . . . . . . . . . . . . . . . . .
522
McAfee Web Gateway 7.5.0
製品ガイド
11
目次
デフォルト エラー ハンドラー ルール セット . . . . . . . . . . . . . . . . . . . .
524
パフォーマンス測定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531
パフォーマンス情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
532
パフォーマンス測定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . .
532
パフォーマンス情報をログするためのプロパティのルール内での使用 . . . . . . . . . . . . 533
ルール セット処理時間を測定するためのイベントのルール内での使用 . . . . . . . . . . . . 535
SNMP でのイベント モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . .
536
SNMP 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
536
SNMP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 536
McAfee ePO を監視するためのデータの転送 . . . . . . . . . . . . . . . . . . . . . . .
539
ePolicy Orchestrator 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . .
539
ePolicy Orchestrator 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 540
ePO リクエストのバイパス ルール セット . . . . . . . . . . . . . . . . . . . . .
540
McAfee Enterprise Security Manager への syslog データの送信 . . . . . . . . . . . . . . . . 541
syslog データの送信を設定する . . . . . . . . . . . . . . . . . . . . . . . . .
541
データ転送で rsyslog システム ファイルを使用する . . . . . . . . . . . . . . . . . .
541
Syslog データの取集/評価の調整 . . . . . . . . . . . . . . . . . . . . . . . . . 542
syslog データ転送で発生する問題の解決方法 . . . . . . . . . . . . . . . . . . . . . 544
18
547
トラブルシューティング
トラブルシューティング方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
547
ルール追跡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
548
ルール追跡を使用してルール処理の問題をデバッグする . . . . . . . . . . . . . . . . .
550
ルール追跡ペイン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550
ルール追跡を使用して要求のブロック理由を確認する . . . . . . . . . . . . . . . . . . 557
ベスト プラクティス - Web ページに画像が表示されない理由の特定 . . . . . . . . . . . .
558
削除したルール追跡をルール追跡ペインに復元する . . . . . . . . . . . . . . . . . . . 559
ルール追跡を削除する . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
560
フィードバック ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
561
コア ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
561
接続追跡ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562
パケット追跡ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
562
ネットワーク ツールの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563
アプライアンスの構成をバックアップまたは復元する . . . . . . . . . . . . . . . . . . . . . 563
トラブルシューティングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 564
A
567
構成リスト
アクションのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567
ブロック理由 ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 568
エラー ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 569
イベントのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
574
インシデント ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
585
プロパティのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 593
プロパティ (A ~ H) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
593
プロパティ (I ~ Q) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609
プロパティ (R ~ W) . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
639
ワイルドカード式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
654
ワイルドカード式のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . .
654
重要な特殊 glob 文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 655
重要な特殊正規表現文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . 656
B
REST インターフェース
661
REST インターフェースの使用の準備 . . . . . . . . . . . . . . . . . . . . . . . . . .
662
インターフェースの使用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . 662
12
McAfee Web Gateway 7.5.0
製品ガイド
目次
インターフェースにアクセスする権限を与える . . . . . . . . . . . . . . . . . . . . 662
REST インターフェースの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663
データ転送ツールとしての curl の使用 . . . . . . . . . . . . . . . . . . . . . . . 664
インターフェースへの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . .
665
リソースの要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
667
基本アクティビティの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . .
668
個々のアプライアンスでの作業 . . . . . . . . . . . . . . . . . . . . . . . . .
669
システム ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 671
C
ログ ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
671
トラブルシューティング用にアップロードされたファイルの操作 . . . . . . . . . . . . .
672
リストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
674
REST インターフェースを操作するためのサンプル スクリプト . . . . . . . . . . . . . . . . .
678
サードパーティ ソフトウェア
681
サードパーティ ソフトウェアのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 681
索引
McAfee Web Gateway 7.5.0
689
製品ガイド
13
目次
14
McAfee Web Gateway 7.5.0
製品ガイド
まえがき
®
この製品ガイドでは、McAfee Web Gateway バージョン 7.5.0 の特徴と機能、製品の概要、製品の設定と保守の
手順について詳しく説明します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』、用語 または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
McAfee Web Gateway 7.5.0
製品ガイド
15
まえがき
製品マニュアルの検索
このガイドの内容
このガイドは、分かりやすい構成になっています。必要な情報を簡単に探すことができます。
McAfee Web Gateway アプライアンスが、主要機能、管理者の活動、配備オプション、およびシステム アーキテ
クチャ、管理アクティビティと共に概説されて紹介されています。
その後に、アプライアンスのアプライアンスの設定方法、およびプロキシ、認証、フィルタリング機能の設定まで最
初に行う必要のある手順の実行方法を説明します。
これらの主要機能の構成は、別の章で説明します。
ドメイン名サービス、ポート転送、またはスタティック ルートなどのアプライアンス システムの機能を構成する方
法や一元管理構成でノードとしてアプライアンスをセットアップする方法も説明します。
モニタリングとトラブルシューティングに関する章は、ガイドの巻末に提供されています。
付録には、アクション、イベント、プロパティなど、重要な設定要素のリストが含まれます。
製品マニュアルの検索
製品のリリース後は、マカフィー のオンライン ナレッジセンターに製品情報が掲載されます。
タスク
16
1
マカフィー ServicePortal (http://support.mcafee.com) に移動して、[ナレッジセンター] をクリックしま
す。
2
製品名を入力してバージョンを選択し、[検索] をクリックしてマニュアルのリストを表示します。
McAfee Web Gateway 7.5.0
製品ガイド
1
はじめに
McAfee® Web Gateway (Web Gateway) アプライアンスは、包括的な Web セキュリティでネットワークを保護
します。
これは、ウイルスやその他のマルウェア、不適切なコンテンツ、データ漏えいおよび関連の問題など、Web から発
生する脅威に対してネットワークを保護します。また、法令順守や生産的な作業環境も保証します。
目次
Web トラフィックのフィルター
アプライアンスの主要機能
アプライアンスの主要コンポーネント
アプライアンスの配備
高レベルの管理アクティビティ
Web トラフィックのフィルター
アプライアンスは、ネットワークを Web に接続し、そのネットワークを出入りする Web トラフィックをフィルタ
ーするゲートウェイとしてインストールされます。
実装された Web セキュリティ ルールに従って、ネットワーク内から Web にユーザーが送信する要求と、Web か
ら返される応答をフィルタリングします。要求または応答とともに送信される埋め込みオブジェクトもフィルタリン
グされます。
McAfee Web Gateway 7.5.0
製品ガイド
17
1
はじめに
アプライアンスの主要機能
不正なコンテンツや不適切なコンテンツはブロックされ、有効なコンテンツは通過が許可されます。
図 1-1 Web トラフィックのフィルター
1 - ユーザーのネットワーク
2 - Web Gateway
3 - Web
Web に要求を送信します。
要求と応答をフィルタリングします。
ネットワークに応答を送信します。
アプライアンスの主要機能
Web トラフィックのフィルターは複雑なプロセスです。アプライアンスの主要機能は、以下のようないくつかの方
法で利用されます。
Web オブジェクトのフィルタリング
アプライアンスの特殊なウイルス対策機能とマルウェア対策機能によって Web トラフィックがスキャンおよびフィ
ルターされ、オブジェクトが感染していた場合、その Web オブジェクトはブロックされます。
™
その他の機能は、Global Threat Intelligence システムからの情報を使用するか、メディア タイプおよび HTML フ
ィルタリングを行って要求された URL をフィルタリングします。
それらはそれら自体をフィルタリングしない機能によりサポートされますが、ユーザーの要求を数えたり、Web オ
ブジェクトのダウンロードの進行状況を示すなどのジョブを行います。
ユーザーのフィルタリング
内部および外部データベースと NTLM、LDAP、RADIUS、Kerboros、その他などの方法から情報を使用して、アプ
ライアンスの認証機能によりユーザーをフィルタリングします。
通常のユーザーをフィルタリングするのに加えて、このアプライアンスは管理権限と責任をコントロールできるよう
にします。
Web トラフィックのインターセプト
これは、Web オブジェクトまたはユーザーのフィルタリングを行うための前提条件です。HTTP、HTTPS、FTP、
Yahoo、ICQ、Windows Live Messenger などのさまざまなネットワーク プロトコルを使用して、アプライアンス
のプロキシ機能により実行されます。
アプライアンスは明示的プロキシ モード、あるいは透過的なブリッジまたはルーター モードで実行できます。
18
McAfee Web Gateway 7.5.0
製品ガイド
1
はじめに
アプライアンスの主要機能
フィルター処理のモニタリング
アプライアンスのモニタリング機能は、フィルタリング プロセスの継続的な概要を示します。
ダッシュボードンは、アラート、Web の使用状況、フィルタリング アクティビティ、システムの動作に関する情報
が表示されます。ロギングと追跡機能も使用できます。また、データを McAfee ePolicy Orchestrator (McAfee
ePO) サーバーに転送したり、SNMP エージェントでイベントを監視することもできます。
®
™
McAfee Web Gateway 7.5.0
製品ガイド
19
1
はじめに
アプライアンスの主要コンポーネント
アプライアンスの主要コンポーネント
McAfee Web Gateway アプライアンスではいくつかのサブシステムを使用して、そのオペレーティング システム
に基づいてフィルターおよびその他の機能を実行します。
アプライアンス サブシステム
アプライアンスおよびそのモジュールのサブシステムは次を実行します。
•
Core サブシステム — Web トラフィックを傍受するためのプロキシ モジュールと、Web セキュリティ ポリシ
ーを構成しているフィルタリング ルールを処理するためのルール モジュールを提供します。
このサブシステムはさらに、フィルタリング ルールのための特別なジョブを完了するモジュール(エンジンとも
呼ばれる)を備えており、たとえば、マルウエア対策エンジン、URL フィルター エンジン、または認証エンジン
など、自分で構成することができます。
フロー マネージャー モジュールは、モジュール間の効率的な協力関係を保証します。
•
コーディネーター サブシステム — アプライアンスで処理されるすべての構成データを保管します
このシステムはまた、更新と集中管理機能も備えています。
•
コンフィギュレーター サブシステム — ユーザー インターフェースを提供します(内部サブシステムは
Konfigurator です)。
図 1-2 アプライアンス サブシステムおよびモジュール
オペレーティング システム
アプライアンスのサブシステムは、そのオペレーティング システムである MLOS2(McAfee Linux Operating
System バージョン 2)に依存します。
このバージョンは、ユーザーがこれらの製品の 2 つ以上に責任を持つ管理者である場合、学習努力を軽減する
McAfee Email Gateway など、他の Linux ベースの McAfee セキュリティ製品でも使用されます。
20
McAfee Web Gateway 7.5.0
製品ガイド
はじめに
アプライアンスの配備
1
オペレーティング システムは、フィルタリング ルールがトリガーするアクション、ファイルとネットワークの読み
取り、書き込み、およびアクセス制御を実行する機能を備えています。
構成デーモン(sysconfd daemon)は、オペレーティング システムで変更された構成設定を実装します。
アプライアンスの配備
McAfee Web Gateway アプライアンスを設定する前に、その使用方法を検討します。異なるプラットフォームで実
行し、ネットワーク統合の異なるモードを構成できます。一元管理構成のノードとして、複数のアプライアンスをセ
ットアップおよび管理もできます。
プラットフォーム
アプライアンスを異なるプラットフォームで実行できます。
•
ハードウェアベースのアプライアンス— 物理ハードウェア プラットフォーム上
•
仮想アプライアンス — 仮想マシン上
ネットワーク統合
ネットワークで、アプライアンスは異なるモードで Web トラフィックをインターセプト、フィルタリング、および
送信できます。
•
明示的プロキシ モード — アプライアンスが通信するクライアントがそれを認識しています。
「明示的に」それら
を構成して、トラフィックをアプライアンスに仕向けます。
•
透過的モード — クライアントはアプライアンスを認識していません。
•
透過型ブリッジ — アプライアンスは、クライアントと Web の間で「見えない」ブリッジとして動作します。
これに対してクライアントを構成する必要があります。
•
透過的ルーター — アプライアンスは、ユーザーが記入する必要があるルーティング テーブルに従ってトラフ
ィックを仕向けます。
管理と更新
アプライアンスを管理し、種々の方法で更新を配布することができます。
•
スタンドアロン — アプライアンスを個別に、アプライアンスが他のアプライアンスから更新を受信しないように
管理します。
•
一元管理 — アプライアンスを複雑な構成のノードとしてセットアップし、そのユーザー インターフェースでほ
かのノードを、更新の配布を含めて管理します。
また、他のノードでアプライアンスを管理し、アプライアンスが他のノードから更新を受信するように設定する
ことができます。
高レベルの管理アクティビティ
アプライアンスの管理には、ネットワークの要件に応じて、異なるアクティビティが含まれます。
以下は推奨される高レベルの管理アクティビティです。
McAfee Web Gateway 7.5.0
製品ガイド
21
1
はじめに
高レベルの管理アクティビティ
タスク
1
初期設定を実行します。
セットアップ手順には、ホスト名や IP アドレスなどのシステム パラメーターの設定、フィルタリング規則の初
期システムの実装およびライセンス付与などが含まれます。
この段階では、2 つのウィザードが利用可能です。1 つは初期構成用のものであり、もう 1 つはフィルタリング
規則用のものです。
2
プロキシ機能を設定します。
初期セットアップ後に、アプライアンスに明示的プロキシ モードと HTTP プロトコルが事前設定されます。
この設定を変更し、アプライアンスが通信するその他のネットワーク コンポーネントを構成することもできます。
3
認証の実施を検討します。
デフォルトでは、アプライアンスに認証は実施されません。
実施する場合、NTML、LDAP、Kerberos、およびその他の数多くの異なる認証方法から選択できます。
4
Web フィルタリングを設定します。
ウイルスとマルウェア フィルタリング、URL フィルタリング、メディア タイプ フィルタリング、その他のフィ
ルタリング関連プロセスを初期設定する間に実施するルールを見直すことができます。
これらのルールを微調整して、ネットワークの要件に対応するように適応させることができます。
フィルタリング規則の操作には、これらの規則が使用するリストの維持とルール アクションとフィルタリング プ
ロセスに含まれるモジュールの設定の構成が含まれます。
5
アプライアンスの振る舞いを監視します。
要件に従ってアプライアンスを設定したときに、フィルタリング プロセスを実行する方法を監視できます。
また、CPU とメモリ使用量、アクティブな接続数、その他のシステム関数をモニタリングすることもできます。
これらのアクティビティに関する詳細は、セットアップ、認証、または Web フィルタリング の下のそれらを取り
上げているセクションを参照してください。
22
McAfee Web Gateway 7.5.0
製品ガイド
2
ユーザー インターフェース
ユーザー インターフェースでは、ルール、リスト、設定、アカウント、Web Gateway の他の管理機能を操作でき
ます。重要なフィルタリング パラメーターやシステム パラメーターに関する情報を表示し、トラブルシューティン
グを行うこともできます。
目次
ユーザー インターフェースの主要要素
設定機能のサポート
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
ユーザー インターフェース以外での Web Gateway の管理
McAfee Web Gateway 7.5.0
製品ガイド
23
2
ユーザー インターフェース
ユーザー インターフェースの主要要素
ユーザー インターフェースの主要要素
以下のスクリーン ショットには、ユーザー インターフェースの主要要素が表示されています。
図 2-1 ユーザー インターフェース
以下の表では、ユーザー インターフェースの主要要素について説明します。
表 2-1 ユーザー インターフェースの主要要素
24
オプション
定義
システム情報
行
システムとユーザーの情報が表示されます。
[ユーザー設
定]
ウィンドウが開き、ユーザー インターフェースを設定したり、パスワードの変更を行うことがで
きます。
[ログアウト]
ユーザー インターフェースからログオフします。
ヘルプ アイコ
ン
オンライン ヘルプが表示されます。
ページ内の情報を参照したり、ツリー構造に従ってページを移動することができます。また、全文
検索を実行したり、インデックス項目で検索できます。
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー インターフェース
ユーザー インターフェースの主要要素
2
表 2-1 ユーザー インターフェースの主要要素 (続き)
オプション
定義
最上位メニュ
ー バー
以下のメニューから 1 つを選択することができます。
• [ダッシュボード] - イベント、Web の使用、フィルタリング、システムの動作に関する情報が
表示されます。
• [ポリシー] - Web セキュリティ ポリシーを設定します。
• [設定] - アプライアンスのシステム設定を行います。
• [アカウント] - 管理者アカウントを管理します。
• [トラブルシューティング] - アプライアンスで発生した問題を解決します。
[検索]
ウィンドウが開き、次の検索オプションを選択できます。
• [オブジェクトの検索] - ルール セット、ルール、リスト、設定を検索します。
入力フィールドに検索語句を入力すると、指定した語句に一致する名前のオブジェクトがすべて
表示されます。
• [参照するオブジェクトの検索] - リスト、プロパティ、設定を選択して検索すると、選択項目
が使用されているルールがすべて表示されます。
[変更を保存]
変更を保存します。
タブ バー
現在選択されている最上位メニューのタブが表示されます。
最上位メニューには次のタブがあります。
• [ダッシュボード]
• アラート
• グラフと表
• [ポリシー]
• ルール セット
• リスト
• 設定
• テンプレート
• [設定]
• アプライアンス
• ファイル エディター
• [アカウント]
• 管理者アカウント
[トラブルシューティング] にはタブがありません。
ツールバー (タ 様々なツールを使用できます。表示されるツールは、選択したタブによって異なります。
ブ上)
ナビゲーショ
ン ペイン
ルール、リスト、設定などの項目がツリー構造で表示されます。
設定ペイン
ナビゲーション ペインで選択されている項目の設定オプションを使用できます。
McAfee Web Gateway 7.5.0
製品ガイド
25
2
ユーザー インターフェース
設定機能のサポート
設定機能のサポート
ユーザー インターフェースには、設定を行うための様々な機能が用意されています。
表 2-2 管理機能のサポート
オプション
定義
黄色い三角形
空のリストか、入力が必要なリスト名と一緒に表示されます。
フィルター リストが作成されても、細かい情報が必要な場合、ポリシー設定ウィザードで入
力されない場合があります。
黄色の挿入テキスト ユーザー インターフェースの項目の上にマウス ポインターを置くと、その項目の意味と使用
方法が表示されます。
OK アイコン
入力項目が有効な場合に、ウィンドウに表示されます
エラー アイコン
入力項目が無効な場合に、ウィンドウに表示されます
メッセージ テキス
ト
エラー アイコンと一緒に表示され、無効な入力項目の情報が表示されます。
薄赤色の入力フィー 無効な入力があることを示します。
ルド
[変更を保存]
項目を変更すると、ボタンが赤になります。
変更を保存すると再び灰色になります。
赤い三角形
変更された項目が保存されていない場合に、タブ、アイコン、リスト項目と一緒に表示されま
す。
たとえば、ルールを変更した場合、以下の場所に赤い三角形が表示されます。
• 設定ペインのルール エントリの行
• ルール セットのアイコン
• [ルール セット] タブで突き出ている部分
• 最上位メニュー バーの [ポリシー] アイコンの上
変更の破棄
ユーザー インターフェースで管理者アクティビティを実行している場合、それらを保存する代わりに作成した変更を
破棄できます。
変更を破棄するための 1 つのオプションは、保存していない変更で本当に行うかどうかに関わらず、ログオフを実行
する場合の正しい答えです。
もう 1 つのオプションは、変更を破棄し、構成データをリロードするためのものです。
構成データのリロードは、最後に保存した後、既存の構成を復元します。これは、他の管理者によって完了できます。
アプライアンスの初期セットアップの後にまだ変更が保存されていない場合、初期セットアップ構成が復元されます。
データをリロードして変更を破棄する
既存の構成データをリロードして、ユーザー インターフェースで構成された変更を破棄できます。
タスク
1
[変更を保存する]ボタンの隣にある小さく黒い三角形をクリックします。
[バックエンドからデータをリロードする]を読み込む挿入が表示されます。
26
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー インターフェース
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
2
2
挿入をクリックします。
保留の変更が破棄され、構成データがリロードされます。
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
ユーザー インターフェースで、ネットワークの Web セキュリティ ポリシーを設定できます。
Web Gateway では、様々なルールで Web セキュリティ ポリシーを実装します。これらのルールは、ルール セッ
トに分類されています。ルール セットのルールは通常、特定の領域の Web セキュリティを処理します。たとえば、
マルウェア対策フィルタリング、URL フィルタリング、メディア タイプ フィルタリング用のルールが用意されてい
ます。
これらのルールとルール セットは、ユーザー インターフェースで編集したり、削除することができます。また、新
しいルールやルール セットも作成できます。
ルールは複数の要素から構成されます。たとえば、URL フィルタリング ルールは、URL のカテゴリ リスト、ブロッ
ク アクションなどの要素から構成されます。ユーザーが Web アクセス要求を送信したときに、送信された URL が
カテゴリのいずれかに該当すると、要求がブロックされます。
このルールを Web セキュリティ ポリシーに追加すると、オンライン ショッピング、娯楽、ドラッグなどのカテゴ
リに該当する Web サイトへのアクセスをブロックできます。
ポリシー タブ
ユーザー インターフェースには、Web セキュリティ ポリシーを設定できる 3 つのタブが表示されます。
•
[ルール セット] タブ - このタブでは、Web セキュリティ ポリシーの設定に関するすべての操作を実行できま
す。
このタブのルールで使用されているリストや設定も操作できます。
•
[リスト] タブ - このタブでは、ルールで使用されているリストにアクセスできます。リスト ツリーからリスト
を選択して設定できます。
リストの使用方法については、「リスト」を参照してください。
•
[設定] タブ - このタブでは、ルールで使用されている設定にアクセスできます。設定ツリーから設定を選択し
て設定できます。
Web Gateway のルールでは、設定は、特定の値が設定されるパラメーターのグループを意味します。2 種類の
設定があります。
•
モジュールの設定 (エンジンともいいます) では、ルール処理のジョブを実行するモジュールを設定します。
たとえば、マルウェア対策モジュールは、Web オブジェクトをスキャンしてウイルスやマルウェアの感染を
検査します。
•
アクションの設定では、ルールが実行するアクション (ブロックなど) を設定します。
モジュールまたはアクションには様々な設定があります。モジュールは設定に応じて様々な方法でジョブを実行
します。また、アクションも様々な方法で実行されます。
設定の使用方法については、「設定」を参照してください。
[ルール セット] タブの使用方法
[ルール セット] タブでは、ルール セット (URL フィルタリング ルール セットなど) を選択して、ルールを設定し
ます。
McAfee Web Gateway 7.5.0
製品ガイド
27
2
ユーザー インターフェース
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
ルール セットには 2 つのビューがあります。
•
ルールのキー要素 - このビューでは、特定のルール セットのキー要素が表示されます。すべての要素を含む完
全なルールは設定できません。
キー要素は、Web セキュリティ ポリシーを設定するときに変更頻度の高い要素です。このルール セット ビュー
では、これらの要素に限定して操作を行うことができます。
このビューは、次の場合に表示されます。
•
デフォルトのルール セットを選択した場合
•
ルール セット ライブラリからルール セットをインポートした場合
このビューに表示されないライブラリ ルール セットもあります。
独自に作成したルール セットの場合、このビューは表示されません。
以下では、このビューで設定可能なキー要素の例を示します。
図 2-2 キー要素の例 - URL ホワイトリスト
URL ホワイトリストは、URL フィルタリング ルールなどで使用されるルールの要素です。
[編集] をクリックして、編集するリストを開きます。
•
完全なルール - このルール セット ビューには、完全なルールが表示されます。特定のルール セットに含まれる
すべてのルールが表示されます。これらのルールから個々の要素 (キー要素を含む) を選択して設定できます。
また、新しいルールを作成したり、削除することもできます。
両方のビューで表示されるデフォルトのルール セットまたはライブラリ ルール セットを選択するには、完全なル
ール ビューで操作を行う前にキー要素ビューを終了する必要があります。キー要素ビューを終了すると、すべての
変更を破棄するか、ルール セットを再インポートするまでこのビューに戻ることはできません。
たとえば、URL ホワイトリストは、URL フィルタリング ルールのキー要素です。完全なルール ビューでは次の
ように表示されます。
図 2-3 完全なルール ビューで表示された要素 - URL ホワイトリスト
[URL ホワイトリスト] をクリックして、編集するリストを開きます。
関連トピック:
29 ページの「キー要素ビュー」
31 ページの「完全なルール ビュー」
28
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー インターフェース
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
2
キー要素ビュー
キー要素ビューには、ルール セットに含まれているルールのキー要素が表示されます。このビューでは、キー要素を
設定できます。
図 2-4 キー要素ビュー
キー要素ビューのオプション
以下の表では、キー要素ビューのオプションについて説明します。
表 2-3 キー要素ビューのオプション
オプション
定義
[ルール セット
名] フィールド
キー要素が含まれているルール セットのデフォルト名が表示されます。このフィールドでは、こ
の名前を編集できます。
[ルール セット
の説明] フィー
ルド
キー要素が含まれているルール セットの説明が表示されます。このフィールドでは、説明を編集
できます。
[有効]
選択すると、現在設定中のキー要素を含むルール セットが有効になります。
McAfee Web Gateway 7.5.0
製品ガイド
29
2
ユーザー インターフェース
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
表 2-3 キー要素ビューのオプション (続き)
オプション
定義
[ビューのロッ
ク解除]
キー要素ビューを終了し、対応する完全なルール ビューが表示されます。
確認メッセージが表示されます。キー要素ビューを終了すると、すべての変更を破棄するか、ルー
ル セットを再インポートするまでこのビューに戻ることはできません。
ルール セット ツリーで、ルール セット名の前にあるアイコンに、現在有効になっているビュー
が表示されます。
キー要素ビューのルール セット
完全ルール ビューのルール セット
• ネストされたルール セットを操作するには、ネストしているルール セットの [ビューのロック
解除] をクリックします。
ネストされたルール セットがルール セット ツリーに表示されます。それぞれのルール セッ
トで完全ルール セット ビューが有効になっています。
• デフォルトの共通ルールルール セットでネストされているルール セットを表示するには、その
ルール セットを展開します。
ネストされたルール セットの最後のルール セットでは完全ルール ビューが有効になっていま
すが、他のルール セットはキー要素ビューで表示されます。
ルール セットのコンテキスト メニューで [ロックの解除] オプションを使用すると、同
時に複数のルール セットでキー要素ビューを解除できます。
1 1 つまたは複数のルール セットを同時に選択して右クリックし、[ロックの解除] を
選択します。
ネストされたルール セットを含むルール セットを展開すると、ネストされたルール
セットを 1 つ以上選択できます。
2 キー要素ビューの終了を確認します。
選択したすべてのルール セットで完全ルール ビューが有効になります。
[権限]
現在設定中のキー要素を含むルール セットへのアクセスを許可するユーザーを設定します。
ルール セット
のキー要素
キー要素はルール セットによって異なります。
関連する機能のキー要素はグループとして表示されます。各グループの先頭にはグループ ヘッ
ダーが付きます。
たとえば、URL フィルタリングのキー要素の場合、[基本フィルタリング]、[SafeSearch] など
のグループにキー要素が表示されます。
これらのグループには基本的な URL フィルタリングのキー要素が表示されます。これらのキー
要素は、フィルタリング プロセスの SafeSearch などの機能でも使用されます。
キー要素を設定する
以下では、Web セキュリティ ルールのキー要素を設定する簡単なタスクについて説明します。
1 つの URL が URL ホワイトリストに入力されています。このホワイトリストは、デフォルトの URL フィルタリン
グ ルール セットのルール要素です。
Web Gateway が Web オブジェクトへのアクセス要求を受信したときに、要求に含まれている URL がホワイトリ
ストに登録されていると、この URL にフィルタリングを実行しません。これにより、フィルタリングの時間が短く
なり、許可された Web オブジェクトに簡単にアクセスできます。
30
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー インターフェース
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
2
この例での URL のエントリは http://www.mcafee.com/* です。ワイルドカード要素 (*) を使用している
ので、このエントリに一致する URL を含むすべての要求が URL フィルタリングの対象外になります。たとえば、
http://www.mcafee.com/us/products/web-gateway.aspx も URL フィルタリングをスキップしま
す。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。
このルール セットに含まれているルールのキー要素が設定ペインに表示されます。
3
[基本フィルタリング] で、[URL ホワイトリスト] の横にある [編集] をクリックします。
[リストの編集] ウィンドウが開きます。
4
ホワイトリストに URL を入力します。
a
[リスト コンテンツ] で [追加] アイコンをクリックします。
[ワイルドカード式の追加] ウィンドウが開きます。
b
[ワイルドカード式] フィールドに http://www.mcafee.com/* と入力します。
c
[OK] をクリックします。
[ワイルドカード式の追加] ウィンドウが閉じ、[リストの編集] ウィンドウに URL が表示されます。
5
[OK] をクリックします。
[リストの編集] ウィンドウが閉じます。
6
[変更の保存] をクリックします。
完全なルール ビュー
完全なルール ビューには、ルール セットに含まれるすべてのルールが表示されます。このビューでは、キー要素を
含む要素を操作できます。
ルールを編集したり、削除できます。また、独自のリストを作成することもできます。ルール セットの編集、削除、
作成もできます。既存のルールや独自のルールを使用して新しいルール セットを作成できます。
McAfee Web Gateway 7.5.0
製品ガイド
31
2
ユーザー インターフェース
ユーザー インターフェースでの Web セキュリティ ポリシーの設定
Web Gateway のルール セット ライブラリやオンラインのルール セット ライブラリからルール セットをインポー
トすることもできます。これらのルール セットとルールは、他のルールやルールセットと同じ方法で操作することが
できます。
図 2-5 完全なルール ビュー
完全なルール ビューの詳細については、「ルール」を参照してください。
完全なルール ビューでルール要素を設定する
以下では、完全なルール ビューで Web セキュリティ ルールの要素を設定する簡単なタスクについて説明します。
1 つの URL が URL ホワイトリストに入力されています。このホワイトリストは、デフォルトの URL フィルタリン
グ ルール セットのルール要素です。この手順は、キー要素ビューで行う場合とほとんど同じです。URL ホワイトリ
ストへのアクセス方法が違うだけです。
Web Gateway が Web オブジェクトへのアクセス要求を受信したときに、要求に含まれている URL がホワイトリ
ストに登録されていると、この URL にフィルタリングを実行しません。これにより、フィルタリングの時間が短く
なり、許可された Web オブジェクトに簡単にアクセスできます。
この例での URL のエントリは http://www.mcafee.com/* です。ワイルドカード要素 (*) を使用している
ので、このエントリに一致する URL を含むすべての要求が URL フィルタリングの対象外になります。たとえば、
http://www.mcafee.com/us/products/web-gateway.aspx も URL フィルタリングをスキップしま
す。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。
このルール セットに含まれているルールのキー要素が設定ペインに表示されます。
3
キー要素ビューを終了するには、[ビューのロック解除] をクリックします。
キー要素ビューの終了を確認するメッセージが表示されます。終了すると、このビューに戻ることはできません。
32
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー インターフェース
ユーザー インターフェース以外での Web Gateway の管理
4
2
[はい] をクリックします。
完全なルール ビューが表示されます。
5
[URL ホワイトリストに一致する URL を許可する] で、[URL ホワイトリスト] をクリックします。
[リストの編集] ウィンドウが開きます。
6
ホワイトリストに URL を入力します。
a
[リスト コンテンツ] で [追加] アイコンをクリックします。
[ワイルドカード式の追加] ウィンドウが開きます。
b
[ワイルドカード式] フィールドに入力します。例: http://www.mcafee.com/*
c
[OK] をクリックします。
[ワイルドカード式の追加] ウィンドウが閉じ、[リストの編集] ウィンドウに URL が表示されます。
7
[OK] をクリックします。
[リストの編集] ウィンドウが閉じます。
8
[変更の保存] をクリックします。
ルールとルール セットの操作方法については、「ルール」を参照してください。
ユーザー インターフェース以外での Web Gateway の管理
標準のユーザー インターフェースにログオンしなくても、別のインターフェースを使用して Web Gateway を管理
することができます。このインターフェースは REST (Representational State Transfer) インターフェースとい
います。
REST インターフェースを使用すると、特定の Web Gateway アプライアンスとこのアプライアンスに接続するア
プライアンスの操作を管理することができます。たとえば、アプライアンスの電源を切ったり、再起動することがで
きます。また、リストや設定の操作や更新も実行できます。
REST インターフェースの基本的な使用方法については、このガイドの付録にある「REST インターフェース」を参
照してください。インターフェースと通信を行うためのサンプル スクリプトも掲載されています。
McAfee Web Gateway 7.5.0
製品ガイド
33
2
ユーザー インターフェース
ユーザー インターフェース以外での Web Gateway の管理
34
McAfee Web Gateway 7.5.0
製品ガイド
3
ルール
Web フィルタリングと権限はルールにより制御され、ネットワークのニーズに合わせて実装および変更できます。
ルールはグループ化され、ルール セットで使用可能になり、それぞれは通常はフィルタリング アクティビティの特
定のフィールドを対象としています。たとえば、ウイルスとマルウェア フィルタリング ルール セット、URL フィル
タリング ルール セット、認証ルール セットなどがある場合があります。
アプライアンスの初期セットアップ時に、ルール セットのデフォルトのシステムが実装されます。これらのルールと
ルール セットを見直し、それらを変更および削除し、固有のルールおよびルール セットをしたり、固有の完全なシ
ステムさえも作成できます。
さらに、その他のルール セットと同じ方法でライブラリからルール セットをインポートし、それらを変更できます。
目次
フィルタリングについて
ルール要素
ルール セット
ルール セット システム
ルール セット ライブラリ
ルール セット タブ
ルールの作成
ルール セットの作成
ルール セットのインポート
ベスト プラクティス - ルールの設定
構成項目へのアクセス制限
フィルタリングについて
フィルタリング処理は、ネットワークの Web セキュリティを保証するために、実装ルールを使用するアプライアン
スで実行されます。
この処理は Web トラフィックをフィルターします。茶葉を引っかけて取り除き、すきまを通して液体を流れさせる
茶こしのように、一部のオブジェクトをブロックし、他は通過させます。
この処理は茶葉と液体はどのように区別するのでしょうか?茶こし器の場合は、明らかにサイズが主要な概念として
使用されています。大きすぎるものは通過できません。
McAfee Web Gateway 7.5.0
製品ガイド
35
3
ルール
フィルタリングについて
同様に、フィルタリングの判断をするために、アプライアンスのフィルタリング処理は Web オブジェクトが持つ、
あるいは Web オブジェクトに何らかの方法で関連する、あらゆる種類のプロパティのルールを使用します。
フィルターされたオブジェクトのプロパティ
フィルタリング処理でチェックされた Web オブジェクトのプロパティは、たとえば、ウイルスに感染しています。
Web オブジェクトはウイルスに感染するプロパティを持つ場合があります。さらに簡単に言えば、ウイルスに感染
する可能性があります。
その他の例では、特定の URL カテゴリーまたは特定の IP アドレスを持つプロパティに属するプロパティの場合があ
ります。
すると、これらのプロパティおよびその他のプロパティについて、以下のような疑問が生じます。
•
特定の Web オブジェクトにおいて、プロパティ p の値は?
•
そして、この値が x の場合、どのようなアクションが必要なのだろうか?
2 つめの質問に答えると、以下のルールに導かれます。
プロパティ p の値が x である場合、アクション y が必要。
アプライアンスのすべてのルールにおいて、プロパティは主要な要素です。プロパティを理解することは、ルールを
理解することにおいて不可欠です。
ルールを作成する際は、使用するプロパティについて考慮することから始めることが望ましいです。すでに存在する
ルールを例として使用し、たとえば、以下のように考慮することがあるかもしれません。
ウイルスと他のマルウェアをフィルタリングします。
「ウイルスに感染している」プロパティを使用し、それを中心に
ルールを作成します。特定の Web オブジェクトにこのプロパティがある場合、このルールにブロック アクション
の実行を必要とするようにします。
ルールは、以下のようになる可能性があります。
ウイルスに感染しているが true の値(特定の Web オブジェクトで)である場合は、このオブジェクトへのアクセ
スをブロックします。
この Web オブジェクトは、たとえば、ネットワークのユーザーがファイルをリクエストしたことで Web サーバー
が送信したファイルであり、アプライアンスでインターセプトおよびフィルタリングされたものである可能性があり
ます。
このセクションでは、普通の言葉を使用してプロパティとルールが説明されます。しかし、アプライアンスのユーザ
ー インターフェースにある形式はこれとはあまり変わりません。
たとえば、ウイルス感染に関する上記のルールが、以下のようにユーザー インターフェースに表示される場合があり
ます。
Antimalware.Infected equals true –> Block (Default)
この場合、Antimalware.infected がプロパティで Block がアクションの場合、デフォルトの方法で実行される
ものです。
ユーザー インターフェースに矢印が表示されずここに表示されています。特定の Web オブジェクトに疑わしいプ
ロパティがある場合、ブロック アクションがトリガーされていることを示します。
ユーザーのフィルタリング
プロパティは Web オブジェクトに関連する可能性がありますが、それをリクエストするユーザーにも関連する可能
性があります。
36
McAfee Web Gateway 7.5.0
製品ガイド
ルール
フィルタリングについて
3
たとえば、ルールで ユーザーがメンバーであるユーザー グループ プロパティを使用して、許可されたグループにい
ないユーザーによって送信されたリクエストをブロックすることができます。
ユーザーがメンバーであるユーザー グループ(特定のユーザーで)が許可されているグループのリストにない場合、
このユーザーによって送信されるリクエストをブロックします。
フィルタリング サイクル
このアプライアンスでのフィルタリング プロセスには、以下の 3 つのサイクルがあります。リクエスト サイクル、
応答サイクル、埋め込みオブジェクト サイクルいかなる時でも、これらの中から 1 つの処理しかできません。
リクエスト サイクルはネットワークのユーザーが Web に送信するリクエストをフィルタリングするために実行さ
れ、応答サイクルはこれらのリクエストにより Web から受信した応答のために使用されます。
埋め込みオブジェクトがリクエストまたは応答とともに送信される場合、埋め込みオブジェクト サイクルは追加の処
理のサイクルとして実行されます。
埋め込みオブジェクトは、たとえば、ファイルをアップロードするというリクエストとともに送信されるファイルで
あり、このファイルに埋め込まれるということがあります。フィルタリング プロセスは、リクエスト サイクル、リ
クエストのフィルタリング、アップロードのリクエストがあるファイルの確認から開始します。すると、埋め込みフ
ァイルに対して埋め込みオブジェクト サイクルが開始されます。
同様に、Web サーバーから応答として送信されて、他のファイルが埋め込まれているファイルでは、応答サイクル
と埋め込みオブジェクト サイクルが次々と開始されます。
アプライアンスのすべてのルールにつき、どのサイクルで処理されるかが指定されています。しかし、サイクルは個
々のルールで指定されているのではなく、それを含むルール セットで指定されます。
1 つのサイクルのみ、またはサイクルの組み合わせで、ルール セットを処理できます。
プロセス フロー
フィルタリング プロセスでは、実装されているルールがルール セットでの位置に応じて、次々と処理されます。
ルール セット自体は、ユーザー インターフェースの[ルール セット]タブで表示されている、ルール セット システ
ムの順序に処理されます。
3 つのサイクルそれぞれで、このサイクルでどれを処理する必要があるかを確認するために、実装されたルール セッ
トが次々と参照されます。
ルールが処理されて適用することが判明した場合、アクションをトリガーします。アクションは、Web オブジェク
トへのアクセスをブロックしたり、リクエストされたオブジェクトを削除するなどの、フィルタリング手段を取りま
す。
これに加え、アクションはフィルタリング プロセスに影響を与えます。フィルタリング プロセスを完全に停止する
必要があると指定、あるいは一部のルールを省いて続行、またはシンプルに次のルールで続行すると指定することが
できます。
すべての実装されたルールが処理された後も、処理が停止します。
それにより、プロセス フローは以下のようになります。
構成されたそれぞれのサ –> 処理が止まります。
イクルのすべてのルール
リクエスト サイクルでは、リクエストが適切なサーバーに通過することが許可され
が処理されたので、適用す
ます。
るルールが見つからない。
応答サイクルでは、Web から送信された応答は、適切なユーザーに転送されます。
McAfee Web Gateway 7.5.0
製品ガイド
37
3
ルール
ルール要素
埋め込みオブジェクト サイクルでは、リクエストまたは応答とともに送信された埋
め込みオブジェクトが一緒に通過することが許可されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、処理を –> 処理が止まります。
完全に停止する必要があ
処理が完全に止まるルールの例の一例は、ブロック アクションのあるルールです。
る。
たとえば、リクエストされた URL がブラックリストにあるためにリクエストがブ
ロックされた場合、他を処理を行うことは無意味になります。
リクエストがブロックされて適切な Web サーバーに渡されていないため、応答は
受信されません。リクエストがブロックされたため、リクエストとともに送信され
た埋め込みオブジェクトのフィルタリングも必要ありません。
メッセージは、たとえば、ユーザーにリクエストがブロックされたこととその理由
の通知など、アクションによって影響を受けたユーザーに送信されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、現在の –> このルール セットの処理が停止します。
ルール セットの処理を停
ルール セットの停止ルールに従うルールは省かれます。
止する必要がある。
ルール セットの処理を停止するルールの例は、同じルール セットにおいてホワイ
トリスト ルールにブロック ルールが続く場合です。
リクエストされた Web オブジェクトがホワイトリストで見つかった場合、そのリ
クエストは他にフィルタリングされることなく通過が許可されます。そのため、ル
ール セットはこれ以上処理されることなく、オブジェクトを最終的にブロックする
ルールは省かれます。
次のルール セットで処理が続行されます。
次のルール セットには、たとえば、リクエストが前のルール セットで通過するこ
とが許可されていてもそのリクエストをブロックするようなルールを、含むことが
できます。
ルールが適用され、現在の –> このサイクルの処理が停止します。
サイクルの処理を停止す
ルール セットの停止ルールに従うルールは省かれます。
る必要がある。
サイクルの処理を停止するルールの例は、グローバル ホワイトリスト ルールです。
リクエストされたオブジェクトがグローバル ホワイトリストで見つかった場合、そ
のリクエストは適切なサーバーに通過することが許可されます。リクエストが、最
終的に後に続くいかなるルールやルール セットにブロックされないことを保証す
るために、リクエスト サイクルはこれ以上処理されません。
次のサイクルで処理が続行されます。
ルールが適用され、次のル –> 処理は次のルールで続行します。
ールで処理が続行される
これは現在のルール セットにおける次のルール、あるいは次のルール セットまた
必要がある。
はサイクルの最初のルールである可能性があります。
フィルタリング プロセスを妨げずに続行させるルールの例は、統計ルールです。
このルールは、カウンターを増加させることでリクエストを数えるだけであり、そ
れ以外は何もしません。
ルール要素
アプライアンスの Web セキュリティ ルールには、3 つの主要要素があります。条件、アクション、および(オプシ
ョン)イベント.
1
38
[条件]
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルール要素
3
ルールが適用されるかどうかを判別します。
その他のルール構文は条件の代わりに条件を使用します。
URL のカテゴリーがリスト x にある場合、...
条件には、以下の 3 つの要素があります。プロパティ、演算子、演算対象。
•
[プロパティ]
Web オブジェクトまたはユーザーに関連するものです。
URL のカテゴリー ...
•
[演算子]
演算対象のプロパティをリンクします。
... がリストにある
•
[演算対象]
プロパティがもつことができる値を指定します。
... x(リスト名)
演算対象はユーザー インターフェースではパラメーターとしても知られています。
2
[アクション]
条件が一致した場合に実行されます。
... URL をブロック
3
[イベント]
条件が一致した場合に実行されます。
... およびこのアクションをログに記録します。
イベントはルールに対してオプションです。ルールは複数のイベントを持つこともできます。
ユーザー インターフェースでのルールの形式
ユーザー インターフェイスでは、ルールは以下の形式で表示されます。
図 3-1 ユーザー インターフェースでのルールの形式
以下の表で、 ルール要素の意味を説明します。
McAfee Web Gateway 7.5.0
製品ガイド
39
3
ルール
ルール要素
表 3-1 ユーザー インターフェースでのルールの要素
オプショ
ン
定義
[有効]
ルールを有効または無効にすることを可能にします
[名前]
ルールの名前
• [URL のブロック ...] ― 名前のテキスト
• [カテゴリー ブロックリスト] (ルール名) — ルールにより使用されるリスト
リスト名をクリックすると、編集のためにリストが開きます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空で、エントリーの入力が必要であることを示
します。
[条件]
ルールの条件
条件は、[詳細の表示]切り替えボタンをクリックした後のみに、表示されます。
• [URL.Categories] — プロパティ
• [<Default>] — プロパティの値を取得するモジュールの設定
たとえば、URL フィルターー モジュールの設定であるここに表示されるデフォルト設定。
設定名をクリックすると、編集のために設定が開きます。
モジュール名はルールでは表示されません。しかし、ルールの条件の[編集]ウィンドウで表示されま
す。
• [リストに少なくとも 1 つある場合] ― 演算子
• [カテゴリー ブラックリスト] — 演算対象、またはパラメーターとして知られています
リスト名をクリックすると、編集のためにリストが開きます。
リスト名は、条件が表示されていないときに利用可能にするため、ルール名と条件の両方に表示され
ます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空であることを示します。
[アクショ
ン]
ルールのアクション
• [ブロック] — アクションの名前
• [<URLBlocked>] — アクションの名前
設定名をクリックすると、編集のために設定が開きます。
[イベン
ト]
ルールの 1 つ以上のイベント
イベントは、[詳細の表示]切り替えボタンをクリックした後のみに、完全に表示されます。
• [Statistics.Counter. Increment] — イベントの名前
• [“BlockedByURLFilter, 1”] — イベントのパラメーター
• [<Default>] — イベントの設定
設定名をクリックすると、編集のために設定が開きます。
40
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルール セット
3
複雑な条件
ルールの条件は、2 つ以上の部分で構成することで複雑にできます。
各部分の複雑な条件には演算子と演算対象のあるプロパティがあります。これらの部分は、AND または OR でリン
クされています。
フィルターされた URL が、2 つの指定されたカテゴリ リストのいずれか(または両方)にあるカテゴリに属してい
る場合、条件の一致になります。
3 つ以上の部分で条件を構成し、AND と OR の両方を間に使用している場合は、どのように部分が論理的につなが
っているかを示すために括弧を入れる必要があります。たとえば、(a AND b) OR c の意味は、a AND (b OR c) と
は違います。
3 つめの条件の部分をユーザー インターフェースに追加すると、小文字がその部分の前に表示され、追加のフィール
ドが構成ウィンドウの下に挿入されます。
a AND b OR c など、フィールドは条件部分を簡単に表示します。それから、必要に応じてフィールドに括弧を入力
できます。
ルール セット
ルールは、アプライアンスのルール セットにグループ化されて含まれます。ルールはそのままでは使用できません。
ルールはルール セットに含まれる必要があります。
ルール セットは単一のルールのみか、複数のルールを含むことができます。1 つ以上のネストされた ルール セット
を含めることもできます。ルール セットがネストされたルール セットを含む場合、ネストされたルール セットと同
じレベルで個々のルールを含むことができます。
ルール セットは、通常、Web セキュリティを保証する特定の機能を提供するために、一緒に動作するルールを含み
ます。
たとえば、ウイルスとマルウェアをフィルタリングするルール セットに、ブロック ルールを省いてユーザーがアク
セスできるように、感染したルール セットをブロックするルール、および 1 つ以上のオブジェクトをホワイトリス
トするルールを含めます。
施行されたルール セットを変更し、固有のルール セットを作成してネットワークに適した方法で機能的なユニット
を構築できます。
ルール セットの条件
ルールと同様にルール セットには条件があり、その条件に一致した場合に適用されます。
通常、ルール セットの条件はルールの条件とは異なります。ルールが適用されるには、条件とルール セットの条件
の両方が一致する必要があります。
ルール セット サイクル
ルール セットは、フィルタリング プロセスの 3 つのサイクルでルールとともに処理されます。
ルール セットは、たとえば、リクエスト サイクルのみ、リクエストと応答サイクル、および 3 つのサイクルすべて
など、これらのサイクルのいかなる組み合わせでも処理することができます。
ルール セットのサイクルは、これを含み個々のルールのものと同じです。ルールに関しては、そのルール セットか
らのサイクルとは異なることはできません。
ネストされたルール セット
ルール セットには、他のルール セットをネストできます。ネストされたルール セットには独自の条件があります。
McAfee Web Gateway 7.5.0
製品ガイド
41
3
ルール
ルール セット システム
サイクルに関しては、ネストされたルール セットのサイクルで処理できますが、すべてのサイクルで処理する必要は
ありません。
この方法だと、ネストされたルール セットで特定のサイクルに特に対応すると同時に、他のルール セットで異なる
サイクルに対応するように構成できます。
たとえば、メディア タイプ フィルタリング ルール セットは、すべてのサイクルに適用される可能性がありますが、
有しているすべてのネストされたルール セットでは処理されません。
メディア タイプ フィルタリング ルール セット(リクエスト、応答、および埋め込みオブジェクト)
•
ネストされたルール セット、メディア タイプ アップロード(リクエストのみ)
•
ネストされたルール セット、メディア タイプ ダウンロード(応答および埋め込みオブジェクトのみ)
ルール セット システム
ルール セットは、ルール セット システム内のアプライアンスで実装されます。
Web アクセスのリクエストがアプライアンスで受け取られると、このリクエストに対して、システム内のすべての
ルール セットは上から下に処理されます。
ルール セットのルールを適用する場合、このルールのアクションが実行されます。アクションがブロックされている
場合、処理が停止します。その他のアクションの場合は、1 つの方法または別の方法で処理が続行します。
同様に、実装されたシステムのルール セットは、リクエストおよび応答と一緒に送信された応答および埋め込みオブ
ジェクトの場合に処理されます。
ルール セット システムの操作
アプライアンスの初期セットアップ時に、ルール セットのデフォルトのシステムが実装されます。このシステムを微
調整して、ネットワーク要件に対応するには、以下を実行できます。
•
ルールとルール セットの変更
•
ルール セットのインポート
•
ルールとルール セットの削除
•
ルールとルール セットの新しい位置への移動
•
新規ルールとルール セットの作成
•
ルールをコピーし、その他のルール セットに貼り
付ける
デフォルト ルール セット システム
デフォルトのルール システムは次のようになります(ネストされたルール セットが表示されます)。
表 3-2 デフォルト ルール セット システム
ルール セット
説明
SSL スキャナー
他のフィルタリング機能によって処理するため、SSL セキュアードの Web
トラフィックを準備します。
(デフォルトでは有効ではありません)
42
グローバル ホワイトリスト
ホワイトリストされた URL または IP アドレスのリクエストに対してフィ
ルタリングを省くことを許可します。
共通ルール
Web キャッシング、進行状況を表示、およびアーカイブを開くなどの、フ
ィルタリング プロセスをサポートする機能を提供します。
URL フィルタリング
個々の URL と URL カテゴリーのフィルタリングを制御します。
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルール セット ライブラリ
3
表 3-2 デフォルト ルール セット システム (続き)
ルール セット
説明
メディア タイプ フィルタリング
特定タイプのメディアのフィルタリングを制御します。
Gateway AntiMalware
ウイルス シグネチャと積極的な方法を使用してウイルスとマルウェアのフ
ィルタリングを制御します。
ルール セット ライブラリ
ルール セット ライブラリは、実装されたルール セット システムにインポートするためのルール セットを提供しま
す。
システムにない機能を追加するため、または実装されているルール セットがネットワークに適していない場合に、ラ
イブラリをインポートできます。
•
ルール セット ライブラリは、デフォルト ルール セット システムの一部であるルール セットも含みます。
•
オンライン ルール セット ライブラリからもっと多くのルール セットが利用可能です。このライブラリへのリ
ンクは、標準ルール セット ライブラリのウィンドウに表示されます。
標準ルール セット ライブラリでは、ルール セットは、認証や URL フィルタリングなどのカテゴリーでグループ化
されます。
以下のテーブルでは、標準ルール セット ライブラリのカテゴリーを示します。
表 3-3 ルール セット ライブラリのカテゴリー
ルール セット カテゴリー
次のルール セットが含まれます。
アプリケーション コントロール アプリケーションおよびアプリケーションの各機能をフィルタリングする
認証
ユーザーを認証する
警告/クォータ
ユーザーの Web アクセスでクォータおよびその他の制限を課す
共通ルール
Web キャッシング、進行状況の表示、アーカイブを開くなどのフィルタリング プ
ロセスをサポートする
DLP
data loss prevention を実装する
ePO
ePolicy Orchestrator の使用を有効にする
エラー処理
エラー処理範囲を実装する
Gateway Anti-Malware
ウイルス感染およびその他のマルウェア感染のために Web オブジェクトをフィ
ルタリングする
HTML/スクリプト フィルター HTML ページおよびスクリプトをフィルタリングする
ICAP クライアント
アプライアンスで ICAP クライアントを実行する
ログ
フィルタリングと他のアクティビティのログを記録する
メディア タイプ フィルター
特定のタイプのメディアをフィルタリングする
Mobile Security
モバイル トラフィックをフィルタリングする
ネクスト ホップ プロキシ
データ転送用のネクスト ホップ プロキシを使用する
プライバシー
プライバシーを保証するリクエストを修正する
SiteAdvisor Enterprise
フィルタリング リクエストのために SiteAdvisor を使用する
SSL スキャナー
SSL セキュア Web トラフィックを処理する
McAfee Web Gateway 7.5.0
製品ガイド
43
3
ルール
ルール セット タブ
表 3-3 ルール セット ライブラリのカテゴリー (続き)
ルール セット カテゴリー
次のルール セットが含まれます。
URL フィルター
個々の URL および URL カテゴリーをフィルタリングする
Web Hybrid
McAfee SaaS Web Protection Service との同期を有効にする
ルール セット タブ
[リスト セット]タブでは、ルールとルール セットを操作できます。
[ルール セット]タブの主要要素
以下の表で、[ルール セット]タブの主要な要素について説明します。
表 3-4 [ルール セット]タブの主要要素
44
要素
説明
[ルール セット ツールバ
ー]
ルール セット ツリーのルールセットを操作するための項目
[ルール セット ツリー ]
アプライアンス構成のルール セットを表示するツリー構造
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルール セット タブ
3
表 3-4 [ルール セット]タブの主要要素 (続き)
要素
説明
[ルール セット メニュー ]
以下のツリー構造を表示するボタン:
•(一般的な)ルール セット
• ログ ハンドラー ルール セット
• エラー ハンドラー ルール セット
• ユーザー定義のプロパティ(ルール セットの条件、ルール条件、およびルール イベ
ントでの使用のため)
[ルール ツールバー ]
ルールの操作をする項目
[ルール]
現在選択されているルール セットのルール
ルール セット ツールバー
ルール セット ツールバーでは、次のオプションが提供されています。
表 3-5 ルール セット ツールバー
オプション
定義
[追加 ]
ルール セット メニューで現在選択されているものによって、項目を追加するためのメニューまた
はウィンドウを開きます。
• (([ルール セット]が選択されている)- メニューを開き、以下の項目を選択できます。
• [ライブラリからのルール セット] — ルール セット ライブラリからのルール セットをイン
ポートするための[ルール セット ライブラリから追加]ウィンドウを開きます
• [ルール セット] — アプライアンス設定にルール セットを追加できる[新規ルール セットの
追加]ウィンドウが開きます。
• [最上位レベル ルール セット] — ルール セット ツリーの最上位レベルにルール セットを追
加するための[最上位レベル ルール セットの追加]ウィンドウを開きます
• (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ
ューから[ログ ハンドラー]を選択できます。
• (([ログ ハンドラー]が選択されている場合)— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニ
ューから[ログ ハンドラー]を選択できます。
• (([ユーザー定義プロパティ]が選択されている場合)— プロパティを追加する[新規ユーザー定
義プロパティの追加]ウィンドウを開くための[ユーザー定義プロパティ]を選択できます。
[エクスポート] ルール セットをライブラリまたはファイルにエクスポートするための[ルール セットのエクスポ
ート]ウィンドウが開きます。
[編集]
選択したルール セットを編集するための[ルール セットの編集]ウィンドウが開きます。
[削除]
選択したルール セットを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
ルール セットを、同じレベルの他のルール セットの上に移動します。
[下へ]
ルール セットを、同じレベルの他のルール セットの下に移動します。
[外に移動]
ルールをそのネストしているルール セットから、ネストしているルール セットと同じレベルに移
動します。
[中に移動]
ルール セットをそのネストしているルール セットから、このルール セットに続くルール セット
に移動します。
McAfee Web Gateway 7.5.0
製品ガイド
45
3
ルール
ルールの作成
表 3-5 ルール セット ツールバー (続き)
オプション
定義
[すべて展開]
ルール セット ツリーで折りたたまれているすべての項目を展開します
[すべて折りた
たむ]
ルール セット ツリーで展開されているすべての項目を折りたたみます
ルール ツールバー
ルール ツールバーでは、次のオプションが提供されています。
表 3-6 ルール ツールバー
オプション
定義
[追加 ]
ルールを追加するための[ルールの追加]ウィンドウが表示されます。
[編集]
選択したルールを編集するための[ルールの編集]ウィンドウが開きます。
[削除]
選択したルールを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
ルール セット内でルールを上の位置に移動します。
[下へ]
ルール セット内でルールを下の位置に移動します。
[コピー]
選択したルールをコピーします。
[貼り付け]
コピーしたルールを貼り付けます。
[詳細情報の表示]
条件を含むルール エントリーの詳細を表示または非表示にします。
ルールの作成
ルールの作成は、ルールの異なる要素に関連するいくつかのアクティビティを含みます。
[ルールの追加]ウィンドウが、ルールの作成のため提供されます。適切な順番でルール要素を構成するアクティビテ
ィを完了できます。
たとえば、ルールの名前付けと有効化を開始し、条件、アクション、イベントを追加できます。
タスク
•
46 ページの「ルールに名前を付けて有効にする」
ルールに名前を設定し、一般設定として有効にします。
•
49 ページの「ルール条件の追加」
ルール条件を追加して、ルールを適用する場合について決定します。
•
50 ページの「ルール アクションを追加」
ルール条件に一致する場合、実行するアクションを追加します。
•
51 ページの「ルール イベントを追加する」
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
ルールに名前を付けて有効にする
ルールに名前を設定し、一般設定として有効にします。
タスク
46
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールのためにルール セットを選択します。
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルールの作成
3
3
設定パネルの上の[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
ルール セットの以下の一般的な設定を構成します。
a
[名前]フィールドで、ルールの名前を入力します。
b
[ルールを有効にする]を選択して、ルール セットが処理されたときにルールが処理されるようにします。
c [オプション][コメント]フィールドで、ルールの平文コメントを入力します。
引き続き、ルールの要素を追加します。
[条件の追加]ウィンドウの操作
ルール条件を追加するためのウィンドウには、適切な条件要素の選択で役立ついくつかの機能があります。
ルール条件の 3 つの要素に従って、ウィンドウは以下のコラムに分割されます。
•
プロパティの選択のための左側の列
•
演算子の選択のための中央の列
•
演算対象の選択のための右側の列
1 つの列の中で、プロぱ q ティ、演算子、演算対象がリストに表示されます。
たとえば、次のような操作を選択できます。
•
左側の列:MediaType.EnsuredTypes
•
中央の列:リストにはない
•
右側の列:マルウェア対策メディア タイプ ホワイトリスト
これは、条件 MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist を作成しま
す。アクションとしてブロックを追加する場合、指定されたホワイトリストに入力されていないすべてのタイプのメ
ディアへのアクセスをブロックするためのルールを取得します。
適切な選択を行うために、ウィンドウでは次のことが行われます。
•
指定したフィルター設定に従ってリストをフィルタリングする
•
1 つの列で項目を選択するときに他の列のリストを採用して、選択した項目で構成される適した項目のみを表示
する
•
左と右の列のリスト項目を、現在表示されている項目に対して分類が可能な場合は、[推奨]、[候補]、[その他]の
カテゴリーにグループ化する
•
互いに組み合わせることが推奨できる場合は、2 項目または 3 項目を事前に選択する
左または右の列から開始する
追加する条件がすでに決まっている場合はその条件に応じて、左または右の列から項目の選択を開始できます。
たとえば、条件が感染された Web オブジェクトをフィルタリングするためのルールの一部である場合、左の列から
プロパティ Antimalware.Infected を選択することから始め、次に適した項目がなんであるかを見ます。結果は、
以下のようになります。Antimalware.Infected (property) equals (operator) true (operand).
一方で、ネットワークのユーザーが薬を販売する Web サイトにアクセスできないようにするルールの条件を含みた
い場合、まず URL カテゴリー リスト Drugs を演算対象として選択することから開始し、適切な演算子とプロパテ
ィと組み合わせます。結果は、以下のようになります。URL.Categories (property) at least one in list
(operator) Drugs (operand).
McAfee Web Gateway 7.5.0
製品ガイド
47
3
ルール
ルールの作成
左側の列
ウィンドウの左側の列のリストでは、プロパティを選択できます。現在選択されているプロパティは、[選択済みのプ
ロパティ] フィールドの一番上の列に表示されます。
以下のようにリストを適応できます。
•
リストをフィルタリングします。
•
以下に従ってフィルタリングするために、[フィルター]メニューを使用します。
•
プロパティ タイプ
•
プロパティの値を配布するために呼び出されるモジュール(またはエンジン)
•
マルウェア対策条件、メディア タイプ条件など、条件グループ
メニューのこの部分は、ウィンドウが開く直前にも表示されます。条件グループを選択した後で、すべて
の列のリストが選択したグループの条件を設定するために適した項目のみを表示します。
•
•
•
ユーザー定義プロパティ (これらのプロパティを表示する)
メニューの下の入力フィールドに入力するフィルタリング用語を使用
[ユーザー定義プロパティの追加]ボタンとウィンドウを使用して、リストに自己構成プロパティを追加します。
このリストは右の列のリストから演算対象を選択するときに、自動的に適応されます。次に、この演算対象で構成さ
れているものに適したプロパティのみを表示します。
プロパティの選択後に、設定とパラメーターがある場合はそれらを構成できます。[設定]と[パラメーター]ボタンが
プロパティと共に表示され、それぞれの項目を構成するためのウィンドウを開きます。
中央の列
ウィンドウの中央の列のリストでは、演算対象を選択できます。現在選択されている演算子は、[選択済みの演算子]
フィールドの一番上の列に表示されます。
このリストは左または右の列のリストから項目を選択するときに、自動的に適応されます。次に、選択されている項
目と構成されているものに適した演算子のみが表示されます。
右側の列
ウィンドウの右側の列のリストでは、演算対象を選択できます。現在選択されている演算対象は、[比較対象] フィー
ルドの一番上の列に表示されます。
演算対象は種々のタイプの 1 つの項目、項目のリスト、別のプロパティであることがあります。単一の演算対象に
は、ブール値、文字列、数値、カテゴリー、および他が含まれます。
以下のようにリストを適応できます。
•
列の一番上のリストから、(リストとプロパティ タイプを含む) 演算対象のタイプを選択します。
このタイプの項目は、メイン リストに表示されます。
•
(リストとプロパティのみ:)[フィルターー]ドロップダウン メニューまたは下の入力フィールドを使用して、リス
トをフィルタリングします。
リストが演算対象として表示される場合、[追加 <リスト タイプ>] および [編集 <リスト タイプ>] ボタンが列の
一番下に表示されます。通常の方法で、リストの追加および編集のウィンドウを開きます。
このリストは左の列のリストからプロパティを選択するときに、自動的に適応されます。次に、このプロパティで構
成されているものに適した演算対象のみを表示します。
48
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルールの作成
3
ルール条件の追加
ルール条件を追加して、ルールを適用する場合について決定します。
タスク
1
[ルールの追加]ウィンドウで、[ルール条件]をクリックします。
2
[このルールを適用する ]セクションで、ルールが適用される場合を選択します。
•
[常に] — ルールは常に適用されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
•
[次の条件に一致した場合] — 構成された条件に一致したら、ルールが適用されます。
次の手順に続きます。
3
[条件]セクションで、[追加]をクリックし、ドロップダウン メニューから条件グループを選択します。
[条件の追加]ウィンドウが開き、選択されたグループから構成する条件に適合する項目を表示します。
すべての条件の項目を表示するには、[詳細条件]を選択します。
ウィンドウには 3 つの列があります。
•
プロパティの選択のための左側の列
•
演算子の選択のための中央の列
•
演算対象の選択のための右側の列
現在選択されている要素は、[選択したプロパティ]、[選択した演算子]、[比較]の下の各列上部に表示されます。
ウィンドウは、1 つの列の項目を選択した後、その他の列で自動的に採用して、適合する要素の選択をサポート
します。それから、その他の列は選択された項目を構成するのに適合する項目のみを表示します。
左または右列から項目を選択して開始できます。したがって、手順 4 ~ 6 も異なる順番で完了できます。
条件が演算子としてリストを使用する場合、右列からこのリストを選択して開始することを推奨します。
4
プロパティを選択します。
a
左列のリストから、項目を選択するか、事前選択された 1 つを残します(残っている場合)。
リストをフィルターするか、ユーザー設定プロパティを追加できます。
b [条件付き]設定が必要なプロパティを選択した場合、プロパティとともに表示されるか、事前に設定された
設定を残した[設定]ドロップダウン メニューから設定を選択します。
c [条件付き]パラメーターの設定が必要なイベントを選択した場合、プロパティ名の下の[パラメーター]をク
リックし、開いたウィンドウのオプションで、すべての必要なパラメーターの値を設定します。
5
中央列のリストから、オペレーターを選択するか、事前選択された 1 つを残します(残っている場合)。
McAfee Web Gateway 7.5.0
製品ガイド
49
3
ルール
ルールの作成
6
右列のリストから、演算子を選択するか、事前選択された 1 つを残します(残っている場合)。リストが空の場
合、例えば数字など、適合する値を入力します。
表示されている演算子のタイプを変更するには、列の上部にあるリストからタイプを選択します。
各演算子または演算子のタイプを選択した後、中央列および左列のリストが適用され、適合するオペレーターお
よびプロパティを表示します。
7
[条件の追加]ウィンドウを閉じるには、[OK]をクリックします。
新しい条件を[ルールの追加]ウィンドウに表示します。
複雑な条件を構成する場合、手順 3 から 6 を繰り返し、更なる条件の部分を構成します。
オプションとして提供される[AND]または[OR]で条件の部分を接続します。3 つ以上の条件の部分は、括弧を入
力し、[条件の組み合わせ]フィールドで物理的に接続する方法を示してから表示されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
ルール アクションを追加
ルール条件に一致する場合、実行するアクションを追加します。
タスク
1
In the[ルールの追加]ウィンドウで、[アクション]をクリックします。
2
[アクション] リストから、次のいずれかを選択します。
•
[続行]— 次のルールの処理で続行します
•
[ブロック] — オブジェクトへのアクセスをブロックしてルールの処理を停止します
•
[リダイレクト] — オブジェクトから他のオブジェクトにアクセスをリクエストしたクライアントをリダイレ
クトします
•
[認証] — 現在のサイクルの処理を停止し、認証リクエストを送信します
•
[ルール セットの停止] — 現在のルール セットの処理を停止し、次のルール セットで続行します
•
[サイクルの停止] — 現在のサイクルの処理を停止しますが、リクエストされたオブジェクトへのアクセスは
ブロックしません
•
[削除] — リクエストされたオブジェクトを削除し、現在のサイクルの処理を停止します
3 [条件付き]設定(ブロック、リダイレクト、認証)が必要なイベントを選択した場合、[設定]リストから設定を
選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
4
すべての必要なルール要素を作成したが、イベントを追加しない場合は、以下の手順に従ってください。
a [オプション][サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
50
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルール セットの作成
3
ルール イベントを追加する
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
タスク
1
[ルールの追加]ウィンドウで、[イベント]をクリックします。
2
[イベント]セクションで、[追加]をクリックし、ドロップダウン メニューから[イベント]を選択します。
[イベントの追加]ウィンドウが開きます。
3
[イベント] リストから、イベントを選択します。
リストをフィルターするには、リストの上の入力フィールドで用語のフィルタリングを入力します。
4 [条件付き]設定が必要なイベントを選択した場合、[設定]リストから設定を選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
5 [条件付き]パラメーターの設定が必要なイベントを選択した場合、[パラメーター]をクリックし、開いたウィン
ドウのオプションで、すべての必要なパラメーターの値を設定します。
6
[OK]をクリックします。
[イベントの追加]ウィンドウが閉じて、新しいイベントが[イベント] リストに表示されます。
7
手順の追加でこれが最後の場合、以下の手順に従います。
a [オプション][サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
ルール セットの作成
ルール セットを作成し、構成に追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
ルール セット ツリーの上の[追加]をクリックします。
ドロップダウン メニューが開きます。
4
[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
5
ルール セットに対して以下の全般設定を構成します。
•
[名前] — ルールの名前
•
[有効化] - オンにすると、ルール セットが有効になります。
•
[オプション][コメント] — ルール セットに関するテキスト形式のコメント。
McAfee Web Gateway 7.5.0
製品ガイド
51
3
ルール
ルール セットの作成
6
7
8
[適用先]セクションで、処理サイクルを構成します。1 つだけのサイクル、または以下にある 3 つのサイクルの
あらゆる組み合わせを選択できます。
•
[リクエスト ]— ネットワークのユーザーからのリクエストがアプライアンスに受信される際に、ルール セッ
トが処理されます。
•
[応答] — Web サーバーからの応答が受信される際にルール セットが処理されます。
•
[埋め込みオブジェクト] — リクエストと応答とともに送信される埋め込みオブジェクトのためにルール セ
ットが処理されます。
[このルール セットを適用する]セクションで、ルールが適用される場合を構成します。
•
[常に] — ルールは常に適用されます。
•
[次の条件に一致した場合] — 下で構成された条件に一致したら、ルール セットが適用されます。
[条件]セクションで、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
9
[プロパティ ]領域では、以下の項目を使用してプロパティを構成します。
•
[プロパティ ]— プロパティを選択するためのリスト(プロパティ タイプは括弧で表示されています)
•
[検索 ]— プロパティを検索できる[プロパティの検索]ウィンドウが開きます。
•
[パラメーター ]— 3 つまでのパラメーターを追加できる[プロパティ パラメーター]ウィンドウが開きます。
ステップ 10 を参照してください。
パラメーターがない場合、アイコンはグレーアウトされます。
•
[設定 ]— プロパティの値を配信するモジュールの設定を選択するリスト(モジュール名は括弧内に表示され
ます)
プロパティに設定が必要なくて、(必要なし)が追加されている場合、アイコンはグレーアウトされます。
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[編集 ]— 選択した設定を編集するための[設定の編集]ウィンドウが開きます。
プロパティのためにパラメーターを構成する必要がない場合、[OK ]をクリックし、 ステップ 11 に進みます。
10 プロパティ パラメーターを追加する必要がある場合、以下を実行します。
a
[パラメーター]をクリックします。
[プロパティ パラメーター]ウィンドウが開きます。
b
必要に応じていくらでもパラメーターを追加します。
パラメーターは以下のいずれかになります。
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
11 [演算子]リストから、演算子を選択します。
12 [パラメーター]領域で、パラメーターを追加します(演算対象としても知られています)。
これは、以下のいずれかになります。
52
•
[値](文字列、ブール、または数値)— これは[値]領域で構成します。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ルール セットのインポート
3
13 [条件の追加]ウィンドウを閉じるには、[OK]をクリックします。
14 [オプション][権限]タブをクリックして、新しいルール セットへのアクセスが許可されるユーザーを構成しま
す。
15 [新しいルール セットの追加]ウィンドウを閉じるには、[OK]をクリックします。
[新しいルール セットの追加]ウィンドウが閉じ、ルール セットがルール セット システムに挿入されます。
16 [変更の保存]をクリックします。
ルール セットのインポート
ライブラリからルール セットをルール セット システムにインポートできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
[追加]ドロップダウン メニューから、[ライブラリからのルール セット]を選択します。
ライブラリ ルール セットのリストがあるウィンドウが開きます。
4
インポートするルール セット、たとえば、[Gateway Antimalware ]ルール セットを選択します。
このルール セットをインポートする際に競合が発生した場合、それらはウィンドウに表示されます。
ルール セットがすでにルール セット システムに存在しているリストや設定など構成オブジェクトを使用すると
きに競合が発生します。
5
以下の方法を 1 つ使用することで競合を解決します。
•
•
6
[競合の自動解決]をクリックし、すべての競合に対する方針を以下から 1 つ選択します。
•
[既存のオブジェクトを参照することで解決する ]— インポートされたルール セットが、アプライアンス
の構成に同じ名前で存在しているオブジェクトを参照している場合、これらの既存のオブジェクトに参照
が適用されます。
•
[推奨にコピーと名前変更することで解決する ]— インポートされたルール セットが、アプライアンスの
構成に同じ名前で存在しているオブジェクトを参照している場合、これらのオブジェクトは使用されます
が、競合を回避するために名前変更されます。
リストされている競合を次々にクリックして、上記のいずれかの方針を毎回選択することで、個々に解決しま
す。
[OK]をクリックします。
ルール セットがルール セット ツリーに挿入されます。これはデフォルトで有効になります。
ルール セットがフィルタリング ジョブを実行する必要があるリストや設定がルール セットで実装され、リスト
と設定ツリーで表示できます。
7
必要である場合、ルール セット ツリーの上にある青色の矢印を使用して、ルール セットを移動させます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
53
3
ルール
ベスト プラクティス - ルールの設定
ベスト プラクティス - ルールの設定
Web Gateway では、様々な方法でルールを設定できます。ただし、フィルタリングを効率よく行うには、いくつか
のガイドラインに従う必要があります。
•
適切なフィルタリング サイクルでルールとルール セットを使用する - フィルタリング アクティビティによっ
て最適な実行サイクル (要求または応答) が異なります。たとえば、送信された URL のカテゴリに基づいて要求
をブロックするルールは、要求サイクルで処理する必要があります。
•
複雑なプロパティはフィルタリング プロセスの終わりの方で使用する - プロパティの中には、フィルタリング
プロセスで値を取得するときに多くの時間と帯域幅を消費するものであります。
たとえば、Antimalware.Infected プロパティは複雑なプロパティに該当します。このプロパティを含むルー
ルは、複雑でないプロパティ (URL.Categories など) の後で処理する必要があります。最初のルールで要求が
ブロックされると、次のルールの処理は回避することができます。
•
可能であれば、ルール 条件に使用するプロパティを 2 つ以下にする - これは、処理リソースを節約するもので
はありませんが、ルールの機能が分かりやすくなります。
適切なサイクルでルールとルール セットを使用する
Web Gateway のルールは、異なるサイクルで実行されます。フィルタリング アクティビティは、適切なサイクル
で実行する必要があります。
以下のサイクルが使用可能です。
•
要求サイクル - Web Gateway クライアントから要求を処理します。
このサイクルでは、クライアントの IP アドレス、URL、ユーザー名 (認証が実行された場合)、ブラウザー関連
のヘッダー情報など、要求で使用可能なデータを処理します。
このサイクルで要求がブロックされると、応答サイクルは実行されません。要求は Web サーバーに転送されない
ため、応答は受信されません。
•
応答サイクル - Web Gateway が転送した要求に対して、Web サーバーが戻した応答を処理します。
このサイクルでは、要求されたデータ、サーバー関連のヘッダー情報など、応答で使用可能なデータを処理しま
す。
•
埋め込みオブジェクト サイクル - 要求または応答に埋め込まれた Web オブジェクトを処理します。
このサイクルは、要求または応答サイクルでオープナーが呼び出されたときに実行されます。このサイクルでは、
フィルタリング モジュールが Web オブジェクトを詳細に分析します。以下の 2 つのオープナーが使用可能で
す。
•
コンポジット オープナー - .zip、.exe、他の形式のファイルを検査する標準のオープナーです。
•
HTML オープナー - 高度な構成ではあまり使用しません。
要求または応答サイクルの後で埋め込みオブジェクトの検査が必要になると、埋め込みオブジェクト サイクルが
実行されます。埋め込みオブジェクトがない場合、このサイクルは実行されません。
要求サイクル、応答サイクル、埋め込みオブジェクト サイクルが完了すると、ロギング ルールを含むルール セット
が Web Gateway で処理され、データがログ ファイルに書き込まれます。このルール セットの処理は、ロギング サ
イクルともいいます。
54
McAfee Web Gateway 7.5.0
製品ガイド
ルール
ベスト プラクティス - ルールの設定
3
要求サイクルを使用する場合のガイドライン
できるだけ早い段階で要求をブロックできるように、要求で使用可能な情報は要求サイクルでフィルタリングする必
要があります。このガイドラインを理解するため、次のような場合について考えてみましょう。
•
要求サイクルではなく、応答サイクルで URL カテゴリに基づくフィルタリングが実行された場合、要求されたデ
ータは Web サーバーから取得される場合があります。このカテゴリは許可されていないため、クライアントにデ
ータを渡すことはできません。
•
要求サイクルでクライアントの IP アドレスに基づくフィルタリングが実行され、要求がブロックされた場合、応
答サイクルは実行されません。したがって、このデータをフィルタリングするルールを応答サイクルで使用して
も意味がありません。要求が許可された場合、応答サイクルでデータを再度フィルタリングする必要はありませ
ん。
処理サイクルと推奨のフィルタリング アクティビティ
以下の表に、各サイクルで実行する必要のあるフィルタリング アクティビティを示します。
表 3-7 処理サイクルと推奨のフィルタリング アクティビティ
要求サイクル
応答サイクル
埋め込みオブジェクト
サイクル
ホワイトリストに基づくフィルタリング
ホワイトリストに基づくフィルタリング
要求または応答本体の
検査
ブロック リストに基づくフィルタリング
サーバーに送信されたヘッダー
(Content-Length など) に基づくフィルタ
リング
メディア タイプ フィ
ルタリング
クライアントに送信されたヘッダー
(User-Agent など) に基づくフィルタリン
グ
メディア タイプ フィルタリング
埋め込みオブジェクト
に対するマルウェア ス
キャン
ユーザー認証
ダウンロードに対するマルウェア スキャン
URL フィルタリング
アップロードに対するマルウェア スキャン
この概要で説明したように、一部のアクティビティは 1 つのサイクルでのみ推奨されていますが、ホワイトリストや
マルウェア スキャンのように 2 つ以上のサイクルで推奨されているものもあります。
フィルタリング プロセスの最後に複雑なプロパティを使用する
複雑なプロパティを処理するには、多くのリソースが必要になります。このようなプロパティを使用するルールは、
ルール セット システムの最後に置く必要があります。
ルールが処理されると、プロパティの値を取得するために、Web Gateway で複数のモジュール (またはエンジン)
が呼び出されます。これらのモジュールの一部は、他のモジュールよりも多くの時間と帯域幅を消費します。たとえ
ば、マルウェア対策のスキャン エンジンは、URL フィルター モジュールが URL カテゴリ情報を取得する場合より
も多くのリソースを消費します。
パフォーマンスを向上させるため、複雑なプロパティを含むルールのルール セットをルール セット システムの最後
に置いてください。これにより、簡単なプロパティを使用するルールが先に処理されます。ルールの 1 つで要求また
は応答がブロックされた場合、より複雑なプロパティを使用するルールを処理する必要はありません。
プロパティの複雑さ
以下の表に、ルールでよく使用されるプロパティの複雑さを示します。
* (アスタリスク) の付いたプロパティは、認証サーバーなどの外部のコンポーネントを使用するため、パフォーマン
スへの影響が大きくなります。また、プロパティだけでなく、イベントの複雑さも示します。
McAfee Web Gateway 7.5.0
製品ガイド
55
3
ルール
ベスト プラクティス - ルールの設定
より簡単
中間
より複雑
URL
URL.Destination.IP*
Antimalware.Infected
URL.Host
Media.EnsuredTypes
DLP (Data Loss Prevention) フィル
タリングで使用されるプロパティ
URL.Categories*
認証ユーザーに使用されるプロパティ
*
HTML オープナーを使用 (イベントで有
効にする)
Client.IP
コンポジット オープナーを使用 (イベ
ントで有効にする)
Proxy.IP
Proxy.Port
System.Hostname
HTTP ヘッダー情報の検査で使
用するプロパティ
個々のルールのプロパティの複雑さ
複雑さに基づいてプロパティを使用するためのガイドラインは、ルール セット システム内でのルールとルール セッ
トの配置だけでなく、個々のルールでのプロパティの使用にも適用されます。
以下のルールは、特定のホスト名を持つ Web サーバーに対するアクセス要求が特定の IP アドレスを持つクライア
ントから送信された場合に要求をブロックします。
名前
IP アドレス 1.2.3.4 のクライアントからホスト abcd.com に対するアクセスをブロックする
条件
Client.IP equals 1.2.3.4 AND URL.Host matches
*abcd.com
アクション
イベント
–> Block<Default>Continue
ルールが処理されると、Client.IP の値が取得され、要求の送信元が特定されます。設定したオペランドと一致しな
い場合、このルールは適用されず、次のルールが処理されます。Client IP の値が 1.2.3.4 の場合に URL.Host
の値が取得され、条件を完全に満たすかどうか確認されます。
2 つのクライアントの IP アドレスを比較することは、ワイルドカード式でホスト名を比較する場合よりも簡単なた
め、Client.IP が条件の最初に配置されています。
ルールの条件に使用するプロパティを 2 つ以下にする
ルールの条件に使用するプロパティを 2 つ以下にすると、分かりやすいルールを作成できます。
以下のサンプル ルールでは、管理者が特定のポートを使用している場合にのみ、特定のドメイン内の宛先に対するア
クセスを許可しています。このルール条件では、以下のパラメーターを確認するため、4 つのプロパティを使用して
います。
•
URL のホスト名 - 設定したドメインに対するアクセス要求かどうかを確認します。
•
ユーザー グループ - 要求を送信したユーザーが管理者のユーザー グループに属しているかどうかを確認しま
す。
•
クライアントの IP アドレス範囲 - 要求を送信したクライアントの IP アドレスが、管理者に予約されたアドレ
ス範囲内にあるかどうかを確認します。
•
プロキシ ポート - 設定したポートを介してドメインに対するアクセスが要求されているかどうかを確認しま
す。
このルールは次のようになります。
56
McAfee Web Gateway 7.5.0
製品ガイド
3
ルール
構成項目へのアクセス制限
名前/条件
アクション
イベント
ポート 9090 使用した管理者にのみテスト ドメインへのアクセスを許可する
URL.Host matches "testdomain.com" AND
(Authentication.UserGroups does not contain "Administrator"
OR Client.IP is not in range 192.168.42.0/24 OR Proxy.Port
does not equal 9090)
–> Block <Default>
このルールを適用するかどうか判断するため、ルール条件の最初の部分で、テスト ドメインに対するアクセスが実際
に送信されているかどうか確認されます。
その他の条件は否定的な記述になっています。ユーザーが管理者でないか、クライアントの IP アドレスが設定した
範囲内にないか、プロキシ ポートが 9090 でない場合、要求がブロックされます。
つまり、設定した範囲内にある IP アドレスのクライアントから管理者がプロキシ ポート 9090 を使用してテスト
ドメインに対する要求を送信した場合にのみ、アクセスが許可されます。
最後の 3 つの条件は括弧で囲まれています。この部分がすべて真になると、最初の条件の値と一緒に比較されます。
このルールは、次のように 3 つの部分に分割しても同じ結果になります。
名前/条件
アクション
イベント
テスト ドメインに対するアクセス要求かどうかを確認する
URL.Host does not match *testdomain.com
–> Stop Rule Set
プロキシ ポート 9090 経由でない場合にアクセスをブロックする
Proxy.Port does not equal 9090
–> Block <Default>
ユーザー名とクライアント IP アドレスを比較して管理者以外のユーザーはブロックする
Authentication.UserGroups does not contain "Administrator"
OR Client.IP is not in range 192.168.42.0/24
–> Block <Default>
この 3 つのルールの最初の部分で、テスト ドメインに対するアクセス要求が実際に送信されたかどうかを確認しま
す。この条件を満たしていない場合、同じルール セット内の以降のルールは処理されません。
最初のルールの後の 2 つのブロック ルールは処理されません。最初の段階でテスト ドメインに対するアクセス要
求が行われていないため、後のルールは処理する必要がありません。
2 つのブロック ルールを処理する段階では、関連するパラメーターが検査され、テスト ドメインに対するアクセス
要求を許可するかどうか判断されます。4 つのプロパティを 1 つの条件にまとめた前述のルールでも同じ検査が実
行されます。
2 つのプロパティで、ユーザーが管理者かどうかを確認するパラメーターが 1 つのルールに統合されています。
構成項目へのアクセス制限
ルール セットを作成、または設定、または既存のものを操作するときに、それらへのアクセスを制限できます。
タスク
1
[ポリシー] 、 [ルール セット](または[リスト]または[設定])を選択します。
2
ツリー構造で、新しい項目を追加する位置に移動します。
McAfee Web Gateway 7.5.0
製品ガイド
57
3
ルール
構成項目へのアクセス制限
3
ツリー構造の上にある[追加]をクリックします。
[追加]ウィンドウが開きます。
4
新しい項目を追加するための手順を完了させます。次に、[アクセス許可]タブを選択します。
3 つのアクセスのモードが構成できます(読み込みと書き込み、読み込み、アクセスなし)。
5
[読み込みと書き込み]ペインで[追加] をクリックします。
[ロールまたはユーザーの追加]ウィンドウが開きます。
6
対応するペインにあるリストから、ロールまたはユーザーを(または各タイプの 2 つ以上を同時に)選択します。
または、[ワイルドカード]フィールドに、ロールまたはユーザーの名前としてワイルドカード式を入力します。
7
必要に応じて[読み込みと書き込み]リストにいくらでもエントリーを追加します。
エントリーを削除するには、ペインにある[削除]ボタンを使用します。
8
[読み込み]および[アクセスなし]ペインも同様に入力します。
9
タブのリストに含まれていないすべてのロールおよびユーザーのアクセスを構成するには、[他のすべてのロール
が有する]の下のラジオ ボタンを使用します。
10 [OK]をクリックしてウィンドウを閉じます。
11 [変更の保存]をクリックします。
58
McAfee Web Gateway 7.5.0
製品ガイド
4
リスト
リストは Web オブジェクトおよびユーザーの情報を取得するためにルールで使用されます。
いくつかタイプのリストがあり、それらは作成した人とそれらを含む要素のタイプに関して異なります。適宜、異な
る方法でこれらのリストを操作します。
ユーザー インターフェースで異なる場所にリストが表示されます。たとえば、ルールとルール セットの条件、リス
ト タブ、および設定内などです。
アプライアンスの初期セットアップ時に、リストはルール セット システムと共に施行されます。
施行されたシステムのリストを見直し、それらを変更および削除し、固有のリストも作成できます。
目次
リスト タイプ
リスト タブ
リストへのアクセス
リストの作成
さまざまなタイプのリストの操作
購読リスト
外部リスト
マップ タイプ リスト
共通カタログ
JavaScript Object Notation データ
McAfee Web Gateway 7.5.0
製品ガイド
59
4
リスト
リスト タイプ
リスト タイプ
Web Gateway の Web セキュリティ ルールでは、いくつかのリストを使用して Web オブジェクトやユーザーの情
報を取得しています。
主なリストは次のとおりです。
•
カスタム リスト - ユーザーが変更できるリストです。 [リスト] タブのリスト ツリーで上のブランチに表示さ
れます。たとえば、フィルタリングから除外する URL リストなどがあります。
カスタム リストには、文字列、数字、カテゴリ、その他の形式で項目を追加できます。 リストの管理方法は形式
によって異なります。 カスタム リストの中には、ユーザーが項目を一から追加しなければならないものもありま
す。
独自のリストを作成して、初期セットアップ後に Web Gateway が提供するカスタム リストに追加することも
できます。
•
システム リスト - ユーザーが変更できないリストです。 [リスト] タブのリスト ツリーで下のブランチに表示
されます。
システム リストの中には、カテゴリ、メディア タイプ、アプリケーション名などのリストがあります。クラウ
ド シングル サインオンで使用されるコネクターのリストもあります。 Web Gateway の新しいバージョンにア
ップグレードすると、これらのリストも更新されます。
Data Loss Prevention (DLP)、アプリケーション フィルタリング、Dynamic Content Classifier のシステム
リストも、スケジュールを設定して自動的に更新できます。
•
インライン リスト - リストの変更はできますが、[リスト] タブには表示されません。 これらのリストは、設定
項目の一部としてインライン表示されます (たとえば、プロキシ設定の HTTP ポートのリストなど)。
•
購読リスト - Web Gateway で名前付きのリストをセットアップできます。 これらのリストは空の状態で作成
され、購読しているデータソースから取得したコンテンツが記録されます。購読リストは、リスト ツリーでカス
タム リストの最後に表示されます。
購読リストには次の 2 つの種類があります。
•
マカフィー が管理するリスト - このリストのコンテンツは、マカフィー サーバーから取得されます。
マカフィー サーバーでは、IP アドレス範囲やメディア タイプなど、多くのリストが使用できます。
•
顧客が管理するリスト - このリストのコンテンツは、ユーザーが指定したデータソースから取得されます。
指定できるソースは、HTTP、HTTPS または FTP で実行されている Web サーバー上のファイルです。
リスト コンテンツは、それぞれのサーバーで管理されます。 このコンテンツの新しいバージョンが Web
Gateway 上のリストに転送されるように、手動で更新を実行したり、自動更新を設定することができます。
•
外部リスト - 外部ソースに独自の名前で存在するリストです。 ルールのプロパティ値を使用して、これらのコ
ンテンツを Web Gateway に転送できます。
外部リストのコンテンツは実行時に転送されます。つまり、外部リストのプロパティを含むルールが処理された
ときにコンテンツが転送されます。
取得されたコンテンツはキャッシュに保存され、有効期間が終了するまで再利用されます。この有効期間はユー
ザーが設定できます。 期限切れになり、ルールが再度処理されると、再度転送が実行されます。
コンテンツの取得元は、HTTP、HTTPS、FTP または LDAP で実行されている Web サーバー上のファイルです。
特に、データベースから取得されます。 また、ローカル ファイル システムのファイルから取得することもでき
ます。
60
McAfee Web Gateway 7.5.0
製品ガイド
リスト
リスト タブ
•
4
マップ タイプ リスト - これらのリストには、互いにマッピングされたキーと値の組み合わせを保存できます。
Web Gateway でマップ タイプ リストを作成してリスト項目を入力することも、購読リストまたは外部リスト
として別のソースから取得することもできます。
初期状態では、マップ タイプ リストのキーと値は文字列形式で保存されます。ルールで適切なプロパティを使用
すると、これらを別の形式に変換できます。
•
Common Catalog リスト - これらのリストは、McAfee ePO サーバーから Web Gateway にプッシュでき
ます。
Common Catalog リストには、IP アドレス、ドメイン名、文字列、ワイルドカード式が含まれています。 これ
らは McAfee ePO サーバーで管理されます。
リスト タブ
[リスト]タブでは、リストを操作できます。
リスト タブの主要要素
以下の表で、[リスト]タブの主要な要素について説明します。
McAfee Web Gateway 7.5.0
製品ガイド
61
4
リスト
リスト タブ
表 4-1 リスト タブの主要要素
要素
説明
[リスト ツールバー]
[リスト]ツリーにあるリストを操作するための項目
[リスト ツリー]
アプライアンス構成のリストを表示するツリー構造
[リスト エントリー ツールバー ]
現在[設定]ツリーで選択されている項目の設定
[リスト エントリー ]
現在選択されているリストのエントリー
リスト ツールバー
リスト ツールバーでは、次のオプションが提供されています。
表 4-2 リスト ツールバー
オプション
定義
[追加 ]
リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
選択したリストを編集するための[リストの編集]ウィンドウが開きます。
[削除]
選択したリストを削除します。
削除を確認するためのウィンドウが開きます
[インポート]
システムのファイル マネージャーを開いて、リストをインポートできます。
[エクスポート]
システムのファイル マネージャーを開いて、リスト ツリーで選択したリストをエクスポート
できます。
[表示]
さまざまな方法でリストを表示できるようにするためにメニューを開きます(名前昇順、名前
降順、リスト タイプ別、現在リストが存在しない場合に対してリスト タイプありなし)
[すべて展開]
リスト ツリーで隠されている項目をすべて表示します。
[すべて折りたた
む]
リスト ツリーで表示されているすべての項目を隠します。
リスト エントリー ツールバー
リスト エントリー ツールバーでは、次のオプションが提供されています。
表 4-3 リスト エントリー ツールバー
オプション
定義
[追加 ]
リスト エントリーを追加するための[<リスト タイプ> の追加]ウィンドウ([文字列の追加]ウィン
ドウなど)が表示されます。
[複数追加]
複数のリスト エントリーを追加することが特定のリスト タイプで可能である場合、それを実行する
ために、[<リスト タイプ> の追加]ウィンドウを開きます。
[編集]
選択したリスト エントリーを編集するための[<リスト タイプ> の編集]ウィンドウ([文字列の編
集]ウィンドウなど)が表示されます。
[削除]
選択したリスト エントリーを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
リストの上にエントリーを移動します。
[下へ]
リストの下にエントリーを移動します。
[フィルター] 一致しあtリスト エントリーのみ表示するために、フィルタリング用語を入力するための入力フィ
ールド
フィルタリング機能は、フィールドに文字を入力したらすぐ動作します。
62
McAfee Web Gateway 7.5.0
製品ガイド
リスト
リストへのアクセス
4
リストへのアクセス
[リスト] タブのリストにアクセスするか、ルールのリスト名をクリックできます。
タスク
•
63 ページの「リスト タブのリストにアクセスする」
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
•
63 ページの「ルールのリストにアクセスする」
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックしま
す。
リスト タブのリストにアクセスする
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、アクセスするリストを含むブランチに移動し、リスト名をクリックします。
設定パネルにリストのエントリが表示されます。
リストで作業できます。
ルールのリストにアクセスする
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスするリストのルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
アクセスするリストのルールで、次のうちの 1 つを行います。
•
この名前に含まれている場合、ルール名のリスト名をクリックする。
•
ルール条件のリスト名をクリックする。
<Type>がアクセスするリストのタイプの場合、[編集リスト <Type>]ウィンドウを開きます。
リストで作業できます。
リストの作成
初期設定のアプライアンスで実行したもの、またはライブラリからリストをインポートした場合に加えて、独自のリ
ストを作成できます
以下の 2 つのステップを含むリストを作成します。
•
新しいリストの追加
•
新しいリストにエントリを記入する
McAfee Web Gateway 7.5.0
製品ガイド
63
4
リスト
リストの作成
タスク
•
64 ページの「新しいリストの追加」
後でエントリを入力する新しいリストを追加できます。
•
64 ページの「リストのエントリーの入力」
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
新しいリストの追加
後でエントリを入力する新しいリストを追加できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、リストを追加する位置に移動します。
3
ツールバーで、[追加]をクリックします。
[リストの追加]タブが選択されている状態で、[リストの追加]ウィンドウが開きます。
4
リストの一般的な設定を構成するには、以下の項目を使用します。
•
[名前] — リストの名前
•
[コメント] — [オプション]リストの標準テキスト形式のコメント
•
[タイプ] — リスト タイプを選択するためのリスト
5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストがリスト ツリーに表示されます。
7
[変更の保存]をクリックします。
これで、リストにエントリを入力できます。
リストのエントリーの入力
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2 [リスト]ツリーから、エントリーを追加するリストを選択します。
3
設定パネルで[追加]をクリックします。
[<リスト タイプ> の追加]ウィンドウ、たとえば、[文字列の追加]ウィンドウが開きます。
4
特定のリスト タイプで実行される方法で、エントリーを追加します。
5 [オプション] [コメント]フィールドで、リスト エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[<リスト タイプ> の追加]ウィンドウが閉じて、リストにエントリーが追加されます。
7
64
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
リスト
さまざまなタイプのリストの操作
4
さまざまなタイプのリストの操作
リストの操作はリスト タイプに応じてさまざまな方法で行われます。
たとえば、タイプが文字列で有る場合、[文字列の追加]ウィンドウの[文字列]フィールドに文字列を入力することで
エントリーを追加できます。しかし、タイプが MediaType である場合は、フォルダーのシステムの一部である、
メディア タイプ フォルダーからエントリーを選択します。
文字列およびワイルドカード式のリストでは、
[複数追加]をクリックして、各エントリーを改行にテキストを入力す
ることで、複数のエントリーを一度に追加するオプションがあります。
メディア タイプ リストの場合、個別に選択したくない場合は、複数のエントリーとフォルダーーを一度に選択する
ことができます。
タスク
•
65 ページの「ワイルドカード式を URL のグローバル ホワイトリストに追加」
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
•
66 ページの「URL カテゴリをブロック リストに追加する」
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスを
ブロックします。
•
66 ページの「メディア タイプ フィルター リストにメディア タイプを追加する」
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
ワイルドカード式を URL のグローバル ホワイトリストに追加
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、グローバル ホワイトリスト登録のルールを含むルール セット(たとえば、[グローバ
ル ホワイトリスト]など)を選択します。
設定パネルにルールが表示されます。
3
リストのワイルドカード式に一致するホストに URL を送信する際のリクエストを除外するホワイトリストを使
用するルール(たとえば、[URL.Host がグローバル ホワイトリストに一致する]など)を見つけます。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(ワイルドカード式)]ウィンドウが開きます。
4
[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
5
[ワイルドカード式]フィールドにワイルドカード式を入力します。
複数のワイルドカード式を一度に追加するには、[複数追加]をクリックし、それぞれのワイルドカード式を新し
い行に入力します。
6 [オプション][コメント] フィールドで、ワイルドカード式にコメントを入力します。
7
[OK]をクリックします。
ウィンドウが閉じ、ホワイトリストにワイルドカード式が表示されます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
65
4
リスト
さまざまなタイプのリストの操作
URL カテゴリをブロック リストに追加する
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスをブロックしま
す。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリング用のルールを含むルール セットを選択します。
設定パネルにルールが表示されます。
3
カテゴリ ブラックリストを使用するルールを見つけ([カテゴリ ブラックリストに存在するカテゴリを持つ URL
をブロックする] など)、リスト名をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
4
ブロックしたいカテゴリを持つグループ フォルダー(たとえば[購買]など)を展開し、カテゴリ(たとえば[オン
ライン ショッピング]など)を選択します。
複数のカテゴリを一度に追加するには、複数のカテゴリか、1 つまたは複数のグループ フォルダーを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、ブロック リストにカテゴリが表示されます。
6
[変更の保存]をクリックします。
メディア タイプ フィルター リストにメディア タイプを追加する
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、メディア フィルタリングのルールを含むルール セット(たとえば、メディア タイプ
フィルタリング ルール セットのネストされた[ダウンロード メディア タイプ] ルール セットなど)に移動し、
それを選択します。
設定パネルにルールが表示されます。
3
[メディア タイプ ブロック リストからタイプをブロックする] ルールを選択して、リスト名をクリックします。
[リストの編集(メディア タイプ)]ウィンドウが開きます。
4
[編集]をクリックします。
[編集]ウィンドウが開きます。メディア タイプを持つグループ フォルダーのリストが表示されます。
5
追加したいメディア タイプを持つグループ フォルダー(たとえば、[オーディオ])、メディア タイプ(例、[audio/
mp4]など)を展開しを選択します。
複数のメディア タイプを一度に追加するには、複数のメディア タイプか、1 つまたは複数のグループ フォルダ
ーを選択します。
66
McAfee Web Gateway 7.5.0
製品ガイド
リスト
購読リスト
6
4
[OK]をクリックします。
ウィンドウが閉じると、フィルター リストにメデイア タイプが表示されます。
7
[変更の保存]をクリックします。
購読リスト
Web セキュリティ ルールで使用するリストは、適切なサーバーから取得されるコンテンツが給されている場合があ
ります。これらは、購読リストと呼ばれます。
行動リストを操作するときには、リスト名などの全般設定のみを自分自身で構成する必要があります。IP アドレス
や URL などのリストのコンテンツについては、行動リストまたは指定する別のサーバーを維持するために指定され
る McAfes サーバーなど、サーバーに依存します。
McAfee サーバーからコンテンツを取得する購読リストは、McAfee が維持するリストと呼ばれます。別のサーバー
からコンテンツを取得する購読リストは、カスタマーが維持するリストと呼ばれます。
購読リストを作成した後、それはユーザー インターフェースのリスト ツリーの購読リスト ブランチで表示されま
す。リスト ツリーの他のリストと同様に購読リストを操作できます。
購読リストのサイズには制限があります。購読リストは 4 MB よりも大きかったり、100,000 を超える数のエントリ
ーを含むことはできません。
更新スケジュールを構成したり、更新を手動で実行することにより、最新のコンテンツが購読リストにより Web セ
キュリティ ルールに使用できるようにする必要があります。
McAfee サーバーからのリスト コンテンツの取得
購読リストのコンテンツがこの目的で指定された McAfee サーバーから取得されるとき、カタログからこのリストに
対するコンテンツのタイプを選択します。
コンテンツは McAfee サーバー上に維持されます。McAfee が維持するリストが最新のコンテンツを保持している
ことを確認するためには、アプライアンスのユーザー インターフェースで手動更新を実行してください。
別のサーバーからのリスト コンテンツの取得
購読リストのコンテンツが McAfee サーバー以外のサーバーから取得されるとき、サーバーにこのコンテンツを保持
するファイルの URL を指定します。
コンテンツはこのサーバー上に維持されます。この種の購読リストの更新は、リスト設定を構成するときにセットア
ップするスケジュールに従って実行されます。
購読リストの作成
購読リストを作成するには、一般リスト設定およびリスト コンテンツの設定を構成します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]アイコンをクリックします。
[リストの追加]ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
67
4
リスト
購読リスト
3
リストの全般設定を行います。
a
[名前]フィールドに、リスト名を入力します。
b
[入力]リストから、リスト タイプを選択します。
c
[含む]の下で、リストが含まれるエントリのタイプを選択します。
d [オプション][コメント] フィールドで、リストの平文コメントを入力します。
e [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
4
[リスト コンテンツをリモートから管理する] を選択します。
5
リスト コンテンツの設定を行います。
•
McAfee サーバーから取得したリスト コンテンツ:
•
[ソース]の下で、[McAfee の保持されたリスト]を選択します。
•
[選択]をクリックします。
[リスト コンテンツの選択]ウィンドウが開きます。
•
•
コンテンツ タイプを選択します
•
[OK]をクリックしてウィンドウを閉じます。
他のサーバーから取得したリスト コンテンツ:
•
[ソース]の下で、[顧客の保持されたリスト]を選択します。
•
[セットアップ]をクリックします。
[セットアップ]ウィンドウが開きます。
6
•
リスト コンテンツの設定を構成します。
•
[OK]をクリックしてウィンドウを閉じます。
もう一度 [OK] をクリックします。
[リストの追加]ウィンドウが閉じて、リスト ツリーの[購読リスト] ブランチにリストが表示されます。
7
[変更の保存]をクリックします。
購読リスト コンテンツの設定
McAfee サーバー以外のサーバーで購読リストが維持されている場合、設定はそのコンテンツに対して構成される必
要があります。
表 4-4 購読リスト コンテンツの設定
オプション
定義
[ダウンロードす 購読リストのコンテンツのファイルの URL を指定します。
る URL]
URL を指定する形式は、次のとおりです。
HTTP | HTTPS | FTP ://<パス>/<ファイル名>.<拡張子>
[これを使用す
る]
これを選択すると、ラジオ ボタンの隣に表示される証明書認証チェーンに含まれる証明書が使用
されます。
リストのコンテンツを提供するサーバーへの接続が HTTPS プロトコルの下のコミュニケーショ
ン用の SSL セキュア接続の場合に必要です。
68
McAfee Web Gateway 7.5.0
製品ガイド
リスト
購読リスト
4
表 4-4 購読リスト コンテンツの設定 (続き)
オプション
定義
[証明書のエラー これをが選択されると、証明書のエラーはサーバーからのリストの内容を取得するときに障害を
発生させません
を無視する]
[ユーザー認証]
サーバーへのアクセスのための認証が必要な場合のユーザー名とパスワードの設定のためのセク
ションを提供します。
• [ユーザー名 ]-サーバーに認証するためのユーザー名を指定します。
• [パスワード] — サーバー認証のためのパスワードを設定します。
[プロキシ]
リスト コンテンツによるサーバーへのアクセスに使用されるプロキシ サーバーを選択するため
のリストを提供します。
デフォルトでは、リスト コンテンツ サーバーへのアクセスに使用されるプロキシ サーバーがあ
りません。
[プロキシの追
加]
リストにプロキシ サーバーを追加するためのウィンドウを開きます。
[リストの内容の リストの内容の設定と更新のためのセクションを提供します。
更新]
以下のとおり、更新を実行できます。
• [毎時間ごとの時刻(分)] — 1 時間経過した後の分を設定します。
• [毎日の時刻] — 時間と分を指定します。
• [毎週の曜日と時刻] — 曜日と時刻(時間と分)を指定します。
• [毎] — 次の更新が発生するまでの間隔(分)を設定します。
購読リストの更新
購読リストの内容の更新は、内容がこの目的で提供された McAfee サーバーから、または別のサーバーから取得され
たかどうかに応じて、スケジュールに従って実行されます。
McAfee サーバーから取得されたリストの内容の場合は、更新を手動で実行する必要があります。手動更新を行うた
びに、すべての McAfee が維持するリストが一緒に更新されます。
McAfee が維持するリストの内容はまた、この主の新しいリストを作成するたびにも更新されます。
McAfee サーバー以外のサーバーから取得されたリストの内容の場合は、更新はスケジュールに従って実行されます。
それぞれの購読リストは、固有のスケジュールをもっています。リストの内容の設定を構成するときに、スケジュー
ルをセットアップし、変更できます。
一元管理構成でノードの購読リストを管理するとき、更新は更新グループ内のすべてのその他のノードにより共有さ
れます。
更新グループは一元管理設定のセクション[このノードは次のグループのメンバーです]により構成されます。
McAfee サーバー上に維持されている購読リストの更新
McAfee サーバー上に維持されている購読リストの場合は、更新を手動で実行する必要があります。
McAfee が維持するリストの内容はまた、新しいリストを作成するたびにも更新されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーの上のツールバーで、[手動エンジン更新]をクリックします。
McAfee が維持するリストの内容が更新されます。
McAfee Web Gateway 7.5.0
製品ガイド
69
4
リスト
購読リスト
顧客保守リストのコンテンツ ファイルの作成
顧客保守リストとして購読リストを設定した場合、リストの構造を記述したコンテンツ ファイルを作成し、リストの
コンテンツを取得する Web サーバーに保存する必要があります。
コンテンツ ファイルは txt または xml 形式で作成します。作成する形式は顧客保守リストの構造が単純か複雑かに
よって異なります。単純なリストの場合、コンテンツ ファイルはどちらの形式でも作成できますが、複雑なリストの
場合には xml 形式で作成します。
単純なリストとしては、アプリケーション名、カテゴリ、ディメンション、IP、IP 範囲、メディア タイプ、数字、
文字列、ワイルドカードなどのタイプがあります。
複雑なリストとしては、証明機関、拡張リスト要素、ホストと証明書、ICAP サーバー、ネクスト ホップ プロキシな
どのタイプがあります。
単純なリストのコンテンツ ファイル (txt 形式)
次の例は、ワイルドカードを使用した txt 形式のコンテンツ ファイルです。
type=regex "*.txt" "txt file extension" "*.xml" "xml file extension"
この txt 形式のコンテンツ ファイルの意味は次のとおりです。
•
ファイルの最初の行は顧客保守のタイプを表します。形式は次のとおりです。type=<list type>
リスト タイプの場合、applcontrol、category、dimension、ip、iprange、mediatype、number、
string、regex のいずれかを使用します。
•
2 行目以降はリスト エントリです。
各行では、必要な数の項目を記述します。項目は二重引用符で囲む必要があります。
ワイルドカード リストのエントリには 2 つの項目があります。1 つはワイルドカードで、もう 1 つはワイルド
カードを説明するコメントです。
以下では、コンテンツ ファイルの表記規則について説明します。
type=string "withoutDescription" "*emptyDescription\"\"\" "" "data with description and more
spaces in-between"
"description" "data with spaces*
"
"description" "Hello
\"Michael\" \"Michael!\"" ""
•
文字列タイプのリストのエントリにも 2 つの項目 (文字列とコメント) がありますが、説明は省略できます。
説明を省略する場合、2 行目のように、コンテンツ ファイルの項目も省略します。
•
あるいは、3 行目のように、二重引用符の間に何も記述しません。
この行は次の条件を満たしている必要があります。
•
文字列内の二重引用符は、バックスラッシュでマスクする必要があります。
•
二重引用符が続かないバックスラッシュは文字 (バックスラッシュ) と見なされます。
•
* (アスタリスク) など、英数字以外の文字を文字列の先頭に使用することはできません。
ユーザー インターフェースで、3 行目のリスト項目は次のようになります。*emptyDescription\""
•
コンテキスト ファイルの項目間に複数のスペースが挿入されていると、顧客保守リスト内では無視されます。
ユーザー インターフェースで、4 行目の項目は次のようになります。"data with description and more
spaces in-between" "description"
70
McAfee Web Gateway 7.5.0
製品ガイド
リスト
購読リスト
•
4
コンテキスト ファイルの文字列内に複数のスペースがある場合、顧客保守リストでは無視されます。
ユーザー インターフェースで、5 行目の項目は次のようになります。"data with spaces*
" "description"
•
6 行目では、すでに説明した表記規則がいくつか使用されています。
単純なリストのコンテンツ ファイル (xml 形式)
次の例は、ワイルドカードを使用した xml 形式のコンテンツ ファイルです。リストのコンテンツは、前のサブセク
ションの最初の例と同じです。
<content type="regex">
<listEntry> <entry>*.txt</entry> <description>txt file extension</
description> </listEntry>
<listEntry> <entry>*.xml</entry> <description>xml file
extension</description> </listEntry> </content>
コンテンツ タイプは、txt 形式のコンテンツ ファイルと同じ項目を使用する必要があります。
複雑なリストのコンテンツ ファイル
複雑な顧客保守リストのコンテンツを手動で作成するのは簡単なことではありません。ただし、ユーザー インターフ
ェースのオプションを使用して、既存の複雑なリストをエクスポートし、ファイルに保存することは可能です。
次のファイルでは、複雑なリストが xml 形式で記述されています。ファイルで <content> タグと </content> タ
グで囲まれている行をすべて削除すると、複雑なリストのコンテンツ ファイルを取得できます。
次に、<content> タグを <content type="<file type>" に変更します (例: <content
type="nexthopproxy">)。
ファイルタイプの指定に使用できる文字列は ca、extendedlist、icapserver、hostandcertificate、
nexthopproxy です。
ベスト プラクティス - マカフィー が維持する購読リストの使い方
Web セキュリティ ポリシーのルール (特定のトラフィックを SSL スキャンの対象外にするルールなど) で、マカフ
ィー が維持する購読リストを使用できます。
社内ネットワークのクライアントから特定の宛先 (WebEx アプリケーションなど) に SSL 接続で Web トラフィッ
クが送信されている場合について考えてみましょう。Web Gateway が受信したときに、このトラフィックに SSL
スキャンを実行しないようにするとします。
この場合、WebEx が使用する IP アドレス範囲のリストが必要になります。このアドレスは頻繁に変更されていま
す。マカフィー が維持するアドレス リストを使用することで、このリストを手動で更新する手間を省くことができ
ます。
マカフィー による更新を Web Gateway アプライアンスまたは集中管理構成のすべてのアプライアンスに転送する
ように、Web Gateway で設定する更新スケジュールにこのリストを追加します。
マカフィー が維持するリストを Web セキュリティ ポリシーで使用するには、次の手順に従います。
•
マカフィー リストから取得した WebEx アドレス範囲を追加できるように空のリストを作成します。
•
このリストを使用して WebEx へのアクセス要求を SSL スキャンから除外するルールを設定します。
McAfee Web Gateway 7.5.0
製品ガイド
71
4
リスト
購読リスト
IP アドレス範囲を含む購読リストを作成して、McAfee が維持する購読リストに変更する
WebEx アプリケーションの IP アドレス範囲を含む購読リストを作成して、このリストを McAfee が管理するよう
に設定するには、独自のリストを作成し、そのコンテンツが McAfee のリストから提供されるようにします。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
リスト ツリーで [追加] アイコンをクリックします。
3
[リストの追加] ウィンドウで、次のようにリストを設定します。
a
4
リストの全般設定を行います。
•
[名前]: WebEx 購読リスト または任意の名前
•
[タイプ]: [IPRange]
b
[リスト コンテンツをリモートから管理する] を選択します。
c
[McAfee が維持するリスト] を選択して、[選択] をクリックします。
d
[リスト コンテンツの選択] ウィンドウで、WebEx IP Ranges という名前のリストを選択します。
両方のウィンドウで [OK] をクリックします。
リスト ツリーの [購読リスト] ブランチにリストが表示されます。
5
[変更の保存] をクリックします。
作成したリストを適切なルールで使用できます。
McAfee が維持する購読リストをルールで使用する
特定の宛先への Web トラフィックに適切なアクションを実行するルールで、McAfee が維持する購読リストを使用
するには、ルール条件でリストを設定します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで SSL スキャナー デフォルト ルール セットを選択し、[ビューのロック解除] をクリック
して完全なルール ビューを表示します。
3
ルール セットを有効にして、ネストされた接続呼び出し処理ルールセットを選択してください。
4
[ルールの追加] をクリックします。表示されたウィンドウで次のようにルールを設定します。
a
[名前] で、ルール名を入力します (例: Bypass SSL scanning for WebEx destinations)。
b
[条件] で、次の設定を行います。
c
72
•
[プロパティ]:URL.Destination.IP
•
[演算子]:is in range list
•
[比較] (オペランド):WebEx IP Ranges Subscribed Lists
[アクション] で、Stop Rule Set を選択します。
McAfee Web Gateway 7.5.0
製品ガイド
リスト
外部リスト
d
4
[完了] をクリックします。
ウィンドウが閉じ、ルール セットの最後にルールが追加されます。
e
5
ルールを先頭に移動します。
[変更の保存] をクリックします。
宛先に WebEx リストの IP アドレスが指定されている要求には、Web Gateway の SSL スキャンが実行されませ
ん。
外部リスト
データは、Web サーバーなどの外部ソースから取得でき、アプライアンスのルールで使用されます。
このデータは完全なリストまたは単独の値のいずれでもかまいません。一般的には外部リストまたは外部リスト デ
ータと呼ばれます。外部リストでは、文字列、数値、IP アドレス、その他、さまざまなデータ型を使用できます。
外部リストの重要な機能は、アプライアンスでダイナミックに処理されることです。外部リスト データのすべての取
得および変換は、データが初めてルールで使用されるときにランタイムで行われます。
データが取得されると、構成できる期間、内部キャッシュに保存されますが、ディスクには保存されないため、アプ
ライアンスの再起動時には保持されません。また、外部リストはユーザー インターフェースのリスト ツリーには表
示されません。
外部リスト プロパティ
外部ソースから取得したデータへのアクセスは、特別なプロパティを通じて行われます。外部リスト プロパティの名
前は ExtLists.<タイプ> です。<タイプ> はプロパティの値であるリストの要素のタイプです。たとえば、
ExtLists.IntegerList の値は整数のリストです。候補のリストには、文字列、数値、ワイルドカード表現式、その
他を含む要素のタイプが含まれます。
通常、外部リストのプロパティの値がリストでありますが、1 つの値に対する外部リストのプロパティもあります。
外部ソースが後のタイプのプロパティに対する入力として複数の値を指定するとき、最後の値のみが取得され、保存
されます。
外部リスト データはソース タイプに応じてフィルターすることができ、指定されたルールで使用されるプロパティ
のタイプに応じて別の形式に変換されます。
外部リスト プロパティのパラメーターを設定することにより、ランタイムにプロパティのパラメーターと置換される
プレースホルダーを指定できます。これらのプレースホルダーを使用して、外部リストの内容をユーザー名またはユ
ーザー グループ名などの条件に依存させることができます。
ロギングの目的で、ExtLists.LastUsedListName プロパティを使用することができます。これは、最後に使用
された外部リスト モジュールの設定の名前を値として持ちます。
外部リスト モジュール
外部ソースから取得するデータを指定するには、データを取得する外部リスト モジュール (外部リスト フィルター
またはエンジン) を設定する必要があります。
外部データを正常に取得できない場合、外部リスト モジュールはエラー コードを返し、それはエラー ハンドラー ル
ールを使用して処理できます。別の範囲のエラー ID がこの目的で利用できます。
外部リスト モジュールは、外部ソースから取得するデータをキャッシングするために、メモリを消費します。外部リ
スト ハンドリングのルールを設定するときは、このことを考慮に入れる必要があります。
McAfee Web Gateway 7.5.0
製品ガイド
73
4
リスト
外部リスト
外部リスト データのソース
外部リストが記入するコンテンツのソースには、以下のようなものがあります。
•
Web サービス。これは HTTP、HTTPS、または FTP プロトコルの下でアクセスできます。
•
ローカル ファイル システム内のファイル
•
LDAP または LDAPS サーバー
•
データベース サーバー:
•
PostgreSQL
•
SQLite3
データベースでクエリを実行する場合は、SQL クエリ言語が使用されます。しかし、特定のクエリ形式は、両方のデ
ータベース タイプに対して異なる場合があります。
SQLite3 データベースは、ファイルベースで操作し、実稼働環境ではなく、テストにお勧めします。しかし、このタ
イプのデータベースのデータをすでにもっている場合は、それを引き続き使用したい場合があります。それ以外の場
合、外部リスト コンテンツを取得するためには、Web サービスまたはファイル データ ソースを使用することは簡
単です。
使用法 (推奨)
外部リスト機能の操作は、以下のような場合にお勧めします。
ほとんどが外部ソースに保管された多数のリストを処理する必要があり、中央管理構成でノードとして複数のアプラ
イアンスを実行中で、リスト データに頻繁に変更を適用する必要がある場合。
すべてのノードのすべてのリスト データの同期は、スケール自在ではなくなります。
ルールでの外部リスト データの使用
外部リスト データを処理するためには、条件の中で適切な外部リスト プロパティを含むルールを構成する必要があ
ります。
URL が外部ソースに保管されるリストの IP アドレス範囲の 1 つの中にある宛先 IP をもつ場合、Web オブジェク
トの要求をブロックする場合を考えてみましょう。
以下のルールでこれを達成することができます。
禁止範囲の IP アドレスをもつ URL をブロックする
URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –>
Block<URL Blocked>
ルールが処理されると、URL.Destination.IP の値である IP アドレスが ExtLists.IPRangeList の値であるリ
ストの範囲の 1 つの中にあるかどうかをチェックされます。
外部リスト プロパティと共に、<External Lists> 設定が指定されます。これらは、外部リスト モジュールが外部
リスト プロパティの値として適切なデータを取得するために使用する設定です。
特定の外部リストの取得場所と取得方法をモジュールに通知するには、次の設定を行う必要があります。たとえば、
このリストが Web サーバーにテキスト ファイルとして保存されている場合、ファイルにアクセスできる URL を指
定します。
これらの設定の一部として設定できるその他の情報には、タイムアウトとサイズ制限があります。
外部リスト プロパティのパラメーターはオプションです。これらはこの例では空です。
74
McAfee Web Gateway 7.5.0
製品ガイド
リスト
外部リスト
4
デフォルトで、アプライアンスでは外部リストの取り扱いのためのルールはありません。外部リスト データを使用し
てネットワークのユーザーの Web アクセスを制限したい場合は、上述のように 1 つ以上のルールをセットして、そ
れを適切なルール セットに挿入してください。
置換とプレースホルダー
外部リスト データの取得においてより柔軟性を得るために、URL など、外部リスト モジュールの設定を行うときに
プレースホルダーを使用できます。
プレースホルダーは、外部リスト プロパティのパラメーターとして指定する値でランタイムに置換されます。
たとえば、個人ユーザーに許可されるメディア タイプのリストを配布する Web サービスからデータを取得したいと
します。特定のメディア タイプのリストの URL は以下のとおりです。
http://my-web-service.com/ mediatypes?user= <value>
ここで、<value> はユーザーの名前です。
個々のユーザーをそれぞれカバーする外部リスト モジュールの個別設定を行うことは面倒ですから、以下のような方
法でプレースホルダーを使用できます。
•
設定の中の Web サービスの URL パラメーターの場合、以下のとおり指定します。
http://my-web-service.com/mediatypes?user=${0}
ここで、${0} はルールで使用している外部リスト プロパティの 3 つのパラメーターの最初のパラメーターに対
するプレースホルダーです。
•
外部リスト プロパティの最初のパラメーターの場合、Authentication.Username プロパティを指定します。
これは、個々のユーザーが使用できるメディア タイプのリストを取得します。ユーザー名は、特定のタイプのメディ
アにアクセスするためのリクエストを送信した後で、認証する必要があるときにこのユーザーが送信するものです。
以下の 2 つのタイプのプレースホルダーを使用することができます。
•
${<n>} — 変換値で置換されるプレースホルダー
<n> は、外部リスト プロパティのパラメーターの一番号(0、1、2)です。ランタイムに、このプレースホル
ダーはパラメーターの設定時に指定した値により置換されます。
プレースホルダーが置換される前に、値が変換されます。このプロセスは、「エスケープ」ともいいます。変換
は、含まれるデータ ソースの内部ルールに従って実行されます。
たとえば、ソースが Web サービスである場合、対応する HTTP 基準(RFC 2616)の条件に従って、%XX シ
ーケンスによって許可されないすべての文字を置換します。
•
$<<n>> — 変換されない値で置換されるプレースホルダー
上記のように、変換はありません。このことは、置換により望ましくない結果に至らないように、自分自身で確
認することが必要なことを意味します。
このタイプのプレースホルダーは それらの一部が置換されるのではなく、URL 全体が置換されるときに使用する
ことができます。
外部リスト モジュールの構成
外部リスト モジュールの設定を構成し、外部リスト データを取得する必要があるモジュールの情報を提供できます。
デフォルトでは、アプライアンスのこのモジュールに設定は存在しません。個別設定を追加し、ルール内からデータ
を取得する各外部リストへ構成する必要があります。
McAfee Web Gateway 7.5.0
製品ガイド
75
4
リスト
外部リスト
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[外部リスト]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
[名前]フィールドに、設定名を入力します。
4 [オプション][コメント]フィールドで、設定の平文コメントを入力します。
5 [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
6
必要に応じて、その他設定パラメーターを構成します。
7
[OK]をクリックします。
ウィンドウが閉じ、設定が設定ツリーの[外部リスト]の下に表示されます。
8
[変更の保存]をクリックします。
外部リスト モジュール設定
外部リスト モジュール設定は、外部ソースからデータを取得するモジュールを構成するために使用されます。
データ ソースの種類
データが取得されるソースの種類の設定
ここで選択する内容に応じて表示される別のセクションでそれぞれのソースの種類に対する特定の設定を構成できま
す。
表 4-5 データ ソースの種類
オプション
定義
[Web T[rX]
データは HTTP、HTTPS、または FTP プロトコルの下で Web サービスを使用して取得さ
れます。
[ディスクのファイル] データはローカル ファイル システム内のファイルから取得されます。
[LDAP]
データは LDAP サーバーから取得されます。
[データベース]
データは PostgreSQL または SQLite3 データベースから取得されます。
共通パラメーター
外部リンク処理のための時間制限の設定
76
McAfee Web Gateway 7.5.0
製品ガイド
リスト
外部リスト
4
表 4-6 共通パラメーター
オプション
定義
[処理のタイム 外部リストの処理を完了できなった場合に、処理を停止するまでの経過時間 (秒単位) を指定しま
アウト]
す。
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。たとえば、
Web サーバーがアプライアンスからの要求に応答しないときなどに、タイムアウトに達します。
タイムアウトの有効期限は次のように指定できます。
• [単純な有効期限] — これを選択すると、取得したリスト データが内部キャッシュから削除され
るまでの時間 (分) を [有効期限] 入力フィールドで指定できます
• [スケジュール設定された有効期限] — これを選択すると、外部リストが内部キャッシュから削
除されるまでの時間 (分) を表示される複数の入力フィールドで指定できます
[有効期限:]
取得したデータが内部キャッシュから削除されるまでの時間 (分) を指定値に制限します。
[分/時間/日/
月/平日]
取得したデータが内部キャッシュから削除されるまでの時間を指定値に制限します。
これらの入力フィールドはスケジュール設定された有効期限を選択したときに表示されます。
削除は cron ジョブにより計算され、実行されるため、入力は「cron」と互換性がなければなりま
せん。
詳細については、Linux (UNIX) オペレーティング システムのマニュアルの crontab (5) マン
ページを参考にしてください。
これらの値の 1 つまたは任意の数だけ組み合わせて値を指定できます。
データ変換設定
外部ソースから取得したデータを変換するための設定
これらの設定は、選択した[Web サービス]または[ディスクのファイル]をデータのソースとして選択しているときに
のみ使用できます。
表 4-7 データ変換設定
オプション
定義
[データ タイプ]
変換されるデータの入力形式を選択できます。
以下から 1 つを選択できます。
• [ プレーン テキスト] — 元のメッセージをテキスト形式で添付してください
各行は変換されたリストで個別のエントリーとして表示されます。
任意に、以下の入力フィールドのフィルタリング用語として正規表現を指定することができま
す。この用語と一致する文字列のみ、リストに入力されます。
正規表現にグループ化演算子がない場合、完全な文字列がリストに保管されます。それ以外の
場合、最初のグループにより取得されたデータが保管されます。
• [XML] — 元のメッセージを XML 形式で添付してください
取得するデータを選択する XPath 式を指定する必要があります。たとえば、XML タグまたは
属性に従ってデータを取得できます。
[正規表現]
変換されたデータの取得に使用する正規表現が表示されます。
[データの種類]の[プレーン テキスト]を選択している場合に、このオプションが表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
77
4
リスト
外部リスト
表 4-7 データ変換設定 (続き)
オプション
定義
[XPath 式]
変換されたデータの取得に使用する XPath 式が表示されます。
[データの種類]の[XML テキスト]を選択している場合に、このオプションが表示されます。
XPath 式の使用法に関して、w3schools サイトで提供されている XPath のチュートリアル
など、適切な資料を参照してください。
[2 番目の属性の
XPath 式
(MapType の場
合のみ)]
マップ タイプ変換データの取得に使用する 2 番目の属性の XPath 式が表示されます。
2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。
[XPath 式] フィールドの XPath 式で設定された最初の属性では、キーのデータが取得されま
す。
この XPath 式で外部リストから取得する項目数は、最初の属性の式で取得される項目数と一致
させる必要があります。
2 つの式で取得する項目の順番も一致させる必要があります。
Web サービス固有のパラメーター
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。
これらの設定は Web サービスが[データ ソースの種類]セクションで選択されているときに表示されます。
表 4-8 Web サービス固有のパラメーター
オプション
定義
[Web サービスの URL]
外部リストを含んでおり、特定の Web サービス (HTTP、HTTPS、または FTP) により
提供される Web サーバーのファイルの URL を指定します。
URL 内部のプレースホルダーを指定できます。
[認証データを指定する] 選択すると、認証の情報を指定できます。この認証に成功しないと、Web サービスから
データを取得できません。
[HTTP 認証のタイプ]
HTTP 認証の種類を選択するためのリストを提供します。
サポートされる種類は次のとおりです。なし、基本、ダイジェスト
[ユーザー名]
認証のために送信するユーザー名を設定します。
[ユーザーのパスワード] 認証のために送信するパスワードを設定します。
[設定] をクリックすると、パスワードの設定ウィンドウが開きます。
78
[サーバーへのアクセス
にネクスト ホップ プロ
キシを使用する]
これを選択すると、Web サーバーへのアクセスは、ネクスト ホップ プロキシ サーバー
を使用して行われます。
[使用するネクスト ホッ
プ プロキシ サーバーの
リスト]
Web サーバーにアクセスするために、ネクスト ホップ プロキシとして使用できるサー
バーのリストを選択するためのリストを提供します。
McAfee Web Gateway 7.5.0
このチェックボックスを選択した後で、以下の 3 つの項目がアクセス可能になります。
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
製品ガイド
4
リスト
外部リスト
表 4-8 Web サービス固有のパラメーター (続き)
オプション
定義
[証明機関のリスト]
Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリスト
を選択するためのリストを提供します。
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
[追加の HTTP ヘッダー
のリスト]
アプライアンスで受け取った後に HTTP 要求に追加するヘッダーを選択するためのリス
トを提供します。
次の表に[追加の HTTP ヘッダーのリスト]にあるエントリーを示します。
表 4-9 追加の HTTP ヘッダー - リスト エントリー
オプション
定義
[ヘッダー名]
HTTP 要求に追加するヘッダーの名前を指定します。
[ヘッダー値]
HTTP 要求に追加するヘッダーの値を指定します。
[コメント]
ヘッダーの平文テキストのコメントを提供します。
ファイル固有のパラメーター
外部リストのソースがローカル ファイルシステム内のファイルであるときに設定が適用されます。
これらの設定は[ディスクのファイル]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 4-10 ファイル固有のパラメーター
オプション
定義
[ファイルの完全パス] 外部リストのソース ファイルのローカル ファイル システム内でのパスが表示されます。
LDAP 固有のパラメーター
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
これらの設定は[LDAP]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 4-11 LDAP 固有のパラメーター
オプション
定義
[LDAP サーバーの
URL]
外部リストのソースであるローカル ファイル システムからのファイルの名前を指定します。
URL 内部のプレースホルダーを指定できます。
ファイルの場所の候補を制限するために、外部リスト システム設定を設定するときに、ローカ
ル ファイル システムの一部を指定できます。
ファイルは、たとえば、opt/mwg/temp のように指定された部分の中になければなりませ
ん。
[証明機関のリス
ト]
Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリストを選
択するためのリストを提供します。
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集するた
めのウィンドウを開きます
[ユーザー名]
McAfee Web Gateway 7.5.0
LDAP サーバーに接続しようとするときにアプライアンスが送信するユーザー名を指定しま
す。
製品ガイド
79
4
リスト
外部リスト
表 4-11 LDAP 固有のパラメーター (続き)
オプション
定義
[LDAP パスワー
ド]
LDAP サーバーに接続しようとするときにアプライアンスが送信するパスワードを設定しま
す。
指定した[設定/変更]切り替えボタンを使用して、パスワードを設定または変更できます。
[検索 DN]
外部リストについて検索される LDAP サーバーのデータベースのドメイン名を指定します。
この名前の中でプレースホルダーを指定できます。
[検索範囲]
LDAP サーバーの外部リストの検索範囲を選択できます。
• [サブツリー] — 検索される[検索 DN]の下で指定されたドメインの完全なサブツリー。
• [1 レベル] — 検索される[検索 DN]の下で指定されたドメインの下の 1 レベルのみ。
• [基本] — 検索される[検索 DN]の下で指定された基本のドメインのみ。
[検索フィルター]
LDAP サーバーの外部リストの検索結果をフィルタリングする用語を指定します。
データベースのエントリーの名前がフィルタリング用語と一致している場合のみ、エントリー
が示す項目が取得されます。
この用語の中でプレースホルダーを指定できます。
[属性]
たとえば、電子メール アドレスなど、対象の検索結果である LDAP サーバーのデータベース
の項目の属性を指定します。
[2 番目の属性
(MapType のみ)]
LDAP サーバーのデータベース項目の 2 番目の属性が表示されます。この項目のデータがマ
ップ タイプ データの場合に検索結果が表示されます。
2 番目の属性で取得されたデータは、マップ タイプのキーと値の組み合わせになります。
[属性] フィールドで設定された最初の属性では、キーのデータが取得されます。
[LDAP バージョン
3 を有効にする]
これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
このオプションを無効にする場合、LDAP サーバーで通信するために使用されるエンコーディ
ングを指定する必要があります。
[LDAP バージョン 3 を有効にする]の選択を解除すると、この情報に対して以下の入力フィー
ルドが表示されます。
[LDAP ライブラリ
に参照に従うこと
を許可する]
リストを取得するために、外部リストに検索が行われる LDAP サーバーの外部の場所への参照
に従うことができます。
データベース固有のパラメーター
外部リストのソースがデータベースであるときに適用される設定
これらの設定は[データベース]が[データ ソースの種類]セクションで選択されているときに表示されます。
80
McAfee Web Gateway 7.5.0
製品ガイド
リスト
外部リスト
4
表 4-12 データベース固有のパラメーター
オプション
定義
[SQL クエリ]
データベースで実行されるクエリのタイプを表す文字列を指定します。
外部リスト情報の取得に使用されるクエリのデフォルトの種類は、SELECT です。
文字列の最後にセミコロン (;) を付けることができますが、これは必須ではありません。
クエリはまた、さまざまなデータを含むプレースホルダーを使用することもできます。
SQL インジェクションを防ぐため、$N プレースホルダーを使用すると、変数の値として挿入
されたデータがエスケープされます。円記号 (\) は円記号 2 つ (\\) に置換されます。アポス
トロフィ (') の前に円記号 (\) が付きます。
SQL クエリは、複数の列を返すクエリを実行する場合、通常 1 データ列を返し、最初のものだ
けが外部リストのコンテンツに使用されます。
いくつかの列からコンテンツを取得するためには、適切な SQL 演算子を使用して、出力するた
めの列の組み合わせを指定する必要があります。
[データベースの
タイプ]
外部リストのコンテンツが取得されるデータベースの種類を指定します。
以下の 2 種類が使用可能です。
• PostgreSQL
• SQLite3
データベースの種類を選択した後で、データベース固有のパラメーターがこのタイプに従って表
示されます。
表 4-13 PostgreSQL データベース固有のパラメーター
オプション
定義
[データベース ホスト]
データベースが常駐するサーバーのホスト名を指定します。
[データベース ポート]
外部リストの内容を取得するためのクエリを待機するデータベースのポートの
ポート番号を指定します。
デフォルトのポート番号は 5432 です。
[データベース サーバーのデータ データベース サーバーの下でわかっているデータベースの名前を指定します。
ベース名]
[データベース ユーザー名]
データベース サーバーに接続するアプライアンスのユーザー名を指定します。
[データベースのパスワード]
アプライアンスのユーザー名のパスワードを設定します。
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
表 4-14 SQLite データベース固有のパラメーター
オプション
定義
[SQLite データベースへのファイル パス] データベースを含むアプライアンスのファイルへの完全パスを指定し
ます。
詳細パラメーター
外部リンク処理のための詳細な方法の設定
McAfee Web Gateway 7.5.0
製品ガイド
81
4
リスト
外部リスト
表 4-15 詳細パラメーター
オプション
定義
[データ変換中に「不正」 選択すると、整数、倍精度、ブール値など、要求された種類に変換できないデータが省略
エントリーをスキップ] されます。
[取得するエントリーの 外部リストから取得するエントリーの数を指定値に制限します。
最大数]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
[取得するエントリーの 外部リストから取得するデータ量 (KB) を制限します。
最大サイズ]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
外部リストの全般設定の構成
アプライアンスでの使用のため取得するすべての外部リストに適用する設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[外部リスト]をクリックします。
外部リストの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
外部リスト システム設定
外部リスト システム設定は、アプライアンスで処理するすべての外部リストに適用されます。
グローバル構成
外部リスト データを保管するアプライアンスの内部キャッシュの設定
表 4-16 グローバル構成
オプション
定義
[外部リスト キャッシュ 内部キャッシュに保管されているデータを削除します。
のフラッシュ]
[失敗後の再試行までの
時間]
外部リスト モジュールが特定の外部ソースからのデータを取得することに失敗したこと
を記憶している時間(秒)を指定値に制限します。
このモジュールは、障害を記憶する限り、ソースに対する再試行を実行しません。
ネットワークの要件に従って、デフォルト値を維持するか、それを変更することをお勧め
します。
このようにして、すでに過負荷になっている Web サーバーに定期的に再試行することに
よって、負荷を追加しないで済みます。
82
McAfee Web Gateway 7.5.0
製品ガイド
4
リスト
マップ タイプ リスト
ファイル データ ソースの構成
外部リスト データを取得できるローカル ファイル システムの設定
表 4-17 ファイル データ ソースの構成
オプション
定義
[ファイル データ アクセ ローカル ファイル システム内に外部リストを保管するためのフォルダーを指定するパ
スに許可されるファイル スを指定します。
システム]
データが取得される外部リストは、このフォルダーーに保管される必要があります。
それ以外の場合、データを取得しようとすると、アクセス拒否エラーとなります。
外部リスト データが SQLite データベースから取得されると、ここで指定されるパスは
データベースを含むローカル ファイル システム内のフォルダーーへのパスです。
Web データ ソースの構成
外部リスト データのソースであるすべての Web サービスの設定
表 4-18 Web データ ソースの構成
オプション
定義
[SSL 証明書の ID のチ これを選択すると、SSL セキュア コミュニケーションで Web サーバーが送信する証明
ェック]
書が検証されます。
アプライアンスで実施される SSL スキャニング ルールに従って検証が実行されます。
たとえば、Web サーバーが自己署名証明書を使用する場合にはエラーになる場合があり
ます。
マップ タイプ リスト
マップ タイプ リスト (マップ) を使用すると、相互に対応するキーと値の組み合わせを保存することができます。キ
ーと値は両方とも文字列タイプです。
既存のマップを参照すると、マップ上に特定のキーが存在するかどうか、またはどの値がキーに対応しているのか調
べることができます。
その他に、特定のキーに対して値の設定や削除を行ったり、マップ全体を 1 つの文字列に変換することができます。
Web Gateway のユーザー インターフェースでマップ タイプ リストを作成して、入力することができます。また、
外部リストと契約済みのリスト機能を使用して、リストをリモートから取得することもできます。
マップに他のデータ タイプ (数字、IP アドレスなど) を使用する場合、Number.ToString や IP.ToString など
のプロパティを使用してデータを変換することができます。
マップ タイプ リストを作成する
マップ タイプ リストを作成するには、このタイプのリストを追加し、キーと値の組み合わせを定義します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
リスト ツリーで [追加] アイコンをクリックします。
[リストの追加] ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
83
4
リスト
マップ タイプ リスト
3
マップ リストを追加します。
a
[名前] フィールドで、リスト名を入力します。
b
[タイプ] リストで、[マップ タイプ] を選択します。
c
[OK] をクリックします。
ウィンドウが閉じます。リスト ツリーで、[カスタム リスト] 、 [マップ タイプ] の順に移動すると、新しいマ
ップ タイプ リストが表示されます。
設定ペインでエントリを入力できます。
4
設定ペインで [追加] アイコンをクリックします。
[マップ タイプの追加] ウィンドウが開きます。
5
次のように、エントリを設定します。
a
[キー] フィールドで、キーの名前を入力します。
b
[値] フィールドで、値を入力します。
c
[OK] をクリックします。
ウィンドウが閉じます。設定ペインの先頭行にエントリのペアが表示されます。
6
[変更を保存] をクリックします。
プロパティによるマップ タイプ リストの操作
いくつかのプロパティは、マップ タイプ リストの操作に使用できます。これらのプロパティをルール条件で使用す
ると、マップ タイプ リストの情報を取得したり、リストの変更や作成、リストから文字列への変換を行うことがで
きます。
マップ タイプ リスト (マップ) に関する情報を取得する場合、次の操作を実行できます。
•
名前を指定してマップを取得する
•
マップ内のキーのリストを取得する
•
特定のキーがマップに存在するかどうかを確認す
る
•
マップ内の特定のキーの値を取得する
•
マップ内のキーと値の組み合わせの数を確認する
これらの操作を行う場合、以下のプロパティを使用します。
プロパティ
説明
Map.ByName
指定した名前のマップを提供します。
Map.HasKey
指定したマップに指定したキーが存在する場合 true になります。
Map.Size
マップ内のキーと値の組み合わせの数を提供します。
Map.GetKeys
マップ内のキーのリストを提供します。
Map.GetStringValue
指定したマップの指定したキーの値を表す文字列を提供します。
たとえば、ルールの条件で Map.GetStringValue プロパティを使用すると、特定の値を含むキーがリストにある
かどうか確認できます。キーはユーザー名で、値の文字列は認証でトークンとして使用されます。
条件を次のように設定します。
Map.GetStringValue (testmap, "sampleuser") equals "sampletoken"
sampleuser キーの値が sampletoken の場合、条件を満たし、特定のアクション (続行 など) が実行されます。
84
McAfee Web Gateway 7.5.0
製品ガイド
リスト
マップ タイプ リスト
4
マップを変更すると、元のマップのコピーに変更が適用され、元のマップは変更されません。これにより、次の操作
を行うことができます。
•
キーに特定の値を設定する
•
キーを削除する
これらの操作を行う場合、以下のプロパティを使用します。
プロパティ
説明
Map.SetStringValue
指定したキーに指定した値が設定されているマップを提供します。
Map.DeleteKey
指定したキーが削除されたマップを提供します。
新しいマップを作成したり、マップを文字列に変換する場合には、次のプロパティを使用します。
プロパティ
説明
Map.CreateStringMap
空の新しいマップを提供します。
Map.ToString
文字列に変換されたマップを提供します。
外部リストと購読リストを使用したマップ データの取得
マップ タイプ リスト (マップ) のデータは、外部リストと購読リストから取得できます。
外部リスト
外部リストからマップ データを取得するには、ルールの条件で ExtLists.StringMap プロパティを使用します。
このプロパティには、外部リストをソースとするマップのリストが設定されています。
たとえば、外部ソースから取得するリストに特定のキーが含まれているかどうか確認する場合、以下の条件を設定し
ます。
Map.GetKeys(ExtLists.StringMap(" ", " ", " ")<External Lists>) contains "samplekeyname"
外部リストと取得場所を指定するには、取得を実行する外部リスト モジュールを設定する必要があります。前述の条
件では、この設定は External Lists に指定します。
外部リスト データは、Web サービス、ファイル、PostgreSQL、SQLite3 データベース、LDAP から取得できます。
マップ データの取得元を設定する場合、ソース タイプについて以下の点に注意してください。
•
Web サービスまたはファイル
Web サービスまたはファイルから取得する場合、データの種類は Plain Text にする必要があります。
データを検索する場合、2 つの部分から構成される正規表現を使用します。最初の部分がキー、2 番目が値です。
•
データベース
データを取得するデータベース クエリでは、2 つの列を照会する必要があります。最初の列はキー、2 番目の列
は値です。
•
LDAP
データを取得するには、LDAP 設定の最初の属性と 2 番目の属性を設定します。最初の属性はキー、2 番目の属
性は値です。
McAfee Web Gateway 7.5.0
製品ガイド
85
4
リスト
共通カタログ
購読リスト
マップ データを取得する購読リストの項目は次の形式にする必要があります。
<listEntry> <complexEntry defaultRights="2"> <configurationProperties>
<configurationProperty key="key" type="com.scur.type.string" value="key"/>
<configurationProperty key="value" type="com.scur.type.string" value="value"/> </
configurationProperties> </complexEntry> <description></description> <l/istEntry>
listEntry 要素に complexEntry が含まれています。これにより、購読リスト モジュールがこの形式を処理でき
るようになります。
共通カタログ
共通カタログでは、McAfee ePO サーバーから Web Gateway アプライアンスにプッシュできるリストが提供され
ます。
IP アドレス、ドメイン名、文字列、ワイルドカードなどのリストをプッシュできます。
Web Gateway アプライアンスのリストの内容は変更しないでください。このコンテンツは、McAfee ePO サーバー
との間で更新されます。これらの更新により、適用済みの変更が上書きされます。
リストの転送を行うため、両方のシステムで REST (Representational State Transfer) インターフェースが実行さ
れます。また、Web Gateway の McAfee ePO 拡張ファイルが McAfee ePO サーバーで実行されている必要があり
ます。
この拡張ファイルには、拡張ファイルの使用方法を説明するヘルプの拡張ファイルも含まれます。拡張パッケージは、
[ePolicy Orchestrator] システム設定で Web Gateway のユーザー インターフェースに適用されます。
McAfee ePO サーバーからの要求を Web Gateway の Web セキュリティ ルールでフィルタリングされないよう
にするには、ライブラリから適切なルール セットをインポートし、ルール セット ツリーの先頭に配置して有効にす
る必要があります。
また、リスト転送の処理を許可するアプライアンスにインスタンスが必要なため、McAfee ePO ユーザー アカウン
トをセットアップする必要があります。このアカウントをセットアップするには、[ePolicy Orchestrator] のシステ
ム設定を使用します。
McAfee ePO アカウントのユーザーは、内部の Web Gateway 管理者アカウントの中でも管理者として表示されま
す。
共通カタログのリストが Web Gateway にプッシュされると、ユーザー インターフェースの [リスト] タブに表示
されます。リスト名には、McAfee ePO サーバーから取得したリストであることを示すプレフィックスが付いていま
す。
これらのリストを使用して、[リスト] タブのほかのリストのようなルールを構成できます。
共通カタログ リストの使用を準備する
McAfee ePO サーバーから Web Gateway アプライアンスにプッシュされる共通カタログ リストの使用を準備す
るには、次の手順に従います。
タスク
86
1
Web Gateway で McAfee ePO ユーザーのアカウントをセットアップします。
2
Web Gateway で、同じユーザー名とパスワードを使用して管理者アカウントをセットアップします。
3
Web Gateway での REST インターフェースの使用を可能にします。
McAfee Web Gateway 7.5.0
製品ガイド
リスト
共通カタログ
4
4
Web Gateway のユーザー インターフェースでライブラリから「ePO 要求を迂回」ルール セットをインポート
します。このルール セットをルール セット ツリーの最上位に移動し、有効にします。
5
Web Gateway の McAfee ePO 拡張パッケージをダウンロードし、McAfee ePO サーバーにインストールしま
す。
6
McAfee ePO サーバーのユーザー インターフェースで、Web Gateway が稼動しているアプライアンスを指定
し、Web Gateway と通信を行う新しいサーバーを登録します。
約 15 分後、Web Gateway で処理された Web トラフィックのデータがユーザー インターフェースのダッシュ
ボードに表示されます。
7
McAfee ePO サーバーから Web Gateway にリストをプッシュします。
Web Gateway にプッシュしたリストがユーザー インターフェースのリスト ツリーに表示されます。
McAfee ePO 拡張パッケージのインストールと McAfee ePO サーバーでの操作については、McAfee ePO のマニュ
アルを参照してください。
共通カタログ リストのユーザー アカウントのセットアップ
共通カタログ リストを使用するには、Web Gateway で McAfee ePO ユーザー アカウントをセットアップし、リ
ストの転送を行うインスタンスを作成する必要があります。
タスク
1
[構成] 、 [ePolicy Orchestrato]を選択します。
2
[ePolicy Orchestrator の設定] で、ユーザー アカウントを設定します。
a
[ePO ユーザー アカウント] フィールドで、事前に設定されている値 (epo) を使用します。
b
[パスワード] フィールドの横にある [変更] をクリックします。
[新しいパスワード] ウィンドウが表示されます。
c
ウィンドウのオプションを使用して、新しいパスワードを設定します。
3
[ePO のデータ収集を有効化]]が選択されていることを確認します。
4
[変更の保存]をクリックします。
設定した McAfee ePO アカウントのユーザー名が Web Gateway の管理者アカウントとして表示されます。
共通カタログ リストに管理者アカウントをセットアップする
共通カタログ リストを使用するには、McAfee ePO のユーザー アカウントと同じ名前とパスワードを使用して、
Web Gateway に管理者アカウントをセットアップする必要があります。
タスク
1
[アカウント] 、 [管理者アカウント] の順に選択します。
2
[内部管理者アカウント] で、[追加] をクリックします。
[管理者の追加] ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
87
4
リスト
共通カタログ
3
共通カタログ リストを使用する管理者アカウントをセットアップします。
a
[ユーザー名] フィールドに epo と入力します。
b
[パスワード] フィールドと [パスワードの確認] フィールドに、ePO ユーザーのユーザー アカウントをセッ
トアップしたときに設定したパスワードを入力します。
c
[ロール] リストで、[ePO 共通カタログ管理者] を選択します。
d
[編集] をクリックして、ロールの現在の設定を確認します。
[ロールの編集]ウィンドウが表示されます。必要に応じて、以下の設定を有効にします。
e
•
[ポリシー - リストにアクセス可能 ]
•
[ポリシー - リストの作成 ]
•
[REST インターフェースにアクセス可能 ]
[OK] をクリックします。
ウィンドウが閉じて、新しい管理者アカウントが [内部管理者アカウント] に表示されます。
この管理者アカウントは、McAfee ePO ユーザーのユーザー アカウントと一緒に Web Gateway のインスタンスと
して機能し、McAfee ePO サーバーからのリスト転送の処理で必要になります。
共通カタログ リストでの REST インターフェースの使用を有効にする
McAfee ePO サーバーに接続して共通カタログ リストを取得する場合、Web Gateway で内部 REST
(Representational State Transfer) インターフェースを有効にする必要があります、
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、共通カタログ リストを転送するアプライアンスを選択し、[ユーザー インターフェー
ス] をクリックします。
3
[UI アクセス] で、[HTTP 接続で REST インターフェースを有効にする] と [HTTPS 接続で REST インターフ
ェースを有効にする] の両方を選択します。
4
[ログイン ページ オプション] で、[1 つのログイン名で複数のログインを許可する] を選択します。
5
[変更を保存] をクリックします。
McAfee ePO サーバーに Web Gateway を登録する場合の設定例
共通カタログ リストを Web Gateway アプライアンスに転送するには、McAfee ePO サーバーでアプライアンスを
新しいサーバーとして登録する必要があります。
以下に、この登録を行う場合の設定例を示します。
88
オプション
サンプル値
[サーバーの種類]
McAfee Web Gateway 7
[名前]
mwg7-3.sample-lab.local
[メモ]
(オプション)
[ホスト名]
mwg7-3.sample-lab.local
[ホスト アドレス]
171.18.19.226
McAfee Web Gateway 7.5.0
製品ガイド
リスト
JavaScript Object Notation データ
4
オプション
サンプル値
[管理ポート ]
4712
[統計取得ポート]
9090
[ユーザー名 (ホスト GUI への
アクセス) ]
<Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の
ユーザー名または現在のユーザー名>
[パスワード ]
<Web Gateway ユーザー インターフェースにアクセスするユーザーの初期の
パスワードまたは現在のパスワード>
[ユーザー名 (統計取得とリスト
管理) ]
epo
[パスワード]
<ePO ユーザーや Web Gateway の管理者アカウントと同じパスワード>
[オプション]
[このシステムのリストを ePO で管理する] (有効)
Web Gateway のユーザー インターフェースにアクセスする場合の初期のユーザー名とパスワードは、それぞれ
admin と webgateway です。
JavaScript Object Notation データ
Web Gateway では、JavaScript Object Notation (JSON) 形式でエンコードされたデータの読み取り、変更、作
成を行うことができます。
JavaScript Object Notation は、テキスト ベースのデータ交換フォーマットです。JavaScript で読み取りが可能
ですが、この言語の使用とは関係ありません。このフォーマットは、対話型の Web サイトとの通信や、NoSQL や
ドキュメント指向データベース (MongoDB、Couch DB など) との通信に使用されます。
JSON ベースのプログラミング インターフェースは、Facebook や Twitter などの有名なソーシャル ネットワーク
でも使用されています。
®
Web Gateway では、McAfee Advanced Threat Defense (Advanced Threat Defense) が提供したスキャン レ
ポートなどで JSON データを使用しています。外部ソースから取得し、Web Gateway で処理されたリストも
JSON データ形式で記述されます。
JSON データ
JSON データはオブジェクトとして使用できます。JSON オブジェクトは、文字列や数値など、同じまたは異なる通
常のデータ型を含むコンテナーです。
JSON オブジェクトの基本構造は次のようになります。
object:{"key": value,
"key": value, ...}
例:
Employee:{"First name":"Joe",
"Last name":"Miller",
"Age":32}
JSON 要素の値は、文字列、数値、ブール値、NULL のいずれかのデータになります。
JSON オブジェクトに配列が含まれている場合もあります。
object:{"key": value,
"key": value,
array:[value, value,
...]}
例:
Employee:{"First name":"Joe",
McAfee Web Gateway 7.5.0
"Last Name":"Miller",
"Children":[Ian, Lisa]}
製品ガイド
89
4
リスト
JavaScript Object Notation データ
本来の JavaScript Object Notation では、階層データ構造の最上位でオブジェクトと配列以外は使用できません。
Web Gateway でサポートするときに、単純な要素も最上位で使用できるようになりました。
JSON オブジェクトが他の JSON オブジェクトに埋め込まれている場合もあります。
JSON データを処理するプロパティの使用
Web Gateway で JSON データの読み取り、変更、作成を行うために、いくつかのプロパティを使用することがで
きます。
たとえば、JSON.FromString プロパティを使用すると、文字列から JSON 要素を作成できます。この文字列は、
プロパティのパラメーターとして指定します。JSON.FromString("Miller") は、"Miller" という文字列を JSON
要素の値として渡します。
JSON オブジェクトの作成には JSON.CreateObject プロパティを使用します。初期状態では、このオブジェクト
は空です。オブジェクト内に JSON 要素を格納するには、両方の項目に名前を付けて指定する必要があります。
オブジェクト名はユーザー定義のプロパティで設定します。
たとえば、User-Defined.myjsonemployee という名前でユーザー定義のプロパティを作成して、ルール内の
イベントを使用し、JSON.CreateObject プロパティの値を渡すことができます。
名前
ユーザー定義のプロパティとして JSON オブジェクトを作成する
条件
Always
アクション
–>
Continue
イベント
– Set User-Defined.myjsonemployee = JSON.CreateObject
空の JSON オブジェクト User-Defined.myjsonemployee に値を挿入するには、JSON.StoreByName プ
ロパティを使用します。このプロパティでは、パラメーターとしてオブジェクト名、要素キー、要素の値を指定しま
す。
たとえば、以下の例では、"Last name" というキーと "Miller" という値を持つ要素をオブジェクトに保存していま
す。
JSON.StoreByName(User-Defined.myjsonemployee, "Last name", JSON.FromString("Miller"))
オブジェクトに要素を保存する場合、より簡単な方法で保存することもできます。
•
JSON.StoreByName プロパティを使用する前に、オブジェクトを作成する必要はありません。
プロパティのパラメーターとしてオブジェクト名を指定したときに、オブジェクトが存在しないと、指定した名
前でオブジェクトが作成されます。
•
要素値を取得するために、JSON.FromString プロパティを使用する必要はありません。
文字列を直接指定して、この値を作成できます。JSON 要素の値に格納できる他のデータ型も同様の方法で作成
できます。
以下の方法でもオブジェクトに要素が保存されます。
JSON.StoreByName(User-Defined.myjsonemployee, "Last name", "Miller"))
JSON プロパティのグループ
同じ種類のデータの処理を行うという点で、多くの JSON プロパティは他のプロパティと類似しています。
JSON.FromString などの JSON.From<x> プロパティは、単純なデータ型を値に持つ JSON 要素を渡します。こ
のデータ型の値は、JSON プロパティのパラメーターとして指定されます。
90
McAfee Web Gateway 7.5.0
製品ガイド
4
リスト
JavaScript Object Notation データ
以下では、JSON プロパティの中で重要なグループについて説明します。
•
JSON.From<x> = 単純なデータ型の値を持つ JSON 要素を渡します。
プロパティ: JSON.FromString、JSON.FromNumber、JSON.FromBool、JSON.FromStringList、
JSON.FromNumberList
•
JSON.As<x> = JSON 要素の値を単純なデータ型で渡します。
このグループのプロパティは、JSON.From<x> プロパティとは逆の処理を行う場合に使用されます。
これらのプロパティを使用するには、JSON 要素の形式が単純なデータ型と一致している必要があります。
たとえば、JSON.AsString プロパティは、JSON 要素の値が (JSON) 文字列の場合にのみ文字列を渡します。
プロパティ: JSON.AsString、JSON.AsNumber、JSON.AsBool
•
JSON.Create<x> = JSON オブジェクト、配列、要素値 0 を作成します。
プロパティ: JSON.CreateObject、JSON.CreateArray、JSON.CreateNull
•
JSON.Get<x> = オブジェクト内または要素のデータ型から JSON 要素を生成します。
JSON.GetByName は JSON オブジェクトでキーに一致する要素を取得します。
JSON.GetAt は JSON 配列内の位置に一致する要素を取得します。
JSON.GetType は要素のタイプを取得します。
フィルタリング ルールでの JSON プロパティの使用
JSON.ToString プロパティは、JSON 要素の値を文字列形式に変換します。
たとえば、このプロパティは、特定のクライアントの IP アドレスをホワイトリストに追加する単純なリストで使用
できます。
このルールでは、特定のクライアント IP アドレスをホワイトリストに追加するクライアント IP アドレスと比較し、
両方のアドレスが一致するかどうか確認します。
名前
JSON 要素値で提供されたクライアント IP アドレスを許可する
条件
アクション
Client.IP equals String.ToIP(JSON.ToString(User-Defined.myjsonipaddress)) –> StopCycle
ホワイトリストに追加するクライアント IP アドレスは、ユーザー定義プロパティの
User-Defined.myjsonipaddress の値で渡します。
JSON.ToString プロパティは、この値を文字列形式に変換します。String.ToIP プロパティは、この文字列を IP ア
ドレスに変換し、ルールの先頭にある Client.IP プロパティに指定された値と一致するかどうか比較します。
UserDefined.myjsonipaddress プロパティを同じルールで使用するには、このプロパティを JSON データ形式で
作成し、ホワイトリストに追加するアドレスを値として設定する必要があります。
値を確認するには、次のように同じルールで別のイベントを使用します。
名前
JSON タイプのユーザー定義プロパティの値をクライアント IP アドレスに設定する
条件
アクション
McAfee Web Gateway 7.5.0
イベント
製品ガイド
91
4
リスト
JavaScript Object Notation データ
Always –> Continue
– Set User-Defined.myjsonipaddress = JSON.FromString ("10.149.8.34")
ルール イベントの JSON.FromString プロパティが、プロパティ パラメーターで文字列として指定されたクライア
ント IP アドレスを JSON 要素の値に変換します。
Advanced Threat Defense レポートからの JSON データの取得
Web Gateway で Advanced Threat Defense がルールによって呼び出され、Web オブジェクトをスキャンする
と、スキャン結果が Antimalware.MATD.Report プロパティの値として保存されます。
この結果は文字列として提供されますが、この文字列には JSON スタイルで配列の要素となる項目が含まれていま
す。この項目は、JSON.ReadFromString プロパティを使用すると、JSON 要素に変換できます。このプロパティ
は、AntiMalware.MATD.Report プロパティをパラメーターとして使用します。
JSON 要素は、ユーザー定義プロパティの値として設定できます。
これらのプロパティを使用するルールは次のようになります。
名前
JSON タイプのユーザー定義プロパティの値を Advanced Threat Defense レポートに設定する
条件
アクション
Always –> Continue
イベント
– Set User-Defined.myjsonmatdreport = JSON.ReadFromString
(Antimalware.MATD.Report)
たとえば、JSON.GetByName プロパティを使用して結果のデータを取得し、ログ ファイルに書き込むことができ
ます。
名前
Advanced Threat Defense レポートから取得した JSON データをログ ファイルに書き込む
条件
アクショ
ン
イベント
Always – Continue – FileSystemLogging.WriteLogEntry(GetByName(User-Defined.myjsonmatdreport,
>
"Summary")<AdvancedThreat DefenseLog>
このルールのイベントで、"Summary" は、スキャン結果のデータを値として持つ JSON 要素のキーになります。
このキーと値は、JSON オブジェクトの Antimalware.MATD.Report プロパティの値として保存されます。
JSON オブジェクトの構造は次のようになります。
いくつかの埋め込みオブジェクトが存在します。要素キーは、レポートで実際に使用されているものですが、値はサ
ンプルです。
Report:{"Summary":{"Selectors":[{"Engine":"GAM engine", "MalwareName":"EICAR test file",
"Severity":"5" }], "Verdict":{"Severity":"5", "Description":"Subject is malicious" },
"Stats":
[{"ID":"0", "Category":"Persistence, Installation Boot Survival",
"Severity":"5" }] }
JSON データ形式での外部リストの取得
外部ソースから取得したリストで JSON データを処理するには、Ext.Lists.JSON プロパティを使用します。外部
リストを取得すると、リストのコンテンツは JSON 要素になり、このプロパティに値が保存されます。
他の外部リスト プロパティと同様に、Ext.Lists.JSON は文字列形式の 3 つのパラメーターを使用し、外部ソース
の識別に使用します。
92
McAfee Web Gateway 7.5.0
製品ガイド
5
設定
設定は、Web Gateway でモジュール (エンジン)、ルール アクション、システム機能を設定する場合に使用されま
す。
設定名はユーザー インターフェースの様々な場所で表示されます。たとえば、ルールの条件、アクション、イベント
の他、[設定] タブや [アプライアンス] タブにも表示されます。
設定名をクリックすると、パラメーターと値にアクセスし、設定を行うことができます。
アプライアンスの初期セットアップでは、アクション設定のルール セットとアプライアンスの設定が実装されます。
ルール セット ライブラリからルール セットをインポートすると、追加モジュールとアクション設定が実装されま
す。
最初に実装またはインポートされた設定を確認し、変更することができます。モジュールとアクション設定を完全に
削除し、独自のモジュールとアクション設定を作成することもできます。
目次
設定のタイプ
設定タブ
アクセスの設定
アクションおよびモジュール設定の作成
設定のタイプ
異なる種類の設定がルールの処理やアプライアンスのその他の機能と共に使用されます。
•
モジュール設定 — プロパティの値を配布し、その他のジョブを実行するために、ルールにより呼び出されるモジ
ュール (エンジンとも呼ばれる) の設定
•
アクション設定 — ルールで実行されるアクションの設定
•
システム設定 — アプライアンスのシステム設定
モジュール設定
モジュールの設定では、プロパティの値を設定したり、他のジョブを実行するためにルールが呼び出すモジュール
(エンジンともいいます) の設定を行います。
McAfee Web Gateway 7.5.0
製品ガイド
93
5
設定
設定のタイプ
たとえば、URL フィルター モジュールは、フィルタリング ルールの URL.Categories プロパティの値を配布するた
めに URL カテゴリーの情報を取得します。
ルールでは、ルールにより呼び出されるモジュールの設定名がルール プロパティの隣に表示されます。たとえば、ウ
イルスとマルウェア フィルタリングのルールでは、Gateway Antimalware を Antimalware.Infected の隣
に設定名として表示できます。
このことは、マルウェア対策モジュールが呼び出され、値 true または false がプロパティに対して配布されると、
モジュールは Gateway Antimalware 設定で実行されます。たとえば、この設定により、感染について Web オ
ブジェクトをスキャンする際にどの方法を使用するかが決定します。
これらのルールのモジュール設定には、[設定] タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
アクションの設定
アクションの設定は、ルールにより実行されるアクションに対する設定です。
これらは主に、ブロックや認証などのルール アクションの影響を受けるユーザーに送信されるメッセージを指定する
ために構成されます。ユーザーに影響を与えないアクション、たとえば「ルール セットの続行」や「停止」には設定
がありません。
これらのルールの設定には、[設定] タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
システム設定
システム設定は、アプライアンス システムの設定、たとえば、ネットワーク インターフェースの設定またはドメイ
ン名サーバーの設定です。
これらの設定は、[構成]最上位メニューの[アプライアンス]タブでアクセスすることができます。
これらの設定を変更できますが、、新しい設定を作成することはできません。
94
McAfee Web Gateway 7.5.0
製品ガイド
設定
設定タブ
5
設定タブ
[設定]タブでは、アクションとモジュールの設定を操作できます。
設定タブの主要要素
以下の表で、[設定]タブの主要な要素について説明します。
表 5-1 設定タブの主要要素
要素
説明
[設定ツールバー]
アクションとモジュール(エンジン)の設定の操作のためのコントロール
[設定ツリー]
アクションとモジュール(エンジン)を表示するツリー構造
[設定]
現在選択しているアクションとモジュール(エンジン)のパラメーターと値
設定ツールバー
設定ツールバーでは、次のオプションが提供されています。
表 5-2 設定ツールバー
オプション
定義
[追加 ]
設定を作成するための[設定の追加]ウィンドウが表示されます。
[編集]
既存の設定を編集するための[設定の編集]ウィンドウを開きます
McAfee Web Gateway 7.5.0
製品ガイド
95
5
設定
アクセスの設定
表 5-2 設定ツールバー (続き)
オプション
定義
[削除]
選択した設定を削除します。
削除を確認するためのウィンドウが開きます。
[すべて展開]
設定ツリーで折りたたまれているすべての項目を展開します
[すべて折りたたむ]
設定ツリーで展開されているすべての項目を折りたたみます
アクセスの設定
[設定]タブの設定にアクセスするか、ルールの設定名をクリックできます。システム設定にアクセスするため、[構
成]トップレベル メニューの[アプライアンス] タブで作業する必要があります。
タスク
•
96 ページの「設定タブのアクションおよびモジュール設定にアクセスする」
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
•
96 ページの「ルールのアクションおよびモジュール設定へのアクセス」
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスでき
ます。
•
97 ページの「システム設定へのアクセス」
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
設定タブのアクションおよびモジュール設定にアクセスする
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[アクション] または [エンジン] ブランチに移動し、作業する設定にアクセスします。
3
この設定を選択するには、次のいずれかを実行します。
•
[アクション] ブランチで、アクションをクリックして展開し、アクセスするアクションを選択します。
•
[エンジン] ブランチで、モジュール(エンジンとも呼ばれている)をクリックして展開し、アクセスするモジ
ュールを選択します。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
ルールのアクションおよびモジュール設定へのアクセス
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスする設定のルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
96
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.5.0
製品ガイド
設定
アクションおよびモジュール設定の作成
4
5
アクセスする設定のルールで、設定名をクリックします。
•
モジュール設定にアクセスするルール条件で
•
アクション設定にアクセスするルール アクションで
[設定を編集]ウィンドウが選択した設定とともに開きます。
この設定で作業できます。
システム設定へのアクセス
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、設定名をクリックします。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
アクションおよびモジュール設定の作成
モジュールとアクションの設定を作成できます。
これらの設定を作成する場合、完全に新しいものを作成するのではなく、新しい名前を付けて必要に応じて変更する
既存の設定を使用します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
新しい設定で使用する項目を選択するには、次のいずれかの方法で行います。
•
設定ツリーで、これらの設定を選択し、[追加]をクリックします。
選択された設定のパラメーターと値とともに、[設定の追加]ウィンドウが開きます。
•
[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
ウィンドウの[設定]ペインから設定を選択します。
これらの設定のパラメーターおよび値が設定パネルに表示されます。
3
[名前]フィールドで、新しい設定名を入力します。
4
(オプション) [コメント] フィールドで、設定の平文コメントを入力します。
5
必要に応じて、既存の値を変更します。
6
(オプション) [権限] タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
7
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
97
5
設定
アクションおよびモジュール設定の作成
98
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
アプライアンスは Web トラフィックをインターセプトし、フィルタリング ルールが拒否する場合にそれを転送する
ためにそのプロキシ機能を使用します。ネットワークの要件に対応するように、これらの機能を構成することが可能
です。
プロキシのキー設定は次の通りです。
•
ネットワーク モード — 明示的プロキシ モードまたは透過的モード
特定の設定は、これらの各モードに対して構成できます。
•
ネットワーク プロトコル — HTTP、HTTPS、FTP、ICAP、およびインスタント メッセージング プロトコル
プロトコル設定は、各ネットワーク モードに対して設定できる共通のプロキシ設定です。
その他の共通プロキシ設定を構成し、リバース HTTPS プロキシまたはプロキシ自動構成など、特別なプロキシ ソリ
ューションも実装します。
目次
プロキシの構成
明示的プロキシ モード
透過型ルーター モード
透過型ブリッジ モード
セキュア ICAP
SOCKS プロキシ
インスタント メッセージング
XMPP プロキシ
共通のプロキシ設定の構成
プロキシ設定
送信元 IP アドレスの制御
WCCP による FTP トラフィックのリダイレクト
FTP ログオンでの Raptor 構文の使用
ノード通信プロトコル
ドメインに応じた DNS サーバーの使用
リバース HTTPS プロキシ
プロキシ自動構成
Helix プロキシの使用
McAfee Web Gateway 7.5.0
製品ガイド
99
6
プロキシ
プロキシの構成
プロキシの構成
アプライアンスのプロキシ機能を、ネットワークに適切なように構成できます。
以下の高レベル手順を完了します。
タスク
1
プロキシ設定を確認します。
以下のキー設定は、デフォルトで構成されます。
2
•
ネットワーク モード:明示的プロキシ
•
ネットワーク プロトコル:HTTP
必要に応じて、これらの設定を変更します。
たとえば、以下の操作を実行できます。
•
異なるネットワーク モードを構成します。
以下のいずれかを選択します。
•
•
高可用性機能の明示的プロキシ モード
•
透過型ルーター モード
•
透過型ブリッジ モード
異なるネットワーク プロトコルを構成します。
以下のうち 1 つ以上を HTTP(またはそれらを追加するか HTTP を無効にする)に追加できます。
•
•
HTTPS
•
FTP
•
IFP
•
ICAP
•
インスタント メッセージ プロトコル:Yahoo、ICQ、Windows Live Messenger、XMPP(Jabber およ
びその他サービス用)
タイムアウトまたはクライアント接続の最大数など、他のプロキシ設定を変更します。
3
リバース HTTPS プロキシまたはプロキシ自動構成など、必要な場合特別なプロキシ ソリューションを構成しま
す。
4
変更を保存します。
明示的プロキシ モード
明示的なプロキシ モードで、アプライアンスによりフィルタリングされる Web トラフィックをもつクライアント
は、それらが接続されていることを「知っています」。明示的にそれらを構成して、Web トラフィックをアプライア
ンスに仕向けるようにする必要があります。
これが保証される場合、アプライアンスがネットワーク内で配備される場所はあまり重要ではありません。一般的に、
これはファイアウォールの背後に置かれ、ルーター経由でクライアントとファイアウォールに接続されます。
100
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
明示的プロキシ モード
以下のダイアグラムは、明示的プロキシ モードでの構成を表示します。
図 6-1 明示的プロキシ モード
明示的プロキシ モードの構成
明示的プロキシ モードでアプライアンスのプロキシ機能を構成でき、これはこれらの機能のデフォルト モードです。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、明示的プロキシ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワークのセットアップ]の下で、明示的プロキシ モードのオプション 2 つのうち 1 つを選択します。
•
[プロキシ] — これは、明示的プロキシ モードです。
これはデフォルトのプロキシ モードです。
これが選択されると、明示的プロキシ モードの透過機能を構成する特定の設定は、[ネットワーク セットアッ
プ]設定の下に表示されます。
•
[プロキシ HA] — 高可用性機能の明示的プロキシ モード用
このオプションを選択した後で、特定の[プロキシ HA] 設定が[ネットワーク設定]の設定の下に表示されま
す。
4
必要に応じて、選択されたオプションに対して特定または共通の設定を構成します。
5
[変更の保存]をクリックします。
関連トピック:
102 ページの「ベスト プラクティス - プロキシ HA モードの設定」
106 ページの「透過型プロキシ設定」
112 ページの「プロキシ HA 設定」
131 ページの「プロキシ設定」
McAfee Web Gateway 7.5.0
製品ガイド
101
6
プロキシ
明示的プロキシ モード
ベスト プラクティス - プロキシ HA モードの設定
Web Gateway で設定可能なプロキシ HA ネットワーク モードは、高可用性機能を使用した明示的なプロキシ モー
ドです。 これにより、外部の負荷分散装置を使用せずにフェールオーバーと負荷分散を実行できます。
このセットアップは、Web Gateway のユーザー数が 1000 以下のネットワークでのみ使用してください。 大規模
なネットワークの場合には、外部の負荷分散装置を使用してください。
ディレクター ノードとスキャン ノード
プロキシ HA 構成のアプライアンスの 1 つをディレクター ノードとして設定します。 残りのアプライアンスは、ス
キャン ノードとして設定します。 優先度を設定することで、各アプライアンスに役割が割り当てられます。
ディレクター ノードは、スキャン ノードに負荷を分散させ、高可用性クラスター内の負荷分散を実行します。 通
常、ディレクター ノードもスキャン ノードとして機能します。 スキャン ノードは、バックアップ ノードとしても
機能し、ディレクトリ ノードに障害が発生した場合に切り替わります。 バックアップ機能を実行しない単純なスキ
ャン ノードを設定することもできます。
特定の時間内にディレクター役割を持っているノードをアクティブ ディレクターといいます。 アクティブ ディレ
クターは、インターフェースの別名 IP アドレスとして仮想 IP アドレス (VIP) を使用し、クライアントとの通信を
行います。
プロキシ HA 構成に追加するアプライアンスは、集中管理構成のメンバーにすることをお勧めします。
この構成は、他のアプライアンスの実行状況に左右されません。 ただし、アプライアンスが集中管理機能で管理さ
れ、同期されていない場合、アプライアンスごとに異なる Web セキュリティ ルールが実行される可能性がありま
す。
負荷分散
プロキシ HA 構成で負荷分散を行う場合には、リソースの使用状況とアクティブな接続数を考慮する必要がありま
す。 1 つのスキャン ノードの負荷が過剰になった場合、他のノードが処理するトラフィックも増加します。
負荷分散を実行すると、同じクライアントからの要求は同じスキャン ノードに送信されます。
フェールオーバー
ディレクター ノードで障害が発生した場合、優先度の最も高いバックアップ ノードにディレクター役割が引き継が
れます。 元のディレクター ノードが復旧すると、ディレクター役割を再び引き継ぎます。
使用可能なノードを確認するため、正常性検査で VRRP (Virtual Router Redundancy Protocol) が使用されます。
正常性検査を有効にするには、高可用性クラスターのすべてのメンバーが同じ VRRP インターフェースと仮想ルータ
ー ID を使用するように、各アプライアンスで VRRP を設定します。
各ノードは 1 秒ごとにマルチキャスト パケットを IP アドレス 224.0.0.18 に送信します。 3–4 秒間、アクティ
ブ ディレクターからマルチキャスト パケットを受信しないと、フェールオーバーが実行されます。 フェールオーバ
ーにより、優先度が最も高いバックアップ ノードがディレクター ノードになります。 このノードは、高可用性クラ
スターの仮想 IP アドレスの所有権を取得し、新しいディレクター役割に関する情報を他のノードに通知します。
参加しているクライアントとルーターの ARP テーブルを更新する場合、Gratuitous ARP (Address Resolution
Protocol) メッセージが使用されます。 共通の仮想 IP アドレスの所有権が変更されると (フェールオーバーが発生
すると)、新しいディレクター ノードが Gratuitous ARP メッセージを送信します。 後続の TCP/IP パケットはこ
のノードに転送されます。
関連トピック:
105 ページの「ベスト プラクティス - 高可用性構成でのサイズ制限」
102
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
明示的プロキシ モード
6
プロキシ HA モードを設定する
外部の負荷分散装置を使用せずに負荷分散とフェールオーバーを実行するには、プロキシ HA モードを設定します。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、プロキシ HA 構成に追加するアプライアンスを選択して、[プロキシ (HTTP、
HTTP(S)、FTP、SOCKS、ICAP...)] を選択します。
3
[ネットワークのセットアップ] で [プロキシ HA] を選択します。
[プロキシ HA] の設定が [ネットワークのセットアップ] のすぐ下に表示されます。
4
プロキシ HA 構成の各アプライアンスで Web Gateway の設定を行います。
a
[ポート リダイレクト] - ポート リダイレクトのリストに、以下のパラメーターを指定して項目を追加しま
す。
•
[プロトコル名] - HTTP
•
[元の宛先ポート] - ネットワークのユーザーがブラウザーで選択するプロキシ ポート
•
[宛先のプロキシ ポート] - Web Gateway が使用するプロキシ ポート
ユーザーがブラウザーで選択するプロキシ ポートと Web Gateway が使用するプロキシ ポートには同
一の値 (9090 など) を設定できます。
この場合、リストにポート リダイレクトを入力します (例:ポート 9090 からポート 9090)。
b
[ディレクターの優先順位] - ディレクター役割を引き継ぐ優先度を数値で設定します。
•
最も高い優先度 (例: 99) - ディレクター ノード
•
これより低い優先度 (0 より大きい値。例: 89) - バックアップ ノード
ディレクター ノードに障害が発生し、優先度の高いノードが他にない場合、バックアップ ノードがフェ
ールオーバーを実行してディレクター役割を引き継ぎます。 それ以外の場合、バックアップ ノードはス
キャン ノードとして機能します。
•
c
0 - スキャン ノードとしてのみ機能するノード
[管理 IP] - アプライアンスのローカル IP アドレスを指定します。
この IP アドレスは、スキャン ノードの自動検出に使用されます。 自動検出を使用するには、すべてのノー
ドが同じサブネット上に存在する必要があります。
d
[仮想 IP] - 高可用性クラスターの共有 IP アドレスを指定します。
このアドレスはアクティブ ディレクターが所有し、すべてのノードで一致していなければなりません。 ユー
ザーは、このアドレスをブラウザーで選択する必要があります。
McAfee Web Gateway 7.5.0
製品ガイド
103
6
プロキシ
明示的プロキシ モード
e
VRRP 正常性検査を設定します。
•
[仮想ルーター ID] - VRRP 正常性検査で使用する ID
この ID は、すべてのノードで一致している必要があります。 デフォルトは 51 です。
ID が 51 のネットワークで VRRP を使用していない限り、デフォルトの ID を使用できます。 プロキシ
HA 構成で一意になるように、ここで値を変更します。
•
[VRRP インターフェース] - 正常性検査の VRRP で使用されるインターフェース
デフォルトのインターフェースは eth0 です。
アプライアンスで eth0 インターフェースを使用していない限り、デフォルトのインターフェースを使用
できます。複数のインターフェースを使用する場合にもデフォルトを使用できます。
5
[変更の保存] をクリックします。
関連トピック:
112 ページの「プロキシ HA 設定」
Proxy HA 構成の問題の解決
Proxy HA 構成で問題が発生した場合、いくつかの方法で解決することができます。
VRRP 正常性検査メッセージの確認
VRRP 正常性検査のメッセージがアプライアンス システムの次の場所に記録されています。
/var/log/messages
このメッセージにより、アプライアンスのステータスがディレクター ノードかバックアップ ノードかを確認できま
す。
要求をブロックしたノードの検索
高可用性クラスターで要求をブロックしたノードを確認するには、ブロック アクションのユーザー メッセージ テン
プレートを編集します。 System.HostName プロパティを挿入します。
特定のノードのテスト
特定のノードの動作をテストするには、そのノードのポート リダイレクトリストにだけ新しいプロキシ ポート (例:
9091) を入力します。
ノードをテストするクライアント システムのブラウザーで <Web Gateway の IP アドレス>:9091 を参照し
ます。
アクティブ ディレクターの識別
高可用性クラスターの仮想 IP アドレスを所有するアクティブ ディレクトリ ノードを識別するには、各ノードで
SSH セッションをセットアップします。 次に、各ノードで ip addr show コマンドを実行します。
104
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
明示的プロキシ モード
6
Web トラフィックの分散エラーの確認
他のノードに分散せず、ディレクター ノードまたは 1 つのノードですべての Web トラフィックが処理されている
場合、次の原因が考えられます。
•
ディレクター ノードでポート リダイレクトが設定されていません。 ポート リダイレクトが存在しない場合、デ
ィレクター ノードはトラフィックを他のノードにリダイレクトせず、ローカルで処理します。
•
同じサブネットでない IP アドレスが設定されているため、ディレクター ノードが他のノードの存在を確認でき
ません。
•
ダウンストリーム プロキシまたは NAT でアイスが配置されているため、すべてのトラフィックが同じ送信元 IP
アドレスから転送されています。 負荷分散の通常の動作では、同じノードにトラフィックを繰り返し転送します。
ベスト プラクティス - 高可用性構成でのサイズ制限
プロキシ HA (高可用性) ネットワーク モードを設定する場合、構成に追加する Web Gateway アプライアンスの数
を検討する必要があります。
多くの場合、1 つのネットワークで複数のアプライアンスが実行されています。これらのアプライアンスはノードと
して構成され、集中管理機能で管理されています。
通常、ノードの 1 つがディレクター ノードになり、受信トラフィックを他のノードに送信します。トラフィックを
受信したノードではスキャンを実行するため、これらのノードをスキャン ノードといいます。
特定のアプライアンスでは、ネットワーク インターフェースが二重に構成され、受信トラフィックと送信トラフィッ
クに別々のインターフェースが使用されます。三重構成では、この他に集中管理通信用のインターフェースが用意さ
れています。
このようにネットワークを構成する場合には、次の点を考慮する必要があります。
•
全体のスループットの合計がディレクター ノードの最大スループットを超えないようにスキャニング ノードの
数を選択する必要があります。ディレクター ノードの最大スループットは、デフォルトで 1 1 GBit/s です。
これにより、次のような内部制限が発生します。ディレクター ノードがデフォルトで使用するネットワーク イン
ターフェースは、1 GBit/s のデータ処理に制限されます。
Web Gateway アプライアンスで実行される MLOS オペレーティング システムのカーネル モード ドライバー
で処理可能なデータ量は最大で 1 GBit/s までとなります。
•
この条件で理論的な可能な数のスキャニング ノードを構成する場合には、安全のため余裕のある構成にすること
をお勧めします。
•
たとえば、1 つのスキャニング ノードのスループットが 100 MBit/s の場合、理論上では 10 ノードが可能
ですが、5 ノードにすることをお勧めします。
•
300 MBit/s の場合、理論上 3 ノードが可能ですが、2 ノードにしてください。
1 つのスキャニング ノードの最大スループットは、ノードに使用するアプライアンスのモデルとノードの構成方法に
よって異なります。たとえば、マルウェア対策フィルタリングや Web キャッシュを有効にするかどうかによって異
なります。サイズ計算ツールを使用すると、ノードに適切な値を見つけることができます。
ディレクター ノードで、デフォルトの 1G ではなく 10G ネットワーク インターフェースが使用されている場合や、
構成で IP スプーフィングが有効になっている場合には計算が異なるかもしれません。その理由は次のとおりです。
McAfee Web Gateway 7.5.0
製品ガイド
105
6
プロキシ
明示的プロキシ モード
10G ネットワーク インターフェース
ディレクター ノードのアプライアンスに 10G ネットワーク インターフェースが装着されている場合、このノードの
最大スループットが大きくなります。ただし、MLOS カーネル モード ドライバーの制限に変わりはありません。
•
たとえば、1 つのスキャニング ノードのスループットが 100 MBit/s の場合、5 つ以上のノードが可能ですが、
10 ノードは超えないようにしてください。
•
スループットが 300 MBit/s の場合、3 ノードが可能ですが、それ以上は使用しないことをお勧めします。
IP スプーフィング
IP スプーフィングを設定すると、データ パケットはディレクター ノードを 2 回通過します。ディレクター ノード
からスキャニング ノードに転送されるときと、スキャニング ノードからディレクター ノードに戻されるときの 2 回
です。
1G ネットワーク インターフェースを使用している場合、ディレクター ノードの最大スループットは 500 MBit/s
になります。また、MLOS カーネル モード ドライバーの制約は変わりません。
この条件に合わせてスキャニング ノードの数を設定する必要があります。
•
たとえば、スキャニング ノードのスループットが 100 MBit/s で、ディレクター ノードで 1G ネットワーク イ
ンターフェースを使用している場合、スキャニング ノードの数は 5 つより少なくするする必要があります。
10G ネットワーク インターフェースを使用している場合、スキャニング ノードの数を増やすことができますが、
5 つにすることをお勧めします。
•
スキャニング ノードのスループットが 300 MBit/s で、ディレクター ノードで 1G ネットワーク インターフェ
ースを使用している場合、スキャニング ノードは 1 つになります。
10G ネットワーク インターフェースを使用している場合には、4 つ以上のスキャニング ノードを設定しないで
ください。
関連トピック:
102 ページの「ベスト プラクティス - プロキシ HA モードの設定」
透過型プロキシ設定
透過型プロキシ設定は、明示的なプロキシ モードの透過型機能を構成するために使用されます。
透過型プロキシ
透過型機能をもつ明示的なプロキシ モードの設定
106
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
明示的プロキシ モード
表 6-1 透過型プロキシ
オプション
定義
[サポートされている
クライアントのリダ
イレクション方法]
Web トラフィックのインターセプトとそれをアプライアンスに仕向ける方法を提供しま
す。
• [WCCP] — これが選択されると、追加ネットワーク デバイスによりインターセプトさ
れ、WCCP プロトコルを使用してアプライアンスに仕向けられる IPv4 プロトコルの下
で HTTP クライアント要求が Web サーバーに送信されます。
クライアントはリダイレクションを認識せずに、引き続き透過的になります。
クライアント要求に対して同様の方法で、Web サーバーからの応答はアプライアンスに
戻されます。
WCCP リダイレクションの方法を使用する場合は、リダイレクションが実行できるよう
に、1 つまたは複数の WCCP サービスをアプライアンス上で構成する必要があります。
クライアント要求とサーバー応答をインターセプトするネットワーク デバイスを構成す
る必要もあります。このデバイスは、ルーティング機能によりルーターまたはスイッチと
して構成できます。
このオプションを選択した後で、[WCCP サービス] インライン リストが WCCP サービ
スを設定し、追加するために表示されます。
• [L2 透過型] — これが選択されると、クライアント要求は IPv4 の下で Web サーバーに
送信され、IPv5 プロトコルは追加ネットワーク デバイスによりインターセプトされ、
Layer 2 リダイレクション方法を使用してアプライアンスに仕向けられます。
この方法の下で、宛先アドレスがアプライアンスのアドレスでない場合でも、クライアン
ト要求はアプライアンスで受け付けられます。リダイレクションはクライアントに対し
て「透過型」となります。
インターセプトされ、アプライアンスのリストにリダイレクトされるクライアント要求の
元のポートを、これらの要求がリダイレクトされるポートと共に入力する必要がありま
す。
追加のネットワーク デバイスを適宜、構成する必要があります。
このオプションが選択されると、要求はアクティブな FTP モードの接続を使用して層御
進できません。パッシブ FTP モードのみが利用できます。
このオプションを選択した後で、[ポート転送] インライン リストがポート入力のために
表示されます。
次の 2 つの表では、WCCP サービスとポート転送のリストのエントリーを説明しています。
表 6-2 WCCP サービス ― リスト エントリー
オプション
定義
[サービス ID]
Web トラフィックを WCCP プロトコル下のアプライアンスに仕向けるサービスを識別しま
す。
[WCCP ルーター
定義]
Web トラフィックを WCCP サービスを使用してアプライアンスにリダイレクトするマルチキ
ャスト IP アドレスと DNS 名(またはルーティング機能を備えたスイッチ)を指定します。
ここで複数のルーターを、それぞれのエントリーをカンマで区切って構成することができます。
[リダイレクトす
るポート]
データ パケットがリダイレクトする宛先アドレスにもっていなければならない Web サーバー
のポートのリストを示します。
ここで最大 8 個のポートを、カンマで区切って、指定できます。
[リダイレクトす リダイレクトするポートが元のポートであるかどうかを指定します。
るポートは、元の
WCCP サービスを構成する場合、Web サーバーからアプライアンスへの応答をリダイレクトす
ポートです]
るためにサービスが使用されるときには、このオプションを選択する必要があります。
[プロキシ リスナ
ー IP アドレス]
McAfee Web Gateway 7.5.0
クライアント要求に応じる場合にアプライアンスの IP アドレスを指定します。
製品ガイド
107
6
プロキシ
明示的プロキシ モード
表 6-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
[プロキシ リスナ
ー ポート]
クライアント要求をリスンするためのポートを指定します。
[MD5 認証キー]
制御データ パケットを署名し、検証するための MD5 アルゴリズム下で使用されるパスワード
を設定します。
デフォルトのポート番号は 9090 です。
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
パスワードは最大 8 文字です。
割り当て方法
主要項目はこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示され
ます。以下の 2 つの要素がそれに関係し、割り当て方法を指定します。
• [マスクで割り当て] ― 選択すると、送信元または宛先の IP アドレスのマスキングは負荷分
散に使用されます。
• [ハッシュで割り当て] — 選択すると、上記で指定されたハッシュ アルゴリズムが負荷分散
に使用されます。
108
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
明示的プロキシ モード
表 6-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
負荷分散のための 主要アイテムはこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示
入力
されます。以下の要素がそれに関係しており、負荷分散の基準としてデータ パケットで使用さ
れているものを指定します。
マスクまたはハッシュのいずれによる割り当てを選択したかに応じて、異なる要素が提供され
ます。
複数のアプライアンスを実行するときに、負荷分散はそれらのプロキシに対して構成すること
ができます。データ パケットは、送信元または宛先 IP アドレスおよびポート番号に基づいて
これらのプロキシに分散できます。
送信元または宛先 IP アドレスを負荷分散に使用する場合は、マスクしたり、ハッシュ アルゴ
リズムを適用したりすることができます。割り当て方法のオプションを参照してください。
送信元または宛先ポートを使用する場合は、ハッシュ アルゴリズム法のみを選択できます。
マスクによる割り当ての負荷分散オプション:
• [ソース IP マスク] — ソース IP アドレスのマスクを指定します。
デフォルトのマスク値は 0x15 です。
• [宛先 IP マスク] — 宛先 IP アドレスのマスクを指定します。
デフォルトのマスク値は 0x15 です。
マスクの最大長は 4 桁です。例: 0xa000。
両方のマスクではともに、6 ビットを最大値として設定できます。
マスクを 0x0 に設定すると、負荷分散に対する影響はなくなります。
たとえば、負荷分散に発信元 IP アドレスのみを使用する場合、この値を宛先 IP アドレスのマ
スクに設定する必要があります。
ハッシュによる割り当ての負荷分散オプション:
• [送信元 IP] — 選択すると、負荷分散は送信元 IP アドレスに基づきます。
• [宛先 IP] — 選択すると、負荷分散は宛先 IP アドレスに基づきます。
• [送信元ポート] — 選択すると、負荷分散は送信元のポート番号に基づきます。
• [ 宛先ポート] — 選択すると、負荷分散は 宛先のポート番号に基づきます。
クライアント要求を処理するために 1 つの WCCP サービスを構成し、さらに Web サーバー応
答を処理するために別のサービスを構成する場合は、"crosswise" の対応する方法で[送信元
IP]および[宛先 IP]を選択する必要があります。
これは、クライアント要求サービスに [発信元 IP]を選択すると、Web サーバーの応答サービ
スに [宛先 IP] を選択する必要があることを意味しています。Web サーバーの応答サービス
に[発信元 IP] を選択すると、クライアント要求サービスに [宛先 IP] を選択する必要がありま
す。
[発信元ポート]および[宛先ポート]を選択すると、同じものが適用されます。
[割り当ての加重] プロキシに割り当てられる負荷の大きさを判別する値を設定します。
この値を使用して、他のものよりも大きな CPU 容量をもつアプライアンスのプロキシにより大
きな負荷を割り当てることができます。0 はプロキシに負荷を分散しないことを意味します。
McAfee Web Gateway 7.5.0
製品ガイド
109
6
プロキシ
明示的プロキシ モード
表 6-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
転送方法
主要項目はこのリストには表示されませんが、
[追加]および[編集]ウィンドウでは表示され
ます。以下の 2 つの要素がそれに関係し、転送方式を指定します。
• [GRE-カプセル化] — これを選択すると、データ パケットは、リダイレクトされる前に、ル
ーターによりカプセル化されます
• [L2-ローカル NIC の書き換え] — これを選択すると、データ パケットは(Web サーバーへ
のルート上で)次のデバイスの MAC アドレスをアプライアンスの MAC アドレスで置換する
ことによりアプライアンスにリダイレクトされます
[L2-リダイレクト データ パケットがリダイレクトするアプライアンスのネットワーク インターフェースを指定
ターゲット]
します。
[マジック (マス
ク割り当て)]
アプライアンスがルーターに送信するマスクの未知のフィールドを設定できます。
[コメント]
WCCP サービスの平文テキストのコメントを提供します。
この設定は、ルーターに使用される、さまざまなバージョンのベンダーのオペレーティング シ
ステムとの互換性を確保する必要があります。
表 6-3 ポート転送 - リスト エントリー
オプション
定義
[元の宛先ポート]
クライアント要求に属するデータ パケットが最初に送信されるポートを指定します。
[宛先プロキシ ポート]
データ パケットがリダイレクトされるポートを指定します。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
高度な送信接続設定
アプライアンスのネットワーク環境の要件である Web サーバーに送信されるクライアント要求に含まれる情報の処
理方法を指定する設定
110
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
明示的プロキシ モード
6
表 6-4 高度な送信接続設定
オプション
定義
[IP スプーフィング
これを選択すると、アプライアンスはクライアント要求にソース アドレスとして含まれ
(HTTP、HTTPS、FTP)] ているクライアント IP アドレスを維持し、それを種々のプロトコルの下で要求された
Web サーバーとの通信に使用できます。
WCCP サーバーが Web トラフィックをインターセプトし、それをアプライアンスに仕
向けるために使用されるとき、クライアント要求をリスンするアプライアンスの各ポー
トに対して 2 つのサービスを構成する必要があります。クライアントからくる要求に対
して 1 つ、Web サーバーにより送信される要求に対して 1 つです。
このオプションが選択されていないとき、アプライアンスは送信元ポートを選択し、こ
の通信でそれを使用します。
• [明示的なプロキシ接続のための IP スプーフィング] — これが選択されると、クライ
アント アドレスは明示的なプロキシ モードに維持され、Web トラフィックは追加デ
バイスによりインターセプトされません。
• [IP スプーフィングのクライアントと同じ送信元ポートを使用する] — これが選択さ
れると、クライアントの Web サーバーとの通信のための送信元アドレスに加えて、ク
ライアントの送信元ポートが使用されます。
このオプションが選択されていないとき、アプライアンスはランダムな送信元ポート
を選択し、この通信でそれを使用します。
[HTTP:ホスト ヘッダー 選択すると、要求された Web サーバーとの通信のために HTTP プロトコルの下でクラ
は、元の宛先アドレス(透 イアント要求にホスト ヘッダーとして含まれている宛先アドレスが使用されます。
過型プロキシ)よりも優
透過型プロキシ構成では、クライアント要求を転送するために接続を供給するため、Web
先順位があります]
サーバーとの通信で TCP プロトコルの下で指定される宛先アドレスを使用することも
できます。このアドレスは、元のの宛先アドレスとしても知られています。
クライアント要求をインターセプトするアプライアンスの透過型プロキシ、または要求
をインターセプトしてアプライアンスにリダイレクトする WCCP サービスに対して、両
方の通信方法を使用できます。
HOST ヘッダーの宛先アドレスを使用するのはよい方法ですが、一部の構成では、Web
サーバーとの通信のため、このオプションの選択を解除して、元の宛先アドレスを使用
することが必要である可能性があります。
• Web トラフィックは実行中の透過型プロキシの複数のアプライアンスで処理されて
おり、宛先のアドレスに従ってクライアント要求がルーティングされる場合、Web サ
ーバーに接続すると、プロキシで元の宛先 ID アドレスを使用できる必要があります。
• これは、WCCP サービスがクライアント要求をインターセプトし、負荷分散のために
宛先アドレスを使用して複数のアプリケーションにそれらをリダイレクトする場合に
も適用されます。
IP スプーフィングのサンプル WCCP サービス設定
IP スプーフィングをもつ WCCP サービスを構成するためのサンプル設定
IP スプーフィングを実行する場合のみ、これらの設定を構成します。通常は、WCCP プロトコルの下でアプライアン
スに Web トラフィックをリダイレクトするために 2 つのサービスを構成する必要はありません。
Web トラフィックをインターセプトし、それをアプライアンスに仕向ける WCCP サービスをもつ構成で IP スプー
フィングを使用できます。この場合、リスンするアプライアンスのすべてのポートに対して 2 つのサービスを構成す
る必要があります。
クライアントからの要求に対して 1 つのサービス、Web サーバーにより送信される要求の応答に対してもう 1 つの
サービスです。
以下の表は、これらのサービスのサンプル パラメーター値を示しています。
McAfee Web Gateway 7.5.0
製品ガイド
111
6
プロキシ
明示的プロキシ モード
表 6-5 IP スプーフィングで構成された 2 つの WCCP サービスのサンプル パラメーター値
オプション
クライアント要求のサービス
Web サーバー応答のサービス
[サービス ID]
51
52
[WCCP ルーター定義]
10.150.107.254
10.150.107.254
[リダイレクトするポート]
80, 443
80, 443
[リダイレクトするポート
は、元のポートです]
false
true
[プロキシ リスナー IP ア
ドレス]
10.150.107.251
10.150.107.251
[プロキシ リスナー ポー
ト]
9090
9090
[MD5 認証キー]
*****
*****
負荷分散のためのインプッ
ト
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[送信元 IP]
true
false
[宛先 IP]
false
true
[送信元ポート]
true
false
[宛先ポート]
false
true
割り当て方法
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[マスク割り当て]
true
true
[ハッシュによる割り当て]
false
false
[割り当ての重みづけ]
100
100
転送方法
この主要項目はこの設定リストには表示されませんが、
[追加]および[編集]ウィン
ドウでは表示されます。ローカルの NIC 要素に対する GRE カプセル化と L2 書き
換えがそれに関係しています。
[GRE カプセル化]
false
false
[ローカル NIC への L2 書
き換え]
true
true
[L2-リダイレクト ターゲ
ット]
eth1
eth1
[マジック(マスク割り当
て)]
-1
-1
[コメント]
プロキシ HA 設定
プロキシ HA 設定は、高可用性機能を備えた明示的なプロキシ モードでアプライアンスのプロキシ機能を構成するた
めに使用されます。
プロキシ HA
高可用性機能を備えた明示的プロキシ モードの設定
112
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
透過型ルーター モード
表 6-6 プロキシ HA
オプション
定義
[ポート転送]
ユーザーが送信した要求が転送されるポートを入力するためのリストを提供します。
[ディレクター データ パケットを仕向けるアプライアンスの優先順位 (0 ~ 99 の範囲) を設定します。
の優先順位 ]
最高値が表示されます。0 はアプライアンスがデータ パケットをフィルターするだけで、仕向ける
ことはないことを意味します。
高可用性の構成で、2 つのアプライアンスは、互いにフェールオーバー機能を備えながら、データ
パケットを仕向けるために一般的にゼロよりも高い優先順位をもつディレクター ノードとして設
定されます。
残りのノードは、ゼロ優先順位で構成されます(「スキャンイング ノード」と呼ばれます )。
この優先順位の値は、スライダーのスケールで設定されています。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプライ
アンスのソース IP アドレスを指定します。
[仮想 IP]
仮想 IP アドレスのリストが表示されます。
Web Gateway で高可用性機能 (プロキシ HA) 機能を有効にし、明示的プロキシ モードを設定して
いる場合には、仮想 IP を使用してユーザー インターフェースにログインしないでください。
以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。
表 6-7
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
ユーザーが要求を送信した時に受信するデータ パケットに使用されるプロトコル
名を指定します。
[元の宛先ポート]
転送されたデータ パケットの最初の送信先のポートを指定します。
[宛先プロキシ ポート]
上記ポートに送信されたデータ パケットが最初に転送されたポートを指定しま
す。
[オプションの 802.1Q VLAN] 設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表
示されます。
[コメント]
表 6-8
ポート転送に関するテキスト形式のコメントを提供します。
仮想 IP - リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス(CIDR 通知)を指定します。
[ネットワーク インターフェー
ス]
VRRP(仮想ルーター冗長性プロトコル)の下のハートビートに使用されるアプ
ライアンスのネットワーク インターフェースを指定します。
[コメント]
仮想 IP アドレスの標準テキスト形式のコメントを提供します。
透過型ルーター モード
透過型ルーター モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと
ができる透過型モードの 1 つです。
透過型ルーター モードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンス
にリダイレクトするように設定する必要はありません。
アプライアンスは、ファイアウォールのすぐ背後にルーターとして配置されます。アプライアンスとクライアントの
接続にスイッチを使用できます。トラフィックの転送にはルーティング テーブルが使用されます。
McAfee Web Gateway 7.5.0
製品ガイド
113
6
プロキシ
透過型ルーター モード
以下のダイアグラムは、透過型ルーター モードでの構成を表示します。
図 6-2 透過型ルーター モード
透過型ルーター モードを設定する
アプライアンスのプロキシ機能を透過型ルーター モードに設定するには、次の操作を行う必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、透過型ルーター モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワーク設定] で、[透過型ルーター] を選択します。
このモードを選択した後で、[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。
4
必要に応じて、特定の設定と共通の設定を行います。
5
[変更の保存]をクリックします。
集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ル
ーター モードを設定できます。
透過型ルーター モードでノードを設定する
集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ルーター モードを設定できます。
ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ
トの送信を行います。
ノードの設定では、ネットワークとプロキシを設定します。
114
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
透過型ルーター モード
6
タスク
•
115 ページの「透過型ルーター モードで実行するディレクター ノードのネットワークを設定する」
ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネッ
トワーク インターフェースを設定します。
•
115 ページの「ディレクター ノードのプロキシを透過型ルーター モードに設定する」
ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役
割を設定し、ポート リダイレクトとプロキシ ポートを指定します。
•
116 ページの「スキャン ノードを透過型ルーター モードに設定する」
スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネ
ットワーク インターフェースを設定する必要があります。プロキシの設定方法はディレクター ノード
に設定する場合と同じですが、ディレクター役割ではなく、スキャン役割を使用します。
透過型ルーター モードで実行するディレクター ノードのネットワークを設定する
ディレクター ノードを透過型ルーター モードに設定するには、Web トラフィックの送受信を行うネットワーク イ
ンターフェースを設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ
ーフェース] をクリックします。
3
ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。
Web トラフィックの受信用に 1 つ以上のインターフェースが必要です。また、送信用にも 1 つ以上のインター
フェースを設定する必要があります。
4
[変更を保存] をクリックします。
ログオフして、アプライアンスに再度ログインします。
ディレクター ノードのプロキシを透過型ルーター モードに設定する
ディレクター ノードのプロキシを透過型ルーター モードに設定するには、このノードにディレクター役割を設定し、
ポート リダイレクトとプロキシ ポートを指定します。
ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)] を選択します。
3
[ネットワーク設定] で、[透過型ルーター] を選択します。
[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
4
Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ
ート リダイレクトを設定します。
a
[ポート リダイレクト] で [追加] をクリックします。
[ポート リダイレクトの追加] ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
115
6
プロキシ
透過型ルーター モード
b
HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。
•
[プロトコル名] — http
http は HTTP と HTTPS の両方の接続に使用できます。
•
[元の宛先ポート] — 80. 443
これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。
HTTPS トラフィックもフィルタリングする場合には、
「SSL スキャナー」ルール セットを有効にします。
このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効になっています。
•
[宛先のプロキシ ポート] — 9090
9090 は、アプライアンスのデフォルトのプロキシ ポートです。
ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。
FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事
前に設定されていますが、必要に応じて変更することができます。
5
[ディレクターの優先順位] に 0 より大きい値を設定します。
6
[管理 IP] フィールドに、ディレクターが接続するスキャン ノードの IP アドレスを入力します。
7
[仮想 IP] で、空いている仮想 IP アドレスを受信と送信用のネットワーク インターフェースに入力します。
8
[仮想ルーター ID] に表示されている番号をそのまま使用します。
9
[VRRP インターフェース] リストで、このプロトコルで行うハートビートのインターフェースを選択します。
10 必要に応じて、IP スプーフィングを設定します。
11 [HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。
デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて
います。
•
このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド
ウを開くと、プロキシ ポートを追加できます。
•
1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。
[FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが
2020 に設定されています。
12 [変更を保存] をクリックします。
スキャン ノードを透過型ルーター モードに設定する
スキャン ノードを透過型ルーター モードに設定するには、送信トラフィックを処理する 1 つ以上のネットワーク イ
ンターフェースを設定する必要があります。プロキシの設定方法はディレクター ノードに設定する場合と同じです
が、ディレクター役割ではなく、スキャン役割を使用します。
スキャン役割を設定するには、ノードの優先順位を 0 に設定します。
タスク
116
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、スキャン ノードとして設定するアプライアンスを選択し、[ネットワーク インターフ
ェース] をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
透過型ルーター モード
3
6
ネットワークの要件に合わせて、ネットワーク インターフェースを設定します。
Web 送信トラフィックを処理するインターフェースが 1 つ以上必要です。
4
[変更を保存] をクリックします。
5
ログオフして、アプライアンスに再度ログインします。
6
アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
SOCKS、ICAP ...)] を選択します。
7
[ネットワーク設定] で [透過型ルーター] を選択します。
[透過型ルーター] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
8
ディレクター ノードと同じポート リダイレクトを設定します。
9
[ディレクトリの優先順位] に 0 を設定します。
10 ディレクター ノードと同じ方法で IP スプーフィングを設定します。
11 ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。
12 [変更を保存] をクリックします。
透過型ルーター モードで複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。
透過型ルーターの設定
透過型ルーターの設定では、アプライアンスのプロキシ機能を透過型ルーター モードに設定します。
透過型ルーター
透過型ルーター モードの構成の設定
表 6-9 透過型ルーター
オプション
定義
[ポート リダイレク
ト]
ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリスト
から選択します。
[ディレクターの優先 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0
順位]
から 99) を設定します。
ディレクターの優先順位は、アプライアンスは一元管理構成でいくつかのノードの 1 つであ
るときに関連してきます。最上位の値をもつモードは、その他のノードのみがそれらをフィ
ルターする間に、データ パケットを仕向けるディレクター ノードです。
ノードに 0 を指定すると、ディレクター ノードにすることはできません。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるア
プライアンスのソース IP アドレスを指定します。
[仮想 IP]
仮想 IP アドレスを入力するためのリストを提供します。
[仮想ルーター ID]
仮想ルーターを識別します。
[VRRP インターフェ ハートビート メッセージの送受信のためのアプライアンスのネットワーク インターフェー
ース]
スを指定します。
McAfee Web Gateway 7.5.0
製品ガイド
117
6
プロキシ
透過型ルーター モード
表 6-9 透過型ルーター (続き)
オプション
定義
[IP スプーフィング
(HTTP、HTTPS)]
選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アド
レスとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用
します。
アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。
[IP スプーフィング
(FTP)]
選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイ
ル サーバーに FTP プロトコルで接続し、IP spoofing を実行します。
アクティブな FTP の場合、このオプションを有効にする必要があります。
以下の 2 つの表で、ポート リダイレクトと仮想 IP アドレスのリストに表示される項目について説明します。
表 6-10
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
要求の送受信で使用されるプロトコル名が表示されます。
[元の宛先ポート]
要求がリダイレクトされる場合、元の宛先ポートが表示されます。
[宛先プロキシ ポー
ト]
リダイレクト先のポートが表示されます。
[発信元 IP による除
外]
指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処
理を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うこと
ができます。
[宛先 IP による除外]
指定した IP アドレスに送信される要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼できる宛先に送信する要求の処理
を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うことが
できます。
[オプションの
802.1Q VLAN]
設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表示されま
す。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
表 6-11
仮想 IP - リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス(CIDR 通知)を指定します。
[ネットワーク インター ここで構成されている仮想 IP アドレスが割り当てられているアプライアンスのネットワ
フェース]
ーク インターフェースを指定します。
この仮想 IP アドレスがインターフェースに割り当てられるのは、現在のノードにアクテ
ィブ ディレクターの役割がない場合だけです。
[コメント]
118
McAfee Web Gateway 7.5.0
仮想 IP アドレスの標準テキスト形式のコメントを提供します。
製品ガイド
6
プロキシ
透過型ブリッジ モード
透過型ブリッジ モード
透過型ブリッジ モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと
ができる透過型モードの 1 つです。
このモードでは、クライアントはアプライアンスを認識しません。Web トラフィックをアプライアンスにリダイレ
クトするように設定する必要はありません。通常、アプライアンスはファイアウォールとルーターの間に配置され、
ブリッジとして機能します。
以下のダイアグラムは、透過型ブリッジ モードでの構成を表示します。
図 6-3 透過型ブリッジ モード
透過型ブリッジ モードを設定する
アプライアンスのプロキシ機能を透過型ブリッジ モードに設定するには、次の操作を行う必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、透過型ブリッジ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
このモードを選択した後で、[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
特定の設定 (HTTP や FTP などのネットワーク プロトコルの設定など) の後に共通の設定が表示されます。
4
必要に応じて、特定の設定と共通の設定を行います。
5
[変更の保存]をクリックします。
集中管理構成で複数のアプライアンスをノードとして実行している場合には、それぞれのアプライアンスで透過型ブ
リッジ モードを設定できます。
透過型ブリッジ モードでノードを設定する
集中管理構成でノードとして設定されている 2 つ以上のアプライアンスに透過型ブリッジ モードを設定できます。
ノードの 1 つがディレクター役割を持ちます。このノードが、スキャン ノードのフィルタリング時にデータ パケッ
トの送信を行います。
ノードの設定では、ネットワーク、集中管理、プロキシを設定します。
McAfee Web Gateway 7.5.0
製品ガイド
119
6
プロキシ
透過型ブリッジ モード
タスク
•
•
120 ページの「透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設
定する」
ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク イ
ンターフェースを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。
121 ページの「ディレクター ノードのプロキシを透過型ブリッジ モードに設定する」
ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役
割を設定し、ポート リダイレクトとプロキシ ポートを指定します。
•
122 ページの「スキャン ノードを透過型ブリッジ モードに設定する」
スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設
定しますが、ディレクター役割ではなく、スキャン役割を使用します。
透過型ブリッジ モードで実行するディレクター ノードのネットワークと集中管理を設定する
ディレクター ノードに透過型ブリッジ モードを設定するには、透過型ブリッジ機能のネットワーク インターフェー
スを設定し、この IP アドレスが集中管理通信で使用されるようにする必要があります。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクトリ ノードとして設定するアプライアンスを選択し、[ネットワーク インタ
ーフェース] をクリックします。
3
透過型ブリッジ機能に使用するネットワーク インターフェースを準備します。
a
アプライアンスで未使用のネットワーク インターフェースを選択します。ここではまだ有効にしないでくだ
さい。
b
[詳細設定] タブで [ブリッジの有効化] を選択します。
c
[名前] フィールドに、インターフェース名として ibr0 と入力します。
d
[IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。
e
[変更を保存] をクリックします。
ログオフして、アプライアンスに再度ログインします。
4
透過型ブリッジ機能に使用するネットワーク インターフェースを設定します。
a
[設定] 、 [アプライアンス] の順に選択します。 アプライアンスを再度選択し、[ネットワーク インターフェ
ース] をクリックします。
[ibr0] という追加のネットワーク インターフェースが使用可能になります。
5
120
b
[ibr0] インターフェースを選択します。
c
[IPv4] タブで、このインターフェースの IP アドレス、サブネット マスク、デフォルト ルートを設定しま
す。
d
有効にするインターフェースの横にあるチェックボックスを選択します。
現在アプライアンスとの接続に使用しているネットワーク インターフェースを透過型ブリッジ機能のネットワー
ク インターフェースとして設定します。
a
現在アプライアンスとの接続に使用しているネットワーク インターフェースを選択します。
b
[詳細設定] タブで [ブリッジの有効化] を選択します。
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
透過型ブリッジ モード
c
[名前] フィールドに、インターフェース名として ibr0 と入力します。
d
[IPv4] タブの [IP 設定] で、[IPv4 の無効化] を選択します。
6
手順 3 で未使用のネットワーク インターフェースから選択した [ibr0] を有効にします。
7
集中管理を設定します。
8
6
a
[集中管理] を選択します。
b
[集中管理設定] で、[ibr0] ネットワーク インターフェースに設定した IP アドレスをリストに追加します。
[変更を保存] をクリックします。
透過型ブリッジ機能に複数のネットワーク インターフェースを使用する場合には、同様の方法でアプライアンスの未
使用ネットワーク インターフェースを設定します。
ディレクター ノードのプロキシを透過型ブリッジ モードに設定する
ディレクター ノードのプロキシを透過型ブリッジ モードに設定するには、このノードにディレクター役割を設定し、
ポート リダイレクトとプロキシ ポートを指定します。
ディレクター役割を設定するには、ノードの優先順位に 0 より大きい値を設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、ディレクター ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)] を選択します。
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
4
Web Gateway のクライアントから送信された要求が特定のポートにリダイレクトされるように、1 つ以上のポ
ート リダイレクトを設定します。
a
[ポート リダイレクト] で [追加] をクリックします。
b
HTTP または HTTPS 接続に適用する新しいポート リダイレクトに次の設定を行います。
•
[プロトコル名] — http
http は HTTP と HTTPS の両方の接続に使用できます。
•
[元の宛先ポート] — 80. 443
これはデフォルトの宛先ポートです。これらの値は HTTP と HTTPS の両方の接続に使用できます。
HTTPS トラフィックもフィルタリングする場合には、「SSL スキャナー」ルール セットを有効にする必
要があります。このルール セットはルール セット ツリーに表示されていますが、デフォルトでは無効に
なっています。
•
[宛先のプロキシ ポート] — 9090
9090 は、アプライアンスのデフォルトのプロキシ ポートです。
ネットワークの要件で別のポートを使用する場合には、必要に応じて設定を変更してください。
FTP 接続のポート リダイレクトを設定するには、このプロトコルを選択します。デフォルトのポートが事
前に設定されていますが、必要に応じて変更することができます。
5
[ディレクターの優先順位] に 0 より大きい値を設定します。
McAfee Web Gateway 7.5.0
製品ガイド
121
6
プロキシ
透過型ブリッジ モード
6
[管理 IP] フィールドで、ネットワークの設定時に [ibr0] に指定した IP アドレスを入力します。
7
必要に応じて、IP スプーフィングを設定します。
8
[HTTP プロキシ ポート] で [HTTP プロキシを有効にする] が選択されていることを確認します。
デフォルトでは、この設定が選択されています。また、[HTTP ポート定義リスト] にポート 9090 が表示されて
います。
9
•
このポートは必要に応じて変更できます。[追加] をクリックして [HTTP プロキシ ポートの追加] ウィンド
ウを開くと、プロキシ ポートを追加できます。
•
1 つ以上の FTP プロキシを設定するには、[FTP プロキシ] で [FTP プロキシを有効にする] を選択します。
[FTP ポート定義リスト] で、FTP 制御ポートが 2121 に設定されています。また、FTP データ ポートが
2020 に設定されています。
[変更を保存] をクリックします。
スキャン ノードを透過型ブリッジ モードに設定する
スキャン ノードを透過型ブリッジ ノードに設定するには、ディレクター ノードの場合と同じ方法で設定しますが、
ディレクター役割ではなく、スキャン役割を使用します。
スキャン役割を設定するには、ノードの優先順位を 0 に設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、スキャン ノードを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
SOCKS、ICAP ...)] を選択します。
3
[ネットワーク設定] で、[透過型ブリッジ] を選択します。
[透過型ブリッジ] の特定の設定が [ネットワーク設定] の設定の下に表示されます。
4
ディレクター ノードと同じポート リダイレクトを設定します。
5
[ディレクトリの優先順位] に 0 を設定します。
6
ディレクター ノードと同じ方法で IP スプーフィングを設定します。
7
ディレクター ノードと同じ方法で、HTTP と FTP のプロキシ ポートと設定します。
8
[変更を保存] をクリックします。
透過型ブリッジ モードで複数のスキャン ノードを実行するには、同じ方法で追加のアプライアンスを設定します。
透過型ブリッジの設定
透過型ブリッジの設定では、アプライアンスのプロキシ機能を透過型ブリッジ モードに設定します。
透過型ブリッジ
透過型ブリッジ モードの構成の設定
122
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
透過型ブリッジ モード
表 6-12 透過型ブリッジ
オプション
定義
[ポート リダイレ
クト]
ネットワークのユーザーが送信した Web アクセス要求をリダイレクトするポートをリストか
ら選択します。
[ディレクターの優 要求で送信されたデータ パケットを転送するときにアプライアンスが使用する優先順位 (0
先順位]
から 99) を設定します。
最高値が表示されます。0 はアプライアンスがスキャニング ノードと呼ばれるものであるこ
とを意味し、データ パケットをフィルターするだけで、仕向けることはないことを意味しま
す。
このオプションは、スキャニング ノード(優先順位 = 0)またはディレクター ノー
ド(優先順位 > 0)としてノードを構成するためにのみ使用できます。
0 より大きいノードの優先順位の違いは評価されません。
透過型ブリッジ モードで複数のアプライアンスについて 0 より大きいノード優先
順位を構成した後で、その動作を観察して、データ パケットを仕向けるディレクタ
ー ノードになるものが実際にどれであるかを調べる必要があります。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプ
ライアンスのソース IP アドレスを指定します。
[IP スプーフィン
グ (HTTP、
HTTPS)]
選択すると、アプライアンスは、要求で送信されたクライアント IP アドレスを発信元アドレ
スとして保持し、要求された Web サーバーと様々なプロトコルで通信を行うときに使用しま
す。
アプライアンスは、このアドレスが要求のホスト名と一致するかどうかを検証しません。
[IP スプーフィン
グ (FTP)]
選択すると、アプライアンスは HTTP または HTTPS プロトコルの場合と同じ方法でファイ
ル サーバーに FTP プロトコルで接続し、IP spoofing を実行します。
アクティブな FTP の場合、このオプションを有効にする必要があります。
次の表では、ポート転送のリストのエントリーを説明しています。
表 6-13
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
要求の送受信で使用されるプロトコル名が表示されます。
[元の宛先ポート]
要求がリダイレクトされる場合、元の宛先ポートが表示されます。
[宛先プロキシ ポー
ト]
リダイレクト先のポートが表示されます。
[発信元 IP による除
外]
指定した IP アドレスのクライアントから受信した要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼できるソースから受信した要求の処
理を Web Gateway でスキップしたり、接続問題のトラブルシューティングを行うこと
ができます。
McAfee Web Gateway 7.5.0
製品ガイド
123
6
プロキシ
セキュア ICAP
表 6-13
ポート転送 - リスト エントリー (続き)
オプション
定義
[宛先 IP による除外] 指定した IP アドレスに送信される要求をリダイレクトの対象外にします。
• IP アドレスだけでなく、ネット マスクも指定する必要があります。
• リダイレクトの対象外にした要求は、実装しているフィルタリング ルールで処理されま
せん。
• この方法でリダイレクトの対象外を設定すると、信頼された宛先に送信される要求を処理
の対象外にすることができます。
[オプションの
802.1Q VLAN]
設定済みの VLAN トラフィックのネットワーク インターフェース ID の一覧が表示されま
す。
[コメント]
ポート転送に関するテキスト形式のコメントを提供します。
セキュア ICAP
アプライアンスが ICAP プロトコルの下でサーバーとクライアントのロールをとるとき、コミュニケーションを SSL
セキュア モードで実行できます。
このモードを使用するには、アプライアンスでクライアントから SSL 保護要求を受信する ICAP ポートのサーバー
証明書をインポートする必要があります。クライアントが証明書を送信する必要はありません。
ICAP クライアントして機能しているアプライアンスから ICAP サーバーに送信された要求の場合、サーバーとの
SSL セキュア通信を有効にするため、サーバー アドレスに ICAPS が含まれている必要があります。
アプライアンスはクライアント証明書を ICAP サーバーに送信しません。
SOCKS プロキシ
SOCKS (ソケット) プロトコルで Web トラフィックを転送するように、Web Gateway をプロキシとして実行でき
ます。
Web トラフィックを SOCKS プロトコルを送信すると、HTTP または HTTPS などの埋め込みプロトコルも使用さ
れます。
Web Gateway では埋め込みプロトコルも検出できます。このプロトコルで送信される Web トラフィックがフィ
ルタリングされる場合、このトラフィックで設定済みのフィルタリング ルールが処理されます。フィルタリングがサ
ポートされていない場合、トラフィックは適切なルールによってブロックされます。
Web Gateway のプロキシ機能に SOCKS プロトコルを使用する場合には、次のような制限があります。
•
SOCKS プロトコルのバージョンが 5、4 または 4a でなければなりません。また、TCP ベースにする必要があ
ります。
•
SOCKS プロトコルで接続をセットアップする場合、BIND を使用できません。
SOCKS プロトコルでネクスト ホップ プロキシが転送する Web トラフィックは、レベル 1 または 2 の Kerberos
認証方法で保護できます。
この場合、このトラフィックを SSL で保護する暗号化は適用されません。このため、SSL スキャンは不要です。デ
フォルトの SSL スキャナー ルール セットには、このトラフィックが SSL スキャンをスキップするための条件が含
まれています。
124
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
SOCKS プロキシ
SOCKS プロキシの設定
Web Gateway を SOCKS プロキシとして設定するには、いくつかの作業を行う必要があります。
•
SOCKS プロキシを有効にします。
•
Web Gateway に要求を送信するときに SOCKS プロキシ クライアントが待機するプロキシ ポートを 1 つ以
上指定します。
これらのポートは、Web Gateway の共通プロキシ設定で指定します。
•
SOCKS プロキシの動作を制御するルールを作成します。
これらの設定は、Web Gateway の共通プロキシ設定で行います。
SOCKS プロキシ ルールでのプロパティとイベントの使用
SOCKS プロキシとしての Web Gateway の動作を制御するルールを作成する場合、2 つのプロパティとイベントが
使用できます。
デフォルトのルール セットまたはルール セット ライブラリに、事前設定の SOCKS プロキシ ルール セット セット
はありません。このようなルールを使用する場合には、ルールを作成して既存のルール セットに挿入するか、新しい
ルール セットを作成する必要があります。
•
ProtocolDetector.DetectedProtocol - このプロパティは、Web トラフィックが SOCKS プロトコルで
転送される場合に埋め込みプロトコル (HTTP、HTTPS など) の検出に使用できます。
この値は、プロトコル名を文字列形式で表したものです。埋め込みプロトコルを検出できない場合、文字列は空
になります。
•
ProtocolDetector.ProtocolFilterable - このプロパティは、検出された埋め込みプロトコルで Web トラ
フィックにフィルタリングがサポートされているかどうかを確認できます。
フィルタリングが可能であれば、値は true になります。それ以外の場合には、false になります。
ルールでこのプロパティが処理されると、ProtocolDetector.DetectedProtocol プロパティにも値が設定
されます。後者のプロパティでこの値に空の文字列が設定されている場合、埋め込みプロトコルが検出できない
ことを意味します。この場合、ProtocolDetector.ProtocolFilterable プロパティの値が false に設定され
ます。
•
ProtocolDetector.ApplyFiltering - このイベントは、検出されたプロトコルで Web フィルタリングを行
う Web Gateway で、設定済みの他のルールを有効にする場合に使用できます。
以下のルールを使用すると、埋め込みプロトコルが検出され、フィルタリング可能な場合に、SOCKS プロトコルで
Web トラフィックをフィルタリングする他のルール処理が有効になります。
名前
フィルタリング可能な埋め込みプロトコルの後で SOCKS トラフィックのフィルタリングを有効にする
条件
ProtocolDetector.ProtocolFilterable is true
アクション
–> StopCycle
イベント
ProtocolDetector.ApplyFiltering
埋め込みプロトコルが検出されない場合、次のルールが SOCKS トラフィックをブロックします。
名前
埋め込みプロトコルが検出できない場合に、SOCKS トラフィックをブロックする
条件
ProtocolDetector.DetectedProtocol equals " "
McAfee Web Gateway 7.5.0
アクション
–>
Block
製品ガイド
125
6
プロキシ
SOCKS プロキシ
SOCKS トラフィックを有効にするルールが設定されていない場合や、埋め込みプトロコルを検出されずにブロック
された場合、このトラフィックは許可されます。
Web アクセス要求を Web Gateway の SOCKS クライアントから受信すると、何も処理は実行されず、要求され
た Web サーバーに転送されます。
SOCKS プロキシを設定する
Web Gateway の共通プロキシの一部で、SOCKS プロキシを設定できます。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、SOCKS プロキシを設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)] を選択します。
設定ペインにプロキシ機能の設定が表示されます。
3
下にスクロールして [SOCKS プロキシ] を選択します。
4
必要に応じて、これらの項目を設定します。
5
[変更の保存] をクリックします。
関連トピック:
131 ページの「プロキシ設定」
SOCKS プロキシ ルール セット
SOCKS プロキシ ルール セットは、SOCKS プロトコルで転送されるトラフィックをフィルタリングするライブラ
リ ルール セットです。
ライブラリ ルール セット - SOCKS プロキシ
条件 - Always
サイクル — 要求 (IM)、応答
このルール セットには、以下のルールが含まれます。
フィルタリング可能なプロトコルが埋め込まれている SOCKS プロトコルのトラフィックのフィルタリング
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals true –> Stop Cycle
— ProtocolDetector.ApplyFiltering
このルールは、ProtocolDetector.ProtocolFilterable プロパティを使用して、SOCKS トラフィックに埋め
込まれているプロトコルが Web Gateway でフィルタリング可能かどうか検査します。フィルタリング可能なプ
ロトコルは HTTP と HTTPS です。
いずれかのプロトコルが検出されると、ルール イベントがフィルタリングを有効にします。埋め込みプロトコルが
検出されないと、このルールは適用されず、次のルールが処理されます。
埋め込みプロトコルが検出されない場合、SOCKS トラフィックをブロック
ProtocolDetector.ProtocolFilterable <Protocol Detector Settings> equals " " –> Block
<Default>
埋め込みプロトコルが検出されない場合、このルールが要求をブロックします。
検出したプロトコルがホワイトリストにない場合に SOCKS トラフィックをブロック
ProtocolDetector.DetectedProtocol <Protocol Detector Settings> is not in list Protocol
Whitelist –> Block <Default>
126
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
インスタント メッセージング
6
埋め込みプロトコルが検出されても特定のホワイトリストに存在しない場合、このルールが要求をブロックします。
このルールは、デフォルトでは有効になっていません。
インスタント メッセージング
インスタント メッセージ ング プロキシは、インスタント メッセージング (IM) チャットとファイル転送をフィルタリン
グするために、アプライアンスにセットアップできます。
ネットワークのユーザーがインスタント メッセージング通信に参加するとき、たとえば、インスタント メッセージ
ング サーバーにチャット メッセージを送ったり、そのメッセージに対する返信を受け取ったり、ファイルを送受信
したりします。アプライアンスのインスタント メッセージング プロキシは、実装したフィルタリング ルールに従っ
てこのフィルタリングをインターセプトしたり、フィルタリングできます。このために、インスタント メッセージン
グ トラフィックは、アプライアンスにリダイレクトされます。
以下のネットワーク コンポーネントがフィルタリング プロセスに含まれています。
•
インスタント メッセージングのプロキシ — プロキシは Yahoo プロキシ、Windows Live Messenger プロキシ
やその他などさまざまなプロトコルの元でインスタント メッセージングをフィルタリングするために、アプライ
アンスをセットアップできます。
•
インスタント メッセージングのクライアント — これらのクライアントはネットワーク内のユーザーのシステム
上で実行され、インスタント メッセージング サーバーとの通信を可能にします。
•
インスタント メッセージングのサーバー — これらは、ネットワーク内からクライアントによりアドレス指定さ
れる宛先です。
•
ネットワークのその他のコンポーネント — インスタント メッセージング フィルターーに含まれる他のコンポ
ーネントには、たとえば、インスタント メッセージング トラフィックをアプライアンスにリダイレクトするファ
イアウォールやローカル DNS サーバーなどがあります。
インスタント メッセージング フィルタリングを設定するときには、インスタント メッセージング プロキシやインス
タント メッセージング トラフィックをインターセプトとフィルタリングできるようにするプロキシへの設定操作を
完了する必要があります。
また、インスタント メッセージング トラフィックがインスタント メッセージング プロキシに確実にリダイレクトさ
れるようにする必要もあります。しかし、この設定操作はクライアント上で行うものではなく、ネットワークの他の
コンポーネント上で行われます。たとえば、DNS のリダイレクトやファイアウォール ルールは適切な方法で設定さ
れます。
アプライアンスのインスタント メッセージング プロキシは、Yahoo、Microsoft、ICQ、Google により提供された
ベンダー IM クライアント ソフトウェアと共に主に使用されることを意図しています。しかし、クライアント ソフ
トウェアは、隠れた更新が行われた後で事前の警告なしに、新しいログオン サーバーを使用するなど、操作を変更す
る可能性があります。
サードパーティのクライアント ソフトウェアを使用するときは、一般的にログオン サーバー、プロトコル バージョ
ン、または認証方式が元のクライアント ソフトウェアのものに比べて変更されている可能性があることを理解してお
く必要があり、このことによりアプライアンスのインスタント メッセージング プロキシがインスタント メッセージ
ング トラフィックをインターセプトしたり、フィルタリングできなくなる可能性があります。
インスタント メッセージング プロキシの設定
アプライアンスでインスタント メッセージング プロキシを設定する場合、[構成]トップレベル メニューの[プロキ
シ]設定の関連する部分を構成する必要があります。
McAfee Web Gateway 7.5.0
製品ガイド
127
6
プロキシ
インスタント メッセージング
主に以下の設定があります。
•
インスタント メッセージング プロキシの有効化
•
インスタント メッセージング クライアントにより送信される要求を待機する IP アドレスとポート
•
インスタント メッセージング サーバーの設定
•
インスタント メッセージング通信のタイムアウト
デフォルト値は、アプライアンスの初期セットアップ後にこれらのすべての設定に対して事前設定されます。
以下のプロトコルの下のインスタント メッセージングを以下のとおり、フィルタリングすることができます。
•
Yahoo
•
ICQ
•
Windows Live Messenger
•
XMPP。Google Talk、Facebook チャット、Jabber、その他のインスタント メッセージング サービスに使用さ
れるプロトコル
インスタント メッセージング トラフィックのフィルタリングのために、アプライアンスで処理されるルールは、こ
れらのルール セットの設定で処理サイクルとして設定される要求 (および IM) をもつものです。
しかし、応答サイクルは Yahoo プロトコルの下でインスタント メッセージングがフィルタリングされるときにも関
係します。このプロトコルの下では、要求されたファイルが通常の Web トラフィックでファイルを転送するために
使用される応答と同じ種類の応答で、クライアントに転送されます。ファイルはサーバーに保管され、HTTP のもと
で、クライアントにより取得されます。たとえば、適切な URL を使用するなどです。
インスタント メッセージング クライアントと特定のプロトコルの下のプロキシとの間の通信に問題が発生した場
合、クライアントは別のプロトコルを使用して切り替え、このようにプロキシをバイパスすることもできます。クラ
イアントは通常の Web トラフィックに対するプロトコルを使用することさえできます。アプライアンスのダッシュ
ボード上で、これは表示される IM トラフィックの減少と Web トラフィックの増大が導かれます。
セッションの開始
クライアントとサーバー間のインスタント メッセージング セッションの初期化中に、クライアントの要求はアプラ
イアンスでのみ受信できますが、応答を返信することはできません。この状態が続く限り、
IM.Message.CanSendBack プロパティはルールで使用されるときの値として false をもつことになります。
インスタント メッセージング トラフィックを完全にブロックしない限り、セッション初期化に関するブロッキング
ルールを施行しないことをお勧めします。必要なヘルパー接続を許可することも必要です。通常は、DNS 要求や
HTTP 転送が該当します。
認証されたユーザーのみを許可するなど、施行する制限はチャット メッセージやファイル転送など、セッション自体
が進行中の間のトラフィックに適用されます。
インスタント メッセージング フィルタリングのためのその他のネットワーク コンポーネントの構成
インスタント メッセージング フィルタリングのその他のネットワーク コンポーネントの構成の目的は、クライアン
トとサーバーの間で進行中のインスタント メッセージング トラフィックを、1 つ以上のインスタント メッセージン
グ プロキシを実行中のアプライアンスにリダイレクトすることです。
たとえば、ICQ プロトコルの下で、クライアントはホスト名 api.icq.net をもつサーバーに要求を送信します。イ
ンスタント メッセージング フィルタリングの場合は、ホスト名をアプライアンスの IP アドレスではなく、ICQ サ
ーバーの IP アドレスに解決しない DNS リダイレクト ルールを作成する必要があります。
128
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
インスタント メッセージング
6
同様に、ファイアウォール ルールを作成して、インスタント メッセージング トラフィックをインスタント メッセー
ジング サーバーではなく、アプライアンスにダイレクトすることができます。
Windows Live Messenger の下でのインスタント メッセージング トラフィックのフィルタリング
Windows Live Messenger プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリン
グを設定するとき、以下の知識が役立ちます。
インスタント メッセージング サーバーのホスト名は messenger.hotmail.com です。これは、インスタント メ
ッセージング プロキシをもつアプライアンスの IP アドレスによるリダイレクト ルールにより解決される必要があ
るホスト名です。
時々、クライアントは DNS ルックアップで解決されるホスト名を要求せずに、サーバーに接続します。この場合、
クライアント設定内の以下のレジストリ エントリーを検索し、削除することを助けます。
geohostingserver_messenger.hotmail.com:1863, REG_SZ
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
http://login.live.com
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
ICQ の下でのインスタント メッセージング トラフィックのフィルタリング
ICQ プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以下
の知識が役立ちます。
インスタント メッセージング サーバーのホスト名は次のようになります。
•
api.icq.net (サービス要求サーバー: AOL から
独立以来新規)
•
ars.oscar.aol.com (古いファイル転送プロキ
シ)
•
ars.icq.com (ファイル転送プロキシ: AOL か
ら独立以来新規)
•
login.icq.com (新しいログオン手順の場合)
•
api.oscar.aol.com (古いサービス要求サーバ
ー)
•
login.oscar.aol.com (古いログオン手順の場
合)
ICQ クライアントは、アプライアンスのインスタント メッセージング プロキシによりインターセプトできない暗号
化プロセスのサーバーにログオンします。
しかし、これ以降、ICQ クライアントはログオン後に受け取るマジック トークンを使用して、セッション サーバー
に関する情報をサービス要求サーバーに求めます。ここで、インスタント メッセージング プロキシがインターセプ
トします。フィルタリング プロセスはその後、セッション サーバーとの通信でクライアント名が発表された後で、
別のログオン手順を使用します。
ベンダー Yahoo クライアントとは対照的に、ベンダー ICQ クライアントは Internet Explorer 接続設定を無視し
ます。
Yahoo の下でのインスタント メッセージング トラフィックのフィルタリング
Yahoo プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以
下の知識が役立ちます。
McAfee Web Gateway 7.5.0
製品ガイド
129
6
プロキシ
インスタント メッセージング
要求が送信されるインスタント メッセージング サーバーのリストが非常に長くなることがあります。以下は使用さ
れている、または使用されたことがあるサーバーのホスト名のリストです。これまでに現れた新しいサーバーはリス
トに追加することが必要な場合があります。
•
vcs.msg.yahoo.com
•
scs.msg.yahoo.com
•
vcs1.msg.yahoo.com
•
scs-fooa.msg.yahoo.com
•
vcs2.msg.yahoo.com
•
scs-foob.msg.yahoo.com
•
scs.yahoo.com
•
scs-fooc.msg.yahoo.com
•
cs.yahoo.com
•
scs-food.msg.yahoo.com
•
relay.msg.yahoo.com
•
scs-fooe.msg.yahoo.com
•
relay1.msg.dcn.yahoo.com
•
scs-foof.msg.yahoo.com
•
relay2.msg.dcn.yahoo.com
•
scsd.msg.yahoo.com
•
relay3.msg.dcn.yahoo.com
•
scse.msg.yahoo.com
•
mcs.msg.yahoo.com
•
scsf.msg.yahoo.com
•
scs.msg.yahoo.com
•
scsg.msg.yahoo.com
•
scsa.msg.yahoo.com
•
scsh.msg.yahoo.com
•
scsb.msg.yahoo.com
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
•
http://vcs1.msg.yahoo.com/capacity
•
http://vcs2.msg.yahoo.com/capacity
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
[インターネットに直接接続]オプションが Yahoo クライアントの設定の中で有効になっている場合でも、Internet
Explorer の接続設定を引き続き使用している場合があります。これが原因となり、プロセスの後の段階でログオン
が失敗することがあります。したがって、ホワイトリストに URL *login.yahoo.com* も挿入することをお勧め
します。
インスタント メッセージング フィルタリングの問題
インスタント メッセージング フィルタリングの問題には、たとえば、クライアントとサーバー間の接続や施行され
たフィルタリング ルールの適用などが含まれる場合があります。
キープアライブ データ パケットはインスタント メッセージ トラフィックの一部として定期的な間隔で送信され、通
信パートナーが引き続き接続され、応答可能であることを示します。IM プロトコルとクライアント ソフトウェアに
応じて、間隔は 20 ~ 80 秒間の間で変動します。これらのデータ パケットは、アプライアンスで施行されるフィル
タリング ルールにより処理されません。
トラブルシューティングの状況でそのようなデータ パケットを検出した場合、どのルールが引き続き実行されている
のかを確認するために、ルール エンジン トレーシング機能を使用することができます。
クライアントがサーバーにログインのために要求を送信するとき、適切な設定が行われている場合は、アプライアン
スにリダイレクトされます。しかし、クライアントは同時に、SSL セキュア認証を必要とする別のサーバーにログイ
ンを試みることもできます。これが失敗した場合、クライアントはアプライアンスへの接続を停止することもできま
す。
130
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
XMPP プロキシ
6
一部のクライアントはまた、サーバーへのログオンの失敗後に基本的なトラブルシューティング テストを実行するた
めのオプションも提供しています。
XMPP プロキシ
アプライアンスのインスタント メッセージ通信をフィルタリングするとき、使用できるメソッドの 1 つは、XMPP
(拡張されたメッセージングおよび存在の有無に関するプロトコル) の下でプロキシをセットアップすることです。
このプロトコルは、Jabber の名前でも知られます。たとえば、Facebook チャットや Google トークに参加する際
に XMPP クライアントとサーバーの間で行き来するために使用されます。
[構成] 、 [プロキシ] の下でユーザー インターフェースの XMPP プロキシの設定を構成できます。
SSL スキャナー ルール セットがアプライアンスで有効に設定されていない場合、XMPP クライアントとこのアプラ
イアンスの間で行き来するトラフィックは暗号化されませんが、アプライアンスで有効なすべてのルールによりフィ
ルタリングされます。クライアントが暗号化されていなトラフィックを受け付けない場合、接続は閉じます。
SSL スキャナー ルールが有効に設定されているとき、アプライアンスの他のルールによりフィルタリングするため
に使用できるように、SSL スキャニングを使用してトラフィックは暗号化され、検査されます。
共通のプロキシ設定の構成
ネットワーク モードに固有の設定だけでなく、共通のプロキシを設定できます。たとえば、Web Gateway で設定
可能なプロキシの設定を行うことができます。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、共通のプロキシ設定を構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
プロキシ設定
[プロキシ] の設定は、Web Gateway に実装可能なネットワーク モードのパラメーターを設定する場合に使用され
ます。また、これらのモードに適用される共通のパラメーターを設定する場合にも使用されます。ルール エンジンの
定期的な実行も設定できます。
ネットワーク設定
ネットワーク モードの実装の設定
ネットワーク モードが選択されると、これらの設定の下にこのモードの特定の設定が表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
131
6
プロキシ
プロキシ設定
表 6-14 ネットワーク設定
オプション
定義
[プロキシ (オプション WCCP)] 選択すると、明示的プロキシ モードが使用されて、WCCP サービスは Web トラ
フィックをアプライアンスにリダイレクトできます。
[プロキシ HA]
選択すると、高可用性機能を備えた明示的プロキシ モードが使用されます。
[透過型ルーター]
選択すると、透過型ルーター モードが使用されます。
[透過型ブリッジ]
透過型ブリッジ モードが使用されます。
HTTP プロキシ
HTTP プロトコルでアプライアンス上でプロキシを実行するための設定
このプロトコルは、Web ページとその他のデータ転送に使用されます (セキュリティを強化する SSL 暗号化でも使
用されます)。
表 6-15 HTTP プロキシ
オプション
定義
[HTTP プロキシ]
選択すると、HTTP プロトコルでアプライアンス上でプロキシが実行されます
[HTTP ポート定義リスト]
クライアント要求を待機するアプライアンスのポートを入力するためのリスト
を提供します。
[FTP over HTTP の匿名ログイ
ン]
アプライアンスの HTTP プロキシが FTP サーバーに要求を送信するときに、匿
名ログオンで使用されるユーザー名を指定します。
[FTP over HTTP の匿名ログイ
ンのパスワード]
ユーザー名のパスワードを設定します。
FTP プロキシ
FTP プロトコルの下でアプライアンス上でプロキシを実行するための設定
このプロトコルは、制御機能とデータ転送のために個別の接続を使用して、ファイル転送に使用されます。
該当するルールに FTP アップロード進捗状況表示イベントを挿入すると、FTP クライアントから Web
にファイルがアップロードされ、Web Gateway で処理されたときに、進行状況インジケーターがクライ
アントに送信されます。
ウイルスやマルウェアのスキャンで処理に時間がかかる場合があります。この設定を行うと、このような
場合でもクライアントでのタイムアウトを防ぐことができます。
表 6-16 FTP プロキシ
132
オプション
定義
[FTP プロキシの有効にする]
選択すると、FTP プロトコルでアプライアンス上でプロキ
シが実行されます
[FTP ポート定義リスト]
クライアント要求を待機するアプライアンスのポートを入
力するためのリストを提供します。
[FTP サーバー名に @ 文字の使用を許可 (USER
ftpserveruser@ftpserver を使用する認証)]
選択すると、この文字をユーザー名で使用できます。
[USER proxyuser@ftpserveruser@ftpserver を使
用した認証を有効にする]
選択すると、この構文をユーザー名で使用できます。
[USER ftpserveruser@proxyuser@ftpserver を使
用した認証を有効にする]
選択すると、この構文をユーザー名で使用できます。
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
プロキシ設定
6
表 6-16 FTP プロキシ (続き)
オプション
定義
[ウェルカム メッセージのカスタマイズを有効にする] 選択すると、FTP プロトコル経由で Web アクセス要求を
送信したユーザーに表示するウェルカム メッセージを編
集できます。
[カスタマイズされたウェルカム メッセージ] テキスト フ
ィールドにウェルカム メッセージを入力し、メッセージ内
で使用される変数に適切な値を設定します。
§MWG-ProductName$ $MWG-Version$ - ビルド
$MWG.BuildNumber$ へようこそ
$System.HostName$ - $System.UUID$
$Proxy.IP$:$Proxy.Port$ で実行中
[ネクスト ホップ プロキシ ログインで使用するコマン FTP プロトコルでネクスト ホップ プロキシに接続したと
ドを選択する]
きに Web Gateway がログインで送信するコマンドを選
択できます。
次のコマンドを選択できます。
• SITE
• OPEN
• USER@Host
以下の表では、FTP ポート定義リストの項目について説明します。
表 6-17 FTP ポート定義リスト
オプション
定義
[リスナー アドレス]
FTP 要求を待機するポートの IP アドレスとポート番号を指定します。
[データ ポート]
FTP プロトコルでのデータ転送に使用するポートの番号を指定します。
[クライアント リスナーのポート範
囲]
クライアントから受信する FTP 要求を待機するポート番号の範囲を設定し
ます。
この範囲は、開始ポートと終了ポートの番号を指定して設定します。
[サーバー リスナーのポート範囲]
要求の転送先となる Web サーバーから受信する FTP 応答を待機するポー
ト番号の範囲を設定します。
[クライアントにパッシブ FTP 接続
の使用を許可する]
選択すると、FTP プロトコルのパッシブ接続でクライアントからの要求を送
信できます。
[McAfee Web Gateway がクライア 選択すると、Web Gateway に要求を送信したクライアントと同じ種類の接
ントと同じ接続 (アクティブ/パッシ 続で Web Gateway が Web トラフィックを送信します。
ブ) を使用する]
[McAfee Web Gateway でパッシブ 選択すると、FTP プロトコルのパッシブ接続で Web Gateway が Web ト
FTP 接続を使用する]
ラフィックを送信します。
[コメント]
FTP 要求を待機するポートの説明をテキスト形式で入力します。
ICAP サーバー
ICAP クライアントとの通信で要求と応答を変更するアプライアンス上で ICAP サーバーとして実行するときの設定
McAfee Web Gateway 7.5.0
製品ガイド
133
6
プロキシ
プロキシ設定
表 6-18 ICAP サーバー
オプション
定義
[ICAP サーバーの有効に 選択すると、ICAP サーバーがアプライアンス上で実行されます。
する]
[ICAP ポート定義リス
ト]
ICAP クライアントからの要求を待機するアプライアンスのポートを入力するためのリ
ストを提供します。
ネットワーク内の複数のアプライアンスで異なる ICAP サーバーを設定している場合、
ラウンドロビン方式で ICAP クライアントからの要求がサーバーに配信されます。
IFP プロキシ
IFP プロトコルでアプライアンス上でプロキシを実行するための設定
このプロトコルは、Web ページの転送に使用されます。
表 6-19 IFP プロキシ
オプション
定義
[IFP プロキシを有効にする]
選択すると、IFP プロトコルでアプライアンス上でプロキシが実行されます。
[IFP ポート定義リスト]
IFP プロキシのクライアント要求を待機するアプライアンスのポートを入力する
ためのリストを提供します。
[同時に許可される IFP 要求の
最大数]
同時に処理される IFP 要求の数を指定値に制限します。
この設定を使用すると、IFP プロキシの過負荷を回避できます。
次の表では、IFP ポート定義リストのエントリについて説明しています。
表 6-20 IFP ポート定義リスト
オプション
定義
[リスナー アドレス]
IFP 要求を待機するポートの IP アドレスとポート番号を指定します。
[リダイレクトでエラー メ true に設定する場合、要求を送信したユーザーは、たとえば、要求がブロックされた
ッセージを送信する]
ことなどを、エラー メッセージ ページに要求をリダイレクトすることによって通知さ
れます。
そうではない場合、関連情報は IFP プロトコルで通常のメッセージとして送信されま
す。
[コメント]
IFP 要求に待機するポートの平文コメントを提供します。
SOCKS プロキシ
アプライアンスのプロキシを SOCKS (ソケット) プロトコルで実行するための設定
表 6-21 SOCKS プロキシ
オプション
定義
[SOCKS プロキシを有効にする] 選択すると、アプライアンスのプロキシが SOCKS プロトコルで実行されます。
[SOCKS ポート定義リスト]
SOCKS プロキシのクライアント要求を待機するアプライアンスのポートを入
力するためのリストを提供します。
以下の表では、SOCKS ポート定義リストの項目について説明します。
134
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
プロキシ設定
6
表 6-22 SOCKS ポート定義リスト
オプション
定義
[リスナー アドレス]
SOCKS 要求を待機するポートの IP アドレスとポート番号を指定します。
[コメント]
SOCKS 要求を待機するポートの説明をテキスト形式で入力します。
Web キャッシュ
アプライアンスの Web キャッシュを有効にする設定
Web キャッシュを有効化するのに加えて、キャッシュの読み取りと書き込みを制御するルール セットを施行する必
要があります。
表 6-23 Web キャッシュ
オプション
定義
[キャッシュを有効にする]
選択すると、Web キャッシュがアプライアンス上で実行されます。
HTTP(S)、FTP、ICAP のタイムアウト
HTTP、HTTPS、FTP、ICAP プロトコルの下での接続時のタイムアウトの設定
表 6-24 HTTP(S)、FTP、ICAP のタイムアウト
オプション
定義
[初期接続のタイムアウト]
要求を受け取らない場合に、新しく開いた接続が閉じるまでの時間 (秒) を指定
値に制限します。
[接続のタイムアウト]
未完了の要求通信中にクライアントまたはサーバーがアクティブでない場合、接
続が閉じるまでの時間 (秒数) を指定値に制限します。
[クライアント接続タイムアウ
ト]
クライアントへのプロキシとして実行中のアプライアンスからの接続が、要求間
で閉じるまでの時間 (秒) を指定値に制限します。
[未使用の HTTP サーバーの最大 サーバーへのプロキシとして実行中のアプライアンスからの接続が、要求間で閉
じるまでの時間 (秒) を指定値に制限します。
アイドル時間]
DNS 設定
ドメインドメイン名サーバーとの通信の設定
McAfee Web Gateway 7.5.0
製品ガイド
135
6
プロキシ
プロキシ設定
表 6-25 DNS 設定
オプション
定義
[IP プロトコル バー
ジョンの設定]
通信に使用される IP プロトコルのバージョンを選択できます。
• (バージョン オプション:)
• [受信接続と同じ ]— これが選択されると、受信接続ですでに使用中のプロトコル バー
ジョンが使用されます
• [IP4 ] — これが選択されると、IP プロトコルのバージョン 4 が使用されます
• [IP6 ] — これが選択されると、IP プロトコルのバージョン 6 が使用されます
• [フォールバックとしてその他のプロトコル バージョンを使用 ]— これが選択されると、
2 つのバージョンの 1 つが使用できない場合は、もう一方のプロトコル バージョンが使
用されます。
[DNS キャッシュの最 キャッシュに保管されたデータが削除されるまでの最小時間 (秒数) を設定します。
小 TTL]
[DNS キャッシュの最 キャッシュに保管されたデータが削除されるまでの最小時間 (秒数) を指定値に制限しま
大 TTL]
す。
Yahoo
Yahoo プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行するための設定
表 6-26 Yahoo
オプション
定義
[Yahoo プロキシを有効にする]
これが選択されると、アプライアンスは Yahoo プロトコルの下でインスタン
ト メッセージングのプロキシとして実行されます
[リスナー アドレス]
クライアント要求を待機するプロキシの IP アドレスおよびポート番号を指定
します。
[0.0.0.0:80 経由のファイル転送 これが選択されると、ファイル転送はこの IP アドレスとポートを使用できま
をサポート]
す
[ログイン サーバー]
要求を送信する前にユーザーがログオンするサーバーのホスト名とポート番号
を指定します。
[リレー サーバー (日本)]
ファイル転送時に中継ステーションとして使用されるサーバーのホスト名とポ
ート番号を指定します。
[Yahoo クライアント接続タイム
アウト]
クライアントへのインスタント メッセージング プロキシが閉じるまでの時間
(秒) を指定値に制限します。
[Yahoo サーバー接続タイムアウ
ト]
サーバーへのインスタント メッセージング プロキシが閉じるまでの時間 (秒)
を指定値に制限します。
ICQ
OSCAR (Open System for Communication in Real Time) プロトコルの下のインスタント メッセンジングの実
行のための設定
136
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
プロキシ設定
表 6-27 ICQ
オプション
定義
[ICQ プロキシを有効
にする]
これが選択されると、アプライアンスは OSCAR の下でインスタント メッセージングの
プロキシとして実行されます
[ログインとファイル転 ログオンとファイル転送を処理するインスタント メッセージング プロキシとポート番号
送プロキシ ポート]
として実行中のアプライアンスの IP アドレスを指定します。
• [追加ファイル転送プロキシ ポートを有効にする] — これを選択すると、ファイル転送
を処理するために追加ポートを使用できます
• [追加ファイル転送プロキシ ポート ]— ファイル転送を処理する追加の IP アドレスと
ポート番号を指定します。
[BOS リスナー ポー
ト]
インスタント メッセージング プロキシが実行しているアプライアンスの IP アドレスお
よび BOS (Basic OSCAR Service) 要求を待機するポートの数を指定します。
これらの要求は、ファイル転送の要求など、チャット メッセージを送信するための要求で
す。
[ICQ ログイン サーバ
ー]
要求を送信する前にユーザーがログオンするサーバーのホスト名とポート番号を指定し
ます。
[ICQ サービス要求サ
ーバー]
要求を処理するサーバーのホスト名とポート番号を設定します。
[ICQ ファイル転送プ
ロトコル]
ファイル転送を処理するサーバーのホスト名とポート番号を設定します。
[ICQ クライアント接
続タイムアウト]
クライアントへのインスタント メッセージング プロキシが閉じるまでの時間 (秒) を指
定値に制限します。
[ICQ サーバー接続タ
イムアウト]
サーバーへのインスタント メッセージング プロキシが閉じるまでの時間 (秒) を指定値
に制限します。
Windows Live Messenger
Windows Live Messenger プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行す
るための設定
表 6-28 Windows Live Messenger
オプション
定義
[Windows Live Messenger これが選択されると、Windows Live Messenger の下でインスタント メッセンジ
プロキシを有効にする]
ャーのプロキシがアプライアンスで実行されます
[Windows Live Messenger インスタント メッセージング プロキシが実行されているアプライアンスの IP アド
NS プロキシ リスナー 1]
レスを指定します。また、NS (通知サーバー) モードでクライアント要求を待機する
最初のポート番号も指定します。
[Windows Live Messenger インスタント メッセージング プロキシが実行されているアプライアンスの IP アド
NS プロキシ リスナー 2]
レスを指定します。また、NS (通知サーバー) モードでクライアント要求を待機す
る 2 番目のポート番号も指定します。
[Windows Live Messenger インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレス
SB プロキシ ポート]
と SB (Switchboard) モードでクライアント要求を待機するポートの番号を指定し
ます。
[Windows Live Messenger クライアントへのインスタント メッセージング プロキシが閉じるまでの時間 (秒)
クライアント接続タイムアウ を指定値に制限します。
ト]
[Windows Live Messenger サーバーへのインスタント メッセージング プロキシが閉じるまでの時間 (秒) を指
サーバー接続タイムアウト] 定値に制限します。
McAfee Web Gateway 7.5.0
製品ガイド
137
6
プロキシ
プロキシ設定
XMPP
XMPP プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行するための設定
これは、Google Talk、Facebook チャット、Jabber、その他のいくつかのインスタント メッセージング サービス
に使用されるプロトコルです。
表 6-29 XMPP
オプション
定義
[XMPP プロキシを有効にす これが選択されると、XMPP プロトコルの下でインスタント メッセージングのプロキ
る]
シがアプライアンスで実行されます
[プロキシ ポート]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレス
と XMPP プロトコルの下で送信される要求を待機するポートの番号
[クライアント接続タイムア クライアントへのインスタント メッセージング プロキシが閉じるまでの時間 (秒)
ウト]
を指定値に制限します。
[サーバー接続のタイムアウ サーバーへのインスタント メッセージング プロキシが閉じるまでの時間 (秒) を指
ト]
定値に制限します。
詳細設定
プロキシ機能の詳細設定
表 6-30 詳細設定
オプション
定義
[クライアント接続の最大数]
アプライアンスのプロキシとクライアント間の接続数を制限します。
0 を指定すると、制限が設定されないことを意味します。
[稼働中のスレッド数]
Web オブジェクトのフィルタリングと送信用のプロキシとしてアプライアンスが
実行されるときに使用されるスレッド数を指定します。
[AV スキャンのスレッド数]
ウイルスおよびその他のマルウェアによる感染について、プロキシとしてアプライ
アンスが実行されるときに Web オブジェクトをスキャンするために使用されるス
レッド数を指定します。
[TCP 遅延なしを使用]
これを選択すると、データ パケットをアセンブリするために、Nagle アルゴリズム
をを使用しないことによってプロキシ接続の遅延を回避します。
このアルゴリズムは、指定された量のデータが収集されるまで、パケットが送信さ
れないようにします。
[DNS キャッシュの最大 TTL
(秒)]
138
McAfee Web Gateway 7.5.0
ホスト名情報を DNS キャッシュに保存する時間 (秒) を制限します。
製品ガイド
プロキシ
プロキシ設定
6
表 6-30 詳細設定 (続き)
オプション
定義
[長時間接続によるタイムアウ 別のネットワーク コンポーネントとの長時間接続を許可する時間 (時間) を設定し
ト エラー]
ます。この期間を経過してもアクティブ状態に戻らない場合、Web Gateway が接
続を終了します。
デフォルトは 24 時間です。
この設定を行うと、極端に長く継続している接続による Web Gateway アプライア
ンスのパフォーマンス低下を防ぐことができます。
タイムアウトを判定するための時間は接続プロトコルによって測定方法が異なりま
す。
• HTTP、HTTPS (コンテンツ検査あり)、ICAP と類似プロトコル:接続で要求が送
信されるたびに時間が計測されます。
• SOCKS (埋め込みプロトコルがない場合)、トンネル化された HTTP、HTTPS (コ
ンテンツ検査なし) と類似プロトコル:時間は、接続全体で測定されます。
• FTP:制御接続の時間が測定されます。
接続が終了すると、エラーが生成されます。このエラーは、エラー ハンドラー ル
ール セットのルールで処理できます。
[長時間接続の実行間隔を確
認]
長時間接続で確認メッセージが送信される間隔 (分) を設定します。
[接続または要求あたりの最大 Web Gateway が接続を終了する前に、長時間接続で他のネットワーク コンポーネ
データ量]
ントに送信可能なデータ量 (MB) を設定します。
デフォルトの量は 10,240 MB です。
この設定を行うと、極端に長く継続し、大量のデータを送信している接続で Web
Gateway アプライアンスのパフォーマンスが低下しないように防ぐことができま
す。
最大容量を判定するためのデータ量は接続プロトコルによって測定方法が異なりま
す。
• HTTP、HTTPS (コンテンツ検査あり)、ICAP と類似プロトコル:接続で要求が送
信されるたびにデータ量が計測されます。
• SOCKS (基礎となるプロトコルがない場合)、トンネル化された HTTP、HTTPS
(コンテンツ検査なし) と類似プロトコル:データ量は、接続全体で測定されます。
• FTP: データ接続の負荷が測定されます。
接続が終了すると、エラーが生成されます。このエラーは、エラー ハンドラー ル
ール セットのルールで処理できます。
以下のプロパティに、エラー処理ルールで使用可能な測定データの値を設定します。
Bytes.ToClient、Bytes.ToServer、Bytes.FromClient、
Bytes.FromServer。
[接続のボリューム間隔]
長期間接続のボリューム間隔を設定します。
[内部パス ID]
エラー メッセージの表示に使用されるスタイル シートの要求など、内部要求 (クラ
イアントから受信する要求でない) を転送するためにアプライアンスが従うパスを
定義します。
[本文を含めることができない これが選択されると、ICAP プロトコル下の通信で送信される応答は、本文を含ま
応答で RESPmod をバイパ
ない場合に RESPMOD モードに従って変更されません
スする]
McAfee Web Gateway 7.5.0
製品ガイド
139
6
プロキシ
プロキシ設定
表 6-30 詳細設定 (続き)
オプション
定義
[エラー テンプレートで埋め
込まれる進行状況更新とオブ
ジェクトのコール ログ ハン
ドラー]
これが選択されると、アプライアンスで実装されるログ ハンドラーのルール セッ
トは、指定された更新とオブジェクトを扱うように処理されます。
[プロキシを使用するローカル これが選択されると、ローカル ポートはプロキシとして実行中のアプライアンスで
ポートを通じた接続を許可す の要求に使用できます。
る]
[Proxy.IP プロパティ値とし
て仮想 IP を使用する]
これが選択されると、高可用性モードの Proxy.IP プロパティの値は構成のすべて
のノードの仮想 IP アドレスとなります。
プロキシに接続するためにクライアントが使用する仮想 IP アドレスです。
ダイレクター ノードがクライアントからスキャニング ノードに送信された要求を
リダイレクトするとき、このアドレスもスキャニング ノードにある Proxy.IP プロ
パティの値 (スキャニング ノードの物理的アドレスではありません) です。
[HTTP(S): すべてのホップバ これが選択されると、HTTP または HTTPS プロキシとして実行中のアプライアン
イホップのヘッダーを削除す スで受信する要求から、ホップバイホップのヘッダーが削除されます。
る]
[HTTP(S): プロキシ ループ
を検出するためにヘッダーを
通じて検査する]
これが選択されると、HTTP または HTTPS プロキシとして実行されるアプライア
ンスで受信した要求で、ループを検出するために、ヘッダーを通じた検査が行われ
ます
[HTTP(S): ホスト ヘッダー
よりも優先される絶対 URL
からのホスト]
これが選択されると、HTTP または HTTPS プロキシとして実行中のアプライアン
スで受信される要求で、絶対 URL に対応するホスト名が、要求ヘッダーに含まれ
るホスト名よりも優先されます
[進行状況ページの ID で組織 選択すると、進行状況ページ ID で組織の IP アドレスがエンコーディングされま
の IP アドレスをエンコーデ す。
ィングして負荷分散を有効に
する]
[HTTP(S): ヘッダーの最大サ HTTP(S) トラフィックで送信される要求または応答のヘッダーにサイズ制限
イズ]
(MB) を設定します。
デフォルトのサイズは 10 MB です。
[リスン バックログ]
リスン バックログの値を指定します。
デフォルト値は 128 です。
[Web キャッシュの IO を実 Web キャッシュの作業用スレッド数に制限を設定します。
行する作業用スレッドの制限]
デフォルトの数は 25 です。
[進行状況ページの制限]
進行状況ページのサイズに制限 (KB) を設定します。
デフォルトのサイズは 40000 KB です。
[正常なネクスト ホップ プロ
キシのステータス コード
(CONNECT 要求)]
正常のネクスト ホップ プロキシの CONNECT 要求を表すステータス コードが表
示されます。
デフォルトでは、次のステータス コードが正常な要求を表します。
200、400、403、404、502、503、504
140
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
プロキシ設定
表 6-30 詳細設定 (続き)
オプション
定義
[TCP ウィンドウ スケーリン
グを有効にする]
選択すると、TCP 通信レベルでデータ パッケージを受信するウィンドウが [TCP
ウィンド スケール] に指定されたスケール ファクターで拡大されます。
このオプションはデフォルトで有効になっています。
このオプションを無効にすると、ウィンドウ スケーリングは実行されま
せん。 この方法で受信ウィンドウを設定する場合にのみ、このオプショ
ンを無効にしてください。
[TCP ウィンドウ スケール
(形式: 0-14) ]
TCP 通信レベルでデータ パッケージを受信するウィンドウのサイズを設定します。
受信ウィンドウの初期サイズは、スケール ファクターで拡大されます。このファク
ターは 2 の乗数で、ここで指定した値が乗数となります。
たとえば、1 を指定すると、ファクターは 2^1 = 2 となり、ウィンドウ サイズは
倍になります。
指定可能な値の範囲は 0 から 14 までです。
0 を指定すると、スケーリング ファクターは 1 になります。 この場合、受信ウィ
ンドウは初期サイズのままになります。
通信相手の受信ウィンドウにもウィンドウ スケーリングを使用できます。
デフォルト値は 2 です。
定期的なルール エンジン トリガー リスト
ルール エンジンをコールし、データをダウンロードする Web サーバーへの接続の設定
表 6-31 定期的なルール エンジン トリガー リスト
オプション
定義
[定期的なルール エンジン ト これが選択されると、[URL 定義リスト]と呼ばれるリストで指定される Web サー
リガー リストを有効にする] バーへの接続が、定期的な間隔でセットアップされます。
各 Web サーバーの接続の間隔も、リストで指定されます。
間隔が経過すると、アプライアンスのルール処理モジュール (ルール エンジン) が
コールされ、Web サーバーへの接続がセットアップされ、Web サーバーからデー
タがダウンロードされて、処理のためにルール エンジンに渡されます。
データは HTTP と HTTPS プロトコルの下でのみダウンロードされます。
接続がこのようにセットアップされる Web サーバーは、次のネクストホップ プロ
キシ サーバーと Web で特定のサービスを提供するために使用されるその他のサー
バーが含まれます。
[URL 定義リスト]
接続がセットアップできる Web サーバーのリストを提供します。
次の表では、URL 定義リストのリスト エントリについて説明しています。
表 6-32 URL 定義リスト - リスト エントリ
オプション
定義
[ホスト]
接続をセットアップする Web サーバーの IP アドレスとポート番号または URL を指定します。
[トリガー間隔] 次回、Web サーバーへの接続のセットアップを試みるまでの間隔 (秒数) を指定します。
[コメント]
McAfee Web Gateway 7.5.0
Web サーバー接続のプレーンテキストコメントを提供します。
製品ガイド
141
6
プロキシ
送信元 IP アドレスの制御
送信元 IP アドレスの制御
Web Gateway から Web サーバーまたはネクスト ホップ プロキシへの送信接続で異なる送信元 IP アドレスを使
用すると、接続問題が発生する可能性があります。 これらのアドレスを 1 つのアドレスで置き換えると、このよう
な問題を回避できます。
たとえば、複数の Web Gateway アプライアンスで負荷分散を設定していると、異なる送信元 IP アドレスが使用さ
れる可能性があります。 負荷分散では、関係する Web サーバーまたはネクスト ホップ プロキシ側で接続問題が発
生する場合があります。 たとえば、セッション中に送信元 IP アドレスが変更されると、問題が発生します。
変化する送信元 IP アドレスを 1 つのアドレスに置換するルールを設定すると、このような問題を回避できます。
この単一アドレスは固定する必要はありません。 IP アドレスのリストを設定して、リスト内の特定のアドレスをル
ールで選択できるようにします。 置換後のアドレスはリスト内の位置に応じて変わります。
送信元 IP アドレスを制御できるネットワーク
送信元 IP アドレスを制御できるのは、次の構成のネットワークです。
•
IPv4 または IPv6
•
HTTP、HTTPS、FTP または SOCKS プロキシ
インスタント メッセージングはサポートされていません。
•
プロキシ モード (オプションの WCCP 付き)
他のアドレスの置換に使用する送信元 IP アドレスが別名として設置されている場合には、透過型ルーター モー
ドがサポートされます。
プロキシ HA モードと透過型ブリッジ モードはサポートされていません。
送信元 IP アドレスの制御を実装する場合でも、定期的にルール エンジンをトリガーすることは可能です。
送信元 IP アドレス制御のサンプル ルール
たとえば、ネクスト ホップ プロキシとの接続をセットアップする場合、送信元 IP アドレスを 1 つのアドレスに置
き換えるルールは次のようになります。
名前
宛先に応じてプロキシを使用する
条件
アクション イベント
URL.Destination.IP がネクスト ホップ プロキ –> 続行
シの IP 範囲リストにある場合
ネクスト ホップ プロキシ <内部プロキシ>
を有効にする
または
送信元 IP のオーバーライドを有効にする
(Proxy.OutboundIP(2))
URL.Destination.IP がネクスト ホップ プロキ
シの IP リストにある場合
ルールの条件に、ネクスト ホッププロキシを使用するタイミングを指定します。 最初のイベントでネクスト ホッ
プ プロキシとの接続をセットアップします。
2 番目のイベント (送信元 IP のオーバーライドを有効にする) で、送信元 IP アドレスの制御を行います。 これに
より、要求内で送信された送信元 IP アドレスをリストから取得した IP アドレスで置換 (オーバーライド) します。
イベント パラメーター (プロパティ) でリストを指定します。 プロパティの名前は Proxy.OutboundIP です。
これは、文字列形式の IP アドレスのリストです。 プロパティのパラメーターにより、リスト内の IP アドレスの位
置が決まります。
142
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
WCCP による FTP トラフィックのリダイレクト
6
送信元 IP アドレス制御に使用する IP アドレスのリスト
送信元 IP アドレスの置換に使用する IP アドレスのリストは、プロキシの設定に含まれます。 これは、送信接続の
詳細設定で設定します。
リスト内の IP アドレスの位置について、次のルールが適用されます。
•
リスト インデックスは 0 から始まります。 たとえば、ProxyOutboundIP プロパティのパラメーターに 2 を
指定すると、リストの 3 番目の IP アドレスが選択されます。
•
リストの項目数より多い値をパラメータに指定すると、<パラメーター値> から <リストの項目数> を引いた値
で位置が決まります。
たとえば、リストの項目数が 3 のときに 5 を指定すると、計算式の結果は 2 になります。 したがって、リスト
の 3 番目の IP アドレスが選択されます。
ネットワーク ルーティングと IP アドレス スプーフィング
送信元 IP オーバーライドを有効にする イベントでデータ パケットに挿入された IP アドレスは、ローカル以外の送
信元 IP アドレスです。 したがって、ネットワーク ルーティングを適切な方法で設定する必要があります。
Web サーバーからクライアントに戻されるデータ パケットは、Web Gateway プロキシにルーティングする必要が
あります。 たとえば、静的ルーティングでデータ パケットをルーティングできます。
送信元 IP のオーバーライドを有効にする イベントの開始時に IP アドレス スプーフィングが有効になっていると、
この設定も上書きされます。
送信ソース IP アドレスの制御を設定する
接続の問題を回避するため、異なる送信ソース IP アドレスを 1 つのアドレスで置換します。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
IP アドレスの置換を設定するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、SOCKS、ICAP...)] を選
択し、[送信接続の詳細設定] までスクロールします。
3
[送信ソース IP リスト] で、送信要求のソース IP アドレスのリストに 1 つ以上の IP アドレスを追加します。
4
Web サーバーまたはネクスト ホップ プロキシとの接続ルールに次のイベントを追加します。「送信ソース IP
のオーバーライドを有効にする」にパラメーターとして Proxy.OutboundIP プロパティを指定します。
このルールは、設定したリストを使用して、異なる送信ソース IP アドレスの置換に使用する IP アドレスを選択しま
す。
WCCP による FTP トラフィックのリダイレクト
Web Gateway のクライアントが FTP プロトコルでサーバーに送信した要求は、WCCP (Web Cache Control
Protocol) リダイレクトで Web Gateway にリダイレクトできます。
FTP プロトコルでサーバーに要求を送信する場合、Web Gateway のクライアントは最初の FTP 接続をオープンし
ます。 クライアントは、この接続にサーバーの IP アドレスを使用します。 Web Gateway をプロキシとして機能
させるため、Web Gateway が実行されているアプライアンスの IP アドレスに要求がリダイレクトされます。
McAfee Web Gateway 7.5.0
製品ガイド
143
6
プロキシ
WCCP による FTP トラフィックのリダイレクト
デフォルトの設定では、クライアントはこのリダイレクトをセキュリティ リスクを見なします。このため、FTP デ
ータ接続を継続することはできません。 WCCP プロトコルでリダイレクトを行う場合、次のように設定を変更する
とこの問題を解決できます。
•
クライアントからプロキシへの接続でアクティブ FTP モードを使用する
デフォルトでは、クライアントはパッシブ FTP モードを使用できます。 Web Gateway のユーザー インターフ
ェースでプロキシ設定のオプションを無効にすると、アクティブ FTP モードを施行できます。
•
プロキシへのリダイレクトで使用するポートを設定する
WCCP でリダイレクトするポートのリストに、このポートを入力する必要があります。
•
プロキシが自身の IP アドレスではなく、FTP サーバーの IP アドレスを使用するように設定する
特定のパラメーターを設定すると、プロキシがこのアドレスを使用します。
このような設定を変更すると、クライアントがアクティブ FTP モードを使用します。 プロキシに接続先の IP アド
レスとポート番号を送信します。プロキシが同期メッセージを戻します。 このメッセージで、FTP サーバーの IP ア
ドレスがプロキシの送信元 IP アドレスとして使用されています。 ポート番号は 21 または 2020 です。
クライアントが宛先 IP アドレスとして FTP サーバーの IP アドレスを使用して応答します。ポート番号は同じ番号
を使用します。 WCCP プロトコルにより、クライアントから FTP サーバーへの要求がプロキシにリダイレクトされ
ます。
WCCP リダイレクトは、透過型ブリッジまたはルーター モードの FTP トラフィックに使用できません。
FTP トラフィックのリダイレクトに WCCP の使用を設定する
FTP プロトコルでクライアントがサーバーに送信する要求で WCCP リダイレクトを有効にするには、次のようにプ
ロキシを設定します。
タスク
1
クライアントによるアクティブ FTP モードの使用を施行します。
a
[設定] 、 [アプライアンス] の順に選択します。
b
アプライアンス ツリーで、WCCP の使用を有効にするアプライアンスを選択して、[プロキシ (HTTP(S)、
FTP、SOCKS、ICAP ...)] を選択します。
c
[FTP プロキシ] までスクロールし、[FTP プロキシを有効にする] が選択されていることを確認します。
d
[FTP ポート定義リスト] で項目を選択して [編集] をクリックします。[FTP プロキシ ポート] で [クライア
ントにパッシブ接続の使用を許可する] の選択を解除します。
この手順をリスト内のすべての項目に行います。
2
WCCP リダイレクトに使用するポートにポート 21 と 2020 を追加します。
a
[プロキシ] 設定で [透過型プロキシ] にスクロールし、[サポートされるリダイレクト方法] で [WCCP] が選
択されていることを確認します。
b
[WCCP サービス] リストの項目を選択して [編集] をクリックし、[リダイレクトするポート] で 21,2020
と入力します。
この手順をリスト内のすべての項目に行います。
144
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
FTP ログオンでの Raptor 構文の使用
3
[変更の保存] をクリックします。
4
関連する設定で ftp.match.client.data パラメーターに yes を設定します。
6
これにより、Web Gateway がクライアントに応答するときに、クライアントから受信した IP アドレスを送信
元の IP アドレスとして使用します。
このアドレスは、関連する FTP サーバーの IP アドレスです。Web Gateway アプライアンスの IP アドレスで
はありません。 クライアントはセキュリティ リスクを心配する必要はありません。
FTP プロトコルでクライアントからサーバーに送信された要求は、WCCP リダイレクトによって Web Gateway に
リダイレクトされ、問題なく処理されます。
FTP ログオンでの Raptor 構文の使用
FTP プロキシとして実行されるように Web Gateway を設定すると、プロキシとして Web Gateway の FTP サー
バーにログオンするときに Raptor 構文を使用できます。
このログオンを実行する場合、FTP サーバーにアクセスするユーザーは、適切な FTP クライアントから USER、
PASS、ACCEPT コマンドを実行できます。これらのコマンドでは、FTP サーバーと一緒に、FTP サーバーと Web
Gateway プロキシの両方のユーザー名とパスワードを指定します。
コマンドの構文は次のとおりです。
USER <ftpuser>@<ftpserver> <proxyuser>
PASS <ftpuserpass>
ACCT <proxyuserpass>
以下の表では、コマンド パラメーターの意味について説明します。
表 6-33 FTP ログオンのコマンド パラメーター
オプション
定義
ftpserver
アクセスを要求する FTP サーバー
ftpuser
FTP サーバーのユーザー名
ftpuserpass
FTP サーバーのパスワード
proxyuser
Web Gateway プロキシのユーザー名
proxyuserpass
Web Gateway プロキシのパスワード
ノード通信プロトコル
Web Gateway アプライアンスが集中管理構成のディレクターまたはスキャン ノードとして実行されるとき、ノー
ド間の通信には VRRP(Virtual Router Redundancy Protocol)と MWG Management Protocol を使用します。
プロトコルの使用は、ノードとして実行するアプライアンスで構成したプロキシ設定によって異なります。プロトコ
ルは、対象とするアクティビティがディレクター ノードであるか、スキャン ノードであるかにおいて異なります。
Virtual Router Redundancy Protocol
Virtual Router Redundancy Protocol は、Web Gateway を透過型ルーター モードまたは高可用性プロキシ モー
ドとして構成したときに使用されます。
McAfee Web Gateway 7.5.0
製品ガイド
145
6
プロキシ
ドメインに応じた DNS サーバーの使用
このプロトコルの下で、仮想 IP アドレスはアクティブなディレクター ノードおよびバックアップ ディレクター ノ
ードに割り当てられます。プロトコルはまた、ディレクター ノードがアクティブなディレクター ノードの役割をも
つかどうかも判別します。
MWG Management Protocol
MWG Management Protocol は透過型ルーター、透過型ブリッジ、高可用性プロキシ モードで使用されます。こ
のプロトコルの下で、スキャン ノードが Web トラフィックの処理に使用できることを識別します。
アクティブなディレクターの役割をもつノードはスキャン ノードにブロードキャスト メッセージを送信します。そ
の際にそれぞれのプロキシ設定の Management IP オプションの下でソース IP アドレスとして構成された IP
を使用します。
このプロトコルは同じネットワーク セグメント内で使用可能なスキャン モードに、ディレクター ノードの検出メッ
セージに定期的な間隔で応答させます。
セキュリティの考察事項
Virtual Router Redundancy Protocol および MWG Management Protocol のセキュリティ機能は、Address
Resolution Protocol(ARP)のセキュリティ機能と同様です。
Virtual Router Redundancy Protocol は、ローカル ブロードキャスト ドメインを超えてルーティングされない IP
アドレスをもつマルチキャストを使用します。MWG Management Protocol はブロードキャスト メッセージを使
用します。
同じネットワーク セグメントの不正ノードは VRRP メッセージを送信し、結果としてそれぞれの仮想 IP アドレスを
保持するアクティブなディレクター ノードになりすます可能性があります。そのノードは仮想 IP アドレスに対し
て受け取るすべてのデータ パケットをドロップした場合、ネットワーク接続が Web Gateway プロキシに接続され
ているクライアントで停止します。
Web Gateway プロキシの操作を疎外しないように、 Virtual Router Redundancy Protocol および MWG
Management Protocol に従ってプロキシ設定を構成するとき、保護されたネットワーク セグメントの IP アドレス
を使用するようにお勧めします。
ドメインに応じた DNS サーバーの使用
Web Gateway で Web アクセス要求を処理するときに URL の情報を IP アドレスに変換する DNS (ドメイン名シ
ステム) サーバーは、要求された宛先のドメインに応じて設定することができます。
このような DNS サーバーの使い方を条件付きの DNS 前方参照といいます。
ドメイン (たとえば、testnet.webwasher.com) は、URL 情報の解決に使用する DNS サーバーの IP アドレスと一
緒にリストに入力されます。この方法では、1 つのドメインに複数の DNS サーバーを指定できます。
Web 上の特定の宛先に対する要求が Web Gateway に送信されると、このリストに従って DNS サーバーに要求が
転送されます。
DHCP (動的ホスト構成プロトコル) を使用すると、使用する DNS サーバーを動的に設定できます。Web Gateway
アプライアンスの初期セットアップ後には、デフォルトの値が設定されています。
DHCP と条件付きの DNS 前方参照の両方を設定すると、DHCP が優先され、条件付きの DNS 前方参照は回避され
ます。
DNS サーバーとして BIND サーバーを設定すると、Web Gateway の設定ファイルに保存されている DNS サーバー
の設定が上書きされます。これらの値をドメイン名の解決で引き続き使用するには、手動で値を再度入力する必要があ
ります。
146
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
ドメインに応じた DNS サーバーの使用
6
ドメインに応じて DNS サーバーを設定する
Web の宛先のドメインに応じて DNS サーバーを有効にするには、ドメイン名サービスを設定します。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、DNS サーバーを設定するアプライアンスを選択して [ドメイン名サービス] をクリッ
クします。
3
[条件付き DNS 前方参照の設定] セクションで、必要に応じて設定を行います。
4
[変更を保存] をクリックします。
ドメイン名サービスの設定
ドメイン名サービスの設定では、DNS サーバーを構成します。条件付きの DNS 前方参照を設定して、特定のドメイ
ンに従って DNS サーバーを使用することもできます。
ドメイン名サービスの設定
DNS サーバーの設定
表 6-34 ドメイン名サービスの設定
オプション
定義
[プライマリ ドメイン名サーバー]
最初のサーバーの IP アドレスを指定します。
[セカンダリ ドメイン名サーバー]
2 番目のサーバーの IP アドレスを指定します。
[テリタリ ドメイン名サーバー]
3 番目のサーバーの IP アドレスを指定します。
条件付き DNS 前方参照の設定
ドメインに応じた DNS サーバーの使用を設定します。
表 6-35 条件付き DNS 前方参照の設定
オプション
定義
[条件付きの前方参
照を有効にする]
選択すると、[条件付き前方参照リスト] の DNS サーバーが、Web Gateway に対する要求
で送信されたドメイン情報を IP アドレスに変換します。
• 要求された宛先のドメインに従って、リストから DNS サーバーが選択されます。
• リスト内で、DNS サーバーは IP アドレスで表示されます。
• 1 つのドメインに対して最大 5 つまでの DNS サーバーを指定できます。
このオプションを有効にすると、次の 5 つのオプションが使用可能になります。
[デフォルト リゾル ドメイン情報の解決でデフォルトで使用される DNS サーバーの IP アドレスを指定します。
バー]
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[肯定応答の TTL]
特定の値に対する条件付き DNS 前方参照で肯定応答がキャッシュに保存される時間を秒単
位で制限します。
• 指定可能な値の範囲は 1 から 604800 秒です。
• デフォルトの時間は 604800 秒です。
McAfee Web Gateway 7.5.0
製品ガイド
147
6
プロキシ
リバース HTTPS プロキシ
表 6-35 条件付き DNS 前方参照の設定 (続き)
オプション
定義
[否定応答の TTL]
特定の値に対する条件付き DNS 前方参照で否定応答がキャッシュに保存される時間を秒単
位で制限します。
• 指定可能な値の範囲は 1 から 604800 秒です。
• デフォルトの時間は 10800 秒です。
[条件付き前方参照
リスト]
条件付き前方参照の対象となる DNS サーバーのドメインと IP アドレスが表示されます。
[条件付き前方逆引
き参照リスト]
条件付き前方参照で逆引き参照が実行されたときの対象となる DNS サーバーのドメインと
IP アドレスが表示されます。
以下の表では、条件付き前方参照リストの項目について説明します。
表 6-36 条件付き前方参照リスト - リスト項目
オプション
定義
[前方参照ゾーン] ドメイン名が表示されます。
特定のドメイン宛ての要求が Web Gateway に送信されると、このドメインに指定された DNS
サーバーが参照に使用されます。
[DNS サーバー]
DNS サーバーが IP アドレスで表示されます。
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[コメント]
このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。
以下の表では、条件付き前方逆引き参照リストの項目について説明します。
表 6-37 条件付き前方逆引き参照リスト - リスト項目
オプション
定義
[前方参照ゾーン] ドメインの IP アドレスが表示されます。
• IP アドレスは CIDR 表記で指定されます。
• IP アドレスに逆引き参照が実行されると、このアドレスの DNS サーバーが使用されます。
[DNS サーバー]
DNS サーバーが IP アドレスで表示されます。
最大で 5 つの DNS サーバーの IP アドレスを指定できます。
[コメント]
このリスト項目の DNS 条件付き前方参照に関するコメントがテキスト形式で表示されます。
リバース HTTPS プロキシ
リバース HTTPS プロキシ構成を使用して、クライアントが、マルウェアや特定のメディア タイプなどの不必要なデ
ータを HTTPS プロトコルの下で、Web サーバーにアップロードできないようにすることができます
この構成で、HTTPS トラフィックはプロキシが実行されているアプライアンスにリダイレクトされます。それは検
査され、最終的にアプライアンスで施行されたルールに従って、転送またはブロックされます。
以下のようにこれを構成することができます。
148
•
透過型ブリッジまたはルーターをセットアップします
•
特定の Web サーバーへのアクセスがリクエストされるときに、アプライアンスを直接ポイントする DNS をセッ
トアップします
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
リバース HTTPS プロキシ
6
アプライアンスへのリダイレクションはまた、CONNECT ヘッダーの使用に依存するプロキシ認識接続を構成するこ
とによっても達成できます。
しかし、この方法では受信リクエストのヘッダーを整理するために追加ネットワーク デバイスが必要となります。し
たがって、お勧めしません。
ネットワークを構成するのに加え、SSL 証明書の処理を構成する必要があります。
任意に、リバース HTTPS プロキシのスムーズな操作を確保するために、SSL 関連でない追加の設定を構成できま
す。
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト
透過型ブリッジまたはルーター モードでは、ポート リダイレクト ルール(ポート転送ルールとも呼ばれる)を使用
して HTTPS トラフィックをアプライアンスのプロキシ ポートに仕向けることができます。
リダイレクトされたリクエストは SSL セキュア通信として取り扱われるように保証する必要もあります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、トラフィックをリダイレクトするアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[ネットワーク設定]セクションで、[透過型ブリッジ](または[透過型ルーター])を選択してください。
特定の透過型ブリッジ(またはルーター)設定のセクションが表示されます。
4
[ポート転送]の[追加]をクリックします。
[ポート転送の追加]ウィンドウが開きます。
5
新しいポート転送ルールに対して、以下のとおり構成します。
•
[プロトコル名] — HTTP
この設定により、HTTP および HTTPS プロトコルの両方の接続が対象になります。
•
[元の宛先ポート] — 443
リクエストの宛先となる Web サーバーが HTTP プロトコルでも同様に到達できる場合、ここにポート 80 を
追加できます(カンマで区切る)。このタイプのトラフィックはまた、アプライアンスにも仕向けられます。
•
[宛先のプロキシ ポート] — 9090
これは、アプライアンスのデフォルト プロキシ ポートです。
6
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいルールが表示されます。
7
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
8
以下の項目が構成されていることを確認してください。
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — 443
McAfee Web Gateway 7.5.0
製品ガイド
149
6
プロキシ
リバース HTTPS プロキシ
9
ほかの設定はデフォルト値のままにして、[OK]をクリックします。
ウィンドウが閉じ、リストに新しい HTTP プロキシ ポートが表示されます。
10 [変更の保存]をクリックします。
アプライアンスに、DNS エントリによりリダイレクトされた要求を待機させる
HTTPS プロトコル下の要求が DNS エントリに従ってアプライアンスにリダイレクトされる場合、アプライアンスの
プロキシを適切なポートで直接待機するように設定できます。また、SSL セキュア接続のみが有効になるようにする
必要もあります。
開始する前に
このような方法でプロキシを構成する前に、以下の点を確認してください。
•
アプライアンスが DNS ルックアップを行うとき、要求された Web サーバーのホスト名がアプライ
アンスに解決されません。
アプライアンスの /etc/hosts ファイルに Web サーバーの IP アドレスを直接入力するか、適切に
構成された内部 DNS サーバーを使用してください。
•
コンテンツの検査を処理するルール セットがアプライアンスに施行され、有効に設定あsれます。
SSL スキャナー ルール セットのネストされたルール セットとして、デフォルトのルール セットで
適切なルール セットが指定されます。
DNS エントリを使用するとき、ポート転送ルールの目的はほかの宛先の要求をアプライアンスに転送することなの
で、ポート転送ルールは適用できません。しかし、DNS エントリのため、アプライアンスはすでに宛先となります。
また、SSL セキュア接続のみが有効になるようにする必要もあります。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、要求を待機するアプライアンスを選択して、[プロキシ (HTTP(S)、FTP、ICAP、お
よび IM)] をクリックします。
3
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
4
新しい HTTP プロキシ ポートに以下の設定を行います。
•
[リスナー アドレス ]— 0.0.0.0:443
この設定により、アプライアンスは IP アドレスにかかわらず、任意の Web サーバーの要求を待機するよう
になります。ここに特定の IP アドレスを指定して、該当するサーバーの要求を待機するアプライアンスに限
定することもできます。
複数のネットワーク インターフェース カードをアプライアンス上で実行している場合、ネットワーク インタ
ーフェース カードと同じ数だけの Web サーバーを、IP アドレスをカンマで区切って指定できます
150
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — *
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
5
他の設定はデフォルト値のままにして、[OK] をクリックします。
ウィンドウが閉じ、リストに新しいプロキシ ポートが表示されます。
Web サーバーが HTTPS プロトコルでアクセスできるように設定されている場合は、リスナー アドレス
0.0.0.0:80 または特定の Web サーバーのアドレスをもつ別の HTTP プロキシを追加する必要があります。
6
[変更の保存]をクリックします。
リバース HTTPS プロキシ構成の SSL 証明書
リバース HTTPS プロキシ構成は通常、クライアントによる不必要なデータのアップロードに対して、制限された数
の Web サーバーを保護するようにセットアップされます。これらのサーバーの SSL 証明書をインポートし、それら
をアプライアンス構成に追加する必要があります。
リバース HTTPS プロキシ構成では、アプライアンスは SSL セキュア モードでクライアントと通信します。しかし、
SSL ハンドシェイク中にアプライアンスがクライアントに送信した SSL 証明書は、SSL Scanner モジュールでは
発行できません。したがって、アプライアンスは、クライアントがアクセスをリクエストしている Web サーバーの
元の証明書を使用します。
SSL クライアント コンテンツの設定を構成するときに、これらの証明書をインポートできます。
アプライアンスはクライアントに送信するための適切な証明書を見つけるために、いくつかの方法を使用します。
クライアントを送信するための証明書の選択
指定された状況で、どの証明書を送信するかを確認するために、アプライアンスはインポートされた証明書のリスト
をスキャンします。このリストで、証明書は、それらが属する Web サーバーのホスト名にマップされます。アプラ
イアンスは、クライアントがアクセスをリクエストしたホストの名前にマップされる証明書を送信します。
明示的プロキシ セットアップで、このホスト名は CONNECT リクエストのヘッダーで送信され、アプライアンスに
認識されます。
透過型セットアップでは、アプライアンスはホスト名を検出するために、以下の方法を使用します。
•
クライアントが SNI 拡張を送信する場合、ホスト名は明示的プロキシ構成でそれを検出するのと同様の方法で見
つけることができます。
•
クライアント リクエストが DNS エントリーに従ってアプライアンスにリダイレクトされる場合、ホスト名は転
送を構成するときに指定される IP アドレスにより判明します。
この場合、アプライアンスがリスンするように構成されたすべての IP アドレスに対する適切な値に、URL.Host
プロパティを設定するというルールで、ルール セットを作成することも必要になります。これにより、アプライ
アンスはフィルタリングまたは許可されたときに、リクエストを転送する場所を知ることができます。
•
透過型セットアップが DNS エントリーによるリダイレクションを使用しない場合、アプライアンスはハンドシ
ェイク メッセージをクライアントがリクエストした Web サーバーに送信し、Web サーバーから受信した証明書
から共通名を抽出し、この共通名を使用して、適切なホスト名を検出します。
この方法では、アプライアンスと Web サーバーも SSL セキュア モードで通信することを必要とします。このモ
ードが使用されることを保証するために、アプライアンスの設定を構成することができます。
リバース HTTPS プロキシ構成での SSL 証明書設定の作成
これらの設定を構成する場合、リバース HTTPS プロキシ構成で Web サーバーに使用される SSL 証明書の設定を作
成し、証明書をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA なしで SSL クライアント コンテキストを有効にする]を選択します。
McAfee Web Gateway 7.5.0
製品ガイド
151
6
プロキシ
リバース HTTPS プロキシ
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、追加する設定の名前を入力します。たとえば、Imported web server certificates
などです。
5 [オプション][コメント] フィールドで、設定の平文コメントを入力します。
6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[SSL クライアント コンテキストの定義(証明書認証なし)]セクションで、設定パラメーターを構成します。
a
インライン リスト[ホストまたは IP によりサーバー証明書を選択する]のツールバーで、[追加]をクリックし
ます。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[インポート]をクリックし、[サーバー証明書のインポート] ウィンドウのオプションを追加して、Web サー
バーの SSL 証明書をインポートます。
c
必要に応じて[証明書マッピングへのホストの追加]ウィンドウのその他パラメーターを構成します。
d
[OK]をクリックします。
ウィンドウが閉じ、SSL 証明書を Web サーバーのホスト名にマッピングする新しいエントリがインライン
リストに表示されます。
e
より多くのマッピング エントリをインライン リストに追加する場合、サブステップ a から d を繰り返しま
す。
f
Web サーバーへの接続が SSL セキュアか否かに従って、[SSL Scanner 機能はクライアント接続にのみ適
用]を選択または選択解除します。
この接続を保護しない場合、HTTPS から HTTP へネットワーク プロトコルを変更するルールを作成する必要
があります。
g
必要に応じて SSL クライアント コンテキストのその他設定パラメーターを構成します。
h
[OK]をクリックします。
[設定の追加]ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
9
[変更の保存]をクリックします。
デフォルト ルール セット システムの、SSL スキャナー ルールで提供されるクライアント コンテキスト設定のた
め、ルールのこれらの設定を使用できます。
リバース HTTPS プロキシ構成での URL.Host プロパティの設定
クライアント リクエストが リバース HTTPS プロキシ構成の DNS エントリーによりアプライアンスにリダイレク
トされる場合、転送要求するアプライアンスに Web サーバーの IP アドレスを URL.Host プロパティの値としてセ
ットする必要があります。
リクエストのフィルタリングが許可される結果を導いた後で、アプライアンスは要求された Web サーバーにそれを
転送するために、リクエストと共に送信された URL.Host プロパティを使用します。
152
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
リクエストが DNS エントリーに従ってリダイレクトされる場合、Web サーバーは IP アドレスでアプライアンスに
認識されます。URL.Host プロパティが値として Web サーバーの IP アドレスをもつ場合、アプライアンスはリク
エストを適切な宛先に転送します。
URL.Host プロパティの値を IP アドレスに設定することは、ルールによって行うことができます。アプライアンス
がリクエストを転送する各 Web サーバーに対してそのようなルールを作成する必要があります。
これらのルールは、独自のルール セットに含むことができます。
タスク
•
153 ページの「URL.Host プロパティの設定のためのルール セットの作成」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セ
ットを作成できます。
•
153 ページの「URL.Host プロパティを設定するためのルールの作成」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
URL.Host プロパティの設定のためのルール セットの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セットを作成で
きます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
4
[名前]の下で、新しいルール セットに適した名前を入力します。たとえば、[Set value of URL.Host to IP
address]などです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の[リクエストと IM] を選択します。
7
[このルール セットを適用]の[常に]を選択します。
8
[オプション][コメント]の下に、ルール セットに関する平文テキストのコメントを入力します。
9 [オプション][権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
URL.Host プロパティを設定するためのルールの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールを作成したルール セットを選択します。たとえば、[Set value of
URL.Host to IP address]などです。
McAfee Web Gateway 7.5.0
製品ガイド
153
6
プロキシ
リバース HTTPS プロキシ
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、URL.Host の値を 10.141.101.51 を設定するなど、新しいルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のように、ルール条件を設定します。
a
左列のプロパティのリストから、[URL.Destination.IP] を選択します。
b
中央列のオペレーターのリストから、[イコール]を選択します。
c
右列の[比較]の下の演算子フィールドに「、IP アドレスを入力します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[続行]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[プロパティ
の値を設定]を選択します。
[プロパティ設定の追加]ウィンドウが開きます。
10 以下のように、プロパティを設定します。
a
[このプロパティのセット]の下で、[URL.Host]を選択します。
b
[この文字列の結合]の下で、[追加]をクリックします。
[文字列を入力してください]ウィンドウが開きます。
c
[パラメーター値)]フィールドで、このルールで使用する IP アドレスを持つ Web サーバーのホスト名を入力
します。
d
[OK]をクリックします。
ウィンドウが閉じ、ホスト名が[プロパティ設定の追加]ウィンドウに表示されます。
11 [OK]をクリックします。
ウィンドウが閉じ、URL.Host プロパティを設定するイベントが[イベント]の下に表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、値の設定ルールで作成したルール セット内に新しいルールが表示されます。
13 [変更の保存]をクリックします。
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ
ネットワーク設定と SSL 証明書の取り扱いを構成するのに加えて、いくつかのほかのアクティビティを行い、リバ
ース HTTPS プロキシのスムーズな操作を保証することができます。
154
•
プロキシ ループ検出のアクティブ化解除
•
アプライアンス ポートへのアクセス制限
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
•
Web サーバーへのアクセス制限
•
複数 Web サーバーへの対応
タスク
•
155 ページの「プロキシ ループ検出のアクティブ化解除」
アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを
検出できます。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお
勧めします。
•
155 ページの「アプライアンス ポートへのアクセス制限」
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユー
ザー インターフェースとファイル サーバー設定を適宜、構成する必要があります。
•
156 ページの「Web サーバーへのアクセス制限」
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、
制限された数の特定の Web サーバーを保護することです。したがって、この構成のためには、これらの
サーバーのみにアクセスを許可し、他のサーバーはブロックする必要があります。
•
158 ページの「複数 Web サーバーへの対応」
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリク
エストを転送します。
プロキシ ループ検出のアクティブ化解除
アプライアンスは、クライアント リクエストの[経由]ヘッダーを評価することで、プロキシ ループを検出できま
す。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお勧めします。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、プロキシ ループ検出のアクティブ化を解除するアプライアンスを選択し[プロキシ
(HTTP(S)、FTP、ICAP、および IM)]をクリックします。
3
[詳細設定]セクションで、[HTTP(S):プロキシ ループ検出のために、経由ヘッダーを検査]の選択を解除します。
4
[変更の保存]をクリックします。
アプライアンス ポートへのアクセス制限
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユーザー インタ
ーフェースとファイル サーバー設定を適宜、構成する必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ポート アクセスを制限するアプライアンスを選択し、[ユーザー インターフェース]
を選択します。
3
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。
4
[ファイル サーバー]を選択します。
5
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート(デフォルト: 9090)。
6
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
155
6
プロキシ
リバース HTTPS プロキシ
Web サーバーへのアクセス制限
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、制限された数
の特定の Web サーバーを保護することです。したがって、この構成のためには、これらのサーバーのみにアクセス
を許可し、他のサーバーはブロックする必要があります。
他のサーバーへのアクセスがリクエストされ、ブロックされたら、アプライアンスにこれらの接続を閉じさせること
もお勧めします。
制限付きアクセス:
•
保護する Web サーバーのリストを作成します
•
ブロック ルールのルール セットを作成します
•
他の Web サーバーへのアクセスをブロックし、リクエストをブロックした後でクライアントの接続を閉じるルー
ルを作成します
タスク
•
156 ページの「保護された Web サーバー リストの作成」
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
•
157 ページの「ブロック ルールのルール セットの作成」
ルール セットを作成して、リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックす
るルールを追加できます。
•
157 ページの「Web サーバーへのアクセスをブロックするルールの作成」
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサ
ーバーへのアクセスをブロックするルールを作成できます。
保護された Web サーバー リストの作成
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 保護された Web サーバーなど
• [オプション][コメント ]— 新しいリストに関するテキスト形式のコメント
•
[タイプ ]— ワイルドカード式
4 [オプション]権限タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [WildcardExpression] の下のリスト ツリーに表
示されます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
156
McAfee Web Gateway 7.5.0
製品ガイド
6
プロキシ
リバース HTTPS プロキシ
7
保護する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで
区切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
ブロック ルールのルール セットの作成
ルール セットを作成して、リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックするルールを追
加できます。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
4
[名前]の下で、新しいルール セットの名前を入力します。たとえば、リバース HTTPS プロキシ構成で Web サ
ーバーをブロックするなどです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の下で、[要求と IM]を選択します。
7
[このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
8
9
以下のとおり、ルール セット条件を設定します。
a
[プロパティ] リストから、[URL.Protocol]を選択します。
b
[演算子]リストから、[等しい] を選択します。
c
[オペランド]で、https と入力します。
d
(オプション) [コメント ]で、新しいルール セットに平文テキストのコメントを入力します。
(オプション) [権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
Web サーバーへのアクセスをブロックするルールの作成
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサーバーへのア
クセスをブロックするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ブロック ルールに作成するルール セットを選択します。たとえば、[リバース HTTPS
プロキシ構成で Web サーバーをブロックする]です。
McAfee Web Gateway 7.5.0
製品ガイド
157
6
プロキシ
リバース HTTPS プロキシ
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、ルールの名前を入力します。たとえば、保護された Web サーバーにのみアクセスを許可
するです。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のように、ルール条件を設定します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーターのリストから、[リストで一致する]を選択します。
c
右列の演算子のリストから、構成する Web サーバーを選択します。たとえば、[保護された Web サーバー]
などです。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[ブロック]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[イベント]
を選択します。
[イベントの追加]ウィンドウが開きます。
10 次の手順でイベントを設定します。
a
[イベント] リストから [プロキシ制御を有効にする] を選択します。
b
[設定リスト]から、[クライアントとの接続を維持しない]を選択します。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、作成した新しいルール セット内にルールが表示されます。
13 [変更の保存]をクリックします。
複数 Web サーバーへの対応
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリクエストを転
送します。
これを行うためには、
158
•
ルール セット ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートする
•
次のホップ プロキシ リストを作成する
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
リバース HTTPS プロキシ
6
•
次のホップ プロキシ設定の作成
•
保護されたサーバーのリストの Web サーバーが要求されたときに、リストと設定を使用し、
「次のホップ プロキ
シを有効にする」イベントをトリガーするルールを作成します
リストは保護サーバーのリストも使用します。このリストに対して、これらのサーバーへのアクセスを制限する
ために作成されたリストを使用できます。
タスク
•
159 ページの「次のホップ プロキシ リストを作成する」
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プ
ロキシとしてアドレス指定される Web サーバーのリストを作成できます。
•
160 ページの「次のホップ プロキシ設定の作成」
保護された Web サーバー リストからサーバーが要求されたときに、
「ネクスト ホップ プロキシを有効
にする」イベントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
•
160 ページの「「ネクスト ホップ プロキシを有効にする」イベントのルールの作成」
保護されたサーバーのリストの Web サーバーが要求されたときに、「ネクスト ホップ プロキシを有効
にする」イベントをトリガーするルールを作成できます。
次のホップ プロキシ リストを作成する
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プロキシとし
てアドレス指定される Web サーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 次のホップ プロキシとして保護された Web サーバーなど
• [オプション][コメント] — 新しいリストに関するテキスト形式のコメント。
•
[入力] — NextHopProxy
4 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [NextHopProxy]の下のリスト ツリーに表示され
ます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
7
解決する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで
区切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
159
6
プロキシ
リバース HTTPS プロキシ
次のホップ プロキシ設定の作成
保護された Web サーバー リストからサーバーが要求されたときに、
「ネクスト ホップ プロキシを有効にする」イベ
ントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ネクスト ホップ プロキシを有効にする]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
以下の設定パラメーターを構成します。
•
[名前] — 設定名、たとえば、 保護された Web サーバーなど
• (オプション)[コメント ]— 新しい設定に関するテキスト形式のコメント
4
5
[ネクスト ホップ プロキシ サーバーー]で、次のように構成します。
a
[ネクスト ホップ プロキシ サーバーのリスト]から、作成したネクスト ホップ プロキシ リストを選択しま
す。たとえば、ネクスト ホップ プロキシとして保護された Web サーバーーなどです。
b
[ラウンド ロビン]が選択されていることを確認してください。
c
[プロキシ スタイル リクエスト]の選択を解除します。
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
6
[変更の保存]をクリックします。
「ネクスト ホップ プロキシを有効にする」イベントのルールの作成
保護されたサーバーのリストの Web サーバーが要求されたときに、
「ネクスト ホップ プロキシを有効にする」イベ
ントをトリガーするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、[ネクスト ホップ プロキシ] ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、たとえば、保護された Web サーバーをネクスト ホップ プロキシとしてアドレス指定す
る などのルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
160
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
プロキシ自動構成
6
7
6
以下のとおり、ルール条件を構成します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーやーのリストから、[リストで一致しない]を選択します。
c
右列の演算子のリストから、構成した Web サーバー リストを選択し、[保護された Web サーバー]など、こ
れらのサーバーへのアクセスを制限します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックして、デフォルトの[続行]のままにします。.
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[イベント]
を選択します。
[イベントの追加]ウィンドウが開きます。
10 イベントを次の手順で構成します。
a
[イベント] リストから、[ネクスト ホップ プロキシを有効にする]を選択します。
b
[設定]リストから、このルールに構成した設定を選択します。たとえば、[保護された Web サーバー]などで
す。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じて、新しいルールがネクスト ホップ プロキシ ルール セットに表示されます。
13 [変更の保存]をクリックします。
プロキシ自動構成
クライアントの Web ブラウザーのアプライアンスで 1 つ以上のプロキシ自動設定(PAC)ファイルを利用可能にす
ることができます。ブラウザーは、特定の Web ページにアクセスできるようにするプロキシを検索するために、そ
れらを使用できます。
プロキシ自動構成ファイルのファイル拡張子は通常、.pac です。アプライアンスにいくつか設定できます。たとえ
ば、「proxy.pac」や「webgateway.pac」などです。
プロキシ自動構成ファイルが WPAD (Web Proxy Auto-Discovery) プロトコルに準拠している場合、ファイル名は
「wpad.dat」になります。したがって、アプライアンスには 1 度しか存在できません。
.pac ファイルを使用可能にする
プロキシー自動構成に対してクライアントのブラウザーに「.pac」ファイルを使用可能にします。
タスク
1
アプライアンスの「/opt/mwg/files」フォルダーに「.pac」ファイルを保管します。
2
ブラウザーを開始し、ネットワーク構成設定に進みます。
3
[接続]セクションで、[設定]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
161
6
プロキシ
プロキシ自動構成
4
[自動プロキシー構成 URL]を選択し、「 .pac」ファイルのパスとファイル名を入力します。
たとえば、以下のように使用します。
http://mwgappl.webwasher.com:4711/files/proxy.pac
クライアントにファイルをダウンロードするための専用ポートを使用させたい場合、このポートを最初に構成す
る必要があります。
専用ポートが使用されない場合、クライアントはユーザー インターフェースに対して HTTP ポートに仕向けられ
ます(デフォルトのポート番号は 4711 です)。
5
[OK]をクリックします。
wpad.dat ファイルをダウンロードするルールの作成
クライアントの Web ブラウザーにより wpad.dat のダウンロードを有効にするためには、アプライアンスの適切な
ポートにダウンロード リクエストを転送するルールを構成する必要があります。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、wpad.dat ファイルを作成するアプライアンスを選択し、[ポート転送]をクリックし
ます。
3
[ポート転送ルール]の[追加]をクリックします。
[AppliancePortForwarding の追加]ウィンドウが開きます。
4
ポート転送ルールが以下のとおりの設定で構成されます。
•
[ソース ホスト] — 0.0.0.0
•
[ターゲット ポート] — 80
•
[宛先ホスト ]— 127.0.0.1
•
[宛先ポート] — <ファイル ダウンロード ポート>
<ファイル ダウンロード ポート>として、ユーザー インターフェースの HTTP ポート(デフォルト:4711)
または構成された専用ポートのいずれかを入力します。
5
[OK]をクリックします。
ウィンドウが閉じて、リストにルールが表示されます。
wpad ホストの自動検出の構成
wpad.dat ファイルが保管されるホストとして、Web ブラウザーにアプライアンスを検索するために自動検出を使
用させます。
タスク
162
1
Web ブラウザーを開始し、ネットワーク構成設定に進みます。
2
[接続]セクションで、[設定]をクリックします。
3
[このネットワークの自動検出プロキシ設定]を選択します。
4
[OK]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
プロキシ
Helix プロキシの使用
6
Helix プロキシの使用
Helix プロキシ-は、リアルタイム ストリーミング データを取り扱うサードパーティのプロキシです。
これはアプライアンスのユーザー インターフェースから最初にアクセスされませんが、管理システムにより提供され
たものなど、コマンド ライン インターフェースからアクセスできます。
Helix プロキシにアクセスした後で、固有のユーザー インターフェースのプロキシを管理できます。
Helix プロキシの使用の構成
コマンド ライン インターフェースから、Helix プロキシの使用を構成できます。
タスク
1
コマンド ライン インターフェースで、Helix プロキシのアクティベーション コマンドを入力します。
このコマンドは、以下のようなことが実行可能です。
service helix-proxy activate
初期管理者アカウントのユーザー名とパスワードを入力するように求められます。
2
両方を入力します。
Helix プロキシが開始します。
開始後に、アプライアンスの「 /opt/helix-proxy」フォルダーのプロキシの構成ファイルを検索でき、必要
に応じて個別に修正できます。
3
以下のコマンドとともに Helix プロキシのユーザー インターフェースを接続します。
http://<Helix プロキシの IP アドレス>:21774/admin/index.html
ユーザー インターフェースがログオン ウィンドウに表示されます。
4
ステップ 2 のユーザー名とパスワードを入力します。
ログオンが成功したら、プロキシのユーザー インターフェースが使用できるようになります。
5
必要に応じて、Helix プロキシの詳細構成のためこのインターフェースを使用します。
6
リアル プレイヤー アプリケーションを構成して、プロキシとしてアプライアンスを使用します。
以下のような方法でこれを完了します。
a
リアル プレイヤーを開始します。
b
ユーザー インターフェースで、プロキシ設定に進みます。
c
例えば、[RTSP](Real-Time Streaming Protocol)フィールドなどの適切な入力フィールドで、ポート番
号として 554 をもつアプライアンスの IP アドレスを入力します。
McAfee Web Gateway 7.5.0
製品ガイド
163
6
プロキシ
Helix プロキシの使用
164
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
アプライアンスでユーザーの「フィルタリング」ができます。つまり、認証できるユーザーのみに Web アクセスを
許可することが可能という意味です。
認証はデフォルトによ実施されませんが、事前定義された認証セットが存在し、それを使用することができます。
施行できる認証のタイプには、以下のものがあります。
•
標準認証 — HTTP、HTTPS、または FTP などの標準プロトコルの下で、Web アクセスに対してリクエストを送
信するユーザーの認証を構成できます。
デフォルト ルール セット システムの認証ルール セットが有効なときに、ユーザー情報はデフォルトで、内部ユ
ーザー データベースから取得されます。
この設定を変更して、NTLM、LDAP、Kerberos、およびその他など、別の方法を設定できます。
•
インスタント メッセージング認証 — Yahoo、Windows Live Messenger、ICQ、その他などのインスタント メ
ッセージング プロトコルの下で、Web アクセスに対してリクエストを送信するユーザーの認証を構成できます。
管理者アカウントとロールをセットアップし、維持することにより、アプライアンスへの管理者アクセスを制御する
こともできます。
目次
ユーザーの認証
LDAP ダイジェスト認証
認証の構成
認証モジュールの構成
認証設定
異なる認証方法の実装
認証を構成するためのシステム設定の使用
ベスト プラクティス - 配備タイプに合わせた認証の設定
インスタント メッセージング認証
ワンタイム パスワード
クライアント証明書認証
管理者アカウント
McAfee Web Gateway 7.5.0
製品ガイド
165
7
認証
ユーザーの認証
ユーザーの認証
ネットワーク上のユーザーを認証することにより、正しく認証されていないユーザーの Web アクセスを防ぐことが
できます。認証プロセスでは、ユーザーの情報を探します。たとえば、内部データベースや Web サーバーで、アク
セスをブロックまたは許可します。
このプロセスでは、機能の異なる複数の要素が実行されます。
•
認証ルールがプロセスを制御します。
•
ルールが呼び出した認証モジュールは、データベースからユーザーに関する情報を取得します。
初期セットアップ後、デフォルトでは、Web Gateway に認証プロセスが実装されません。このプロセスを実装する
には、ルール セット ライブラリから適切なルール セットをインポートし、組織の Web セキュリティ ポリシーの要
件に従ってプロセスを変更します。
認証を設定する場合、次のルールを使用できます。
•
ルールのキー要素 - 認証用のライブラリ ルール セットをインポートして、このセットをルール セッ
ト ツリーでクリックすると、認証プロセス ルールのキー要素を表示し、設定することができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、認証プロセスのルール
をすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルールの削除
を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
認証ルール
認証ルールには通常、認証に失敗したユーザーからの要求を認証してブロックするようなルールが用意されています。
これにより、認証前のユーザーに質問を行うことができます。
また、ホワイトリスト ルールを使用すると、要求を送信したユーザーの認証をスキップすることもできます。この操
作が可能かどうかは、要求の送信者または送信元の IP アドレスによって変わります。
異なる認証方法 (IM、Cookie 認証) のルールが存在するルール セットは、ルール セット ライブラリで使用できま
す。
認証モジュール
認証モジュールは、認証 (エンジン) ともいわれます。データベースからユーザーに関する情報を取得します。ルー
ルが呼び出したモジュールの場合、ユーザーが Web オブジェクトへのアクセス要求を行うには、ユーザーが認証を
受けている必要があります。
この情報を取得するために、異なる方法が使用されます。
•
[NTLM] -Windows ドメイン サーバー上のデータベースを使用します。
•
[NTLM Agent] - NTLM 認証方法を適用するために、Windows ベースのシステムの外部エージェントを使用し
ます。
•
[ユーザー データベース] - アプライアンス上の内部データベースを使用します。
デフォルトのルール セットが有効になると、このアクセス方法がデフォルトで使用されます。
•
166
[LDAP] - LDAP ドメイン サーバー上のデータベースを使用します。
McAfee Web Gateway 7.5.0
製品ガイド
認証
LDAP ダイジェスト認証
7
•
[Novell eDirectory] - LDAP サーバーのロールを担うサーバー上のディレクトリからデータを取得し、使用し
ます。
•
[RADIUS] - RADIUS サーバー上のデータベースを使用します。
•
[Kerberos] - Kerberos サーバー上のデータベースを使用します。
•
[認証サーバー] - 別の外部サーバーでデータベースを使用します。
認証情報を指定して認証プロセスの他のパラメーターを設定する場合、認証モジュールを設定できます。
LDAP ダイジェスト認証
LDAP 認証方法をベースにする LDAP ダイジェスト認証は、認証プロセスの両側 Web Gateway クライアントのブ
ラウザーから Web アクセスを要求するユーザーと Web Gateway) で認識されている共有秘密鍵を使用します。
Web Gateway は、自身のプロキシ機能で要求を受信して認証を有効にし、設定済みの Web セキュリティ ポリシー
に従ってフィルタリングを実行します。
基本認証などの簡単な認証方法とは異なり、ブラウザーから Web Gateway にパスワードが直接送信されることは
ありません。パスワードは、認証プロセスの両側が認識している共有秘密鍵の一部に組み込まれています。
ハッシュ値は、共有秘密鍵とクライアント側の追加パラメーターで計算され、Web Gateway に転送されます。ここ
で、共有秘密鍵を使用してハッシュ値を再計算し、結果が一致しているかどうかを確認します。一致している場合、
ユーザーが認証されます。
クライアントから Web Gateway に転送されるハッシュ値はダイジェストとともいいます。Web Gateway は、ハ
ッシュの再計算に必要な共有秘密鍵を LDAP サーバーから取得します。
LDAP ダイジェスト認証に必要なハッシュ値の計算
Web Gateway との認証プロセスで LDAP ダイジェスト認証を実行すると、ハッシュの計算に MD5 が使用されま
す。
クライアントがハッシュを送信する前に、Web Gateway がいわゆる Nonce (number only once) を含む認証要
求をクライアントに送信します。この番号は Web Gateway でランダムに生成される番号で、ハッシュの再計算で
使用される共有秘密鍵以外に使用されるパラメーターの 1 つになります。
ハッシュ計算に使用されるパラメーターは次のとおりです。
•
ユーザー名 (共有秘密鍵の一部)
•
Nonce
•
領域名 (共有秘密鍵の一部)
•
クライアントから送信された HTTP 要求
•
パスワード (共有秘密鍵の一部)
•
要求された宛先の URL
Web Gateway での LDAP ダイジェスト認証の設定
Web Gateway で LDAP ダイジェスト認証を行うには、次の条件を満たしている必要があります。
•
LDAP 認証が、Web Gateway の全般的な認証方法として設定されている必要があります。
•
これらの設定は、Web Gateway の共通プロキシ設定で行います。この名前が共有秘密鍵に含まれている必要が
あります。
McAfee Web Gateway 7.5.0
製品ガイド
167
7
認証
認証の構成
•
LDAP ダイジェスト認証では次のパラメーターを設定する必要があります。
•
LDAP ダイジェスト認証の有効化
•
LDAP サーバーで認証ハッシュを保存する属性の名前
•
Nonce が使用できる最大回数
•
Nonce が使用できる最長時間
また、次のことが可能です。
•
現在の設定で認証方法として LDAP ダイジェスト認証だけを許可する
他の認証設定を行うときに、他の認証方法も許可することができます (たとえば、ユーザー データベースと基本
認証)。
•
クライアントがハッシュ計算用のパラメーターとして URL に検査を実行する
URL は、このクライアントが Web 上の特定の宛先に対して送信したアクセス要求の URL と同じでなければなり
ません。URL が違う場合、同じハッシュ値でダイジェスト認証に成功した後で、要求していない宛先に対するア
クセスが許可される可能性があります。この場合、URL が異なる検査の結果であるため、要求がブロックされま
す。
クライアントでこの情報を送信するブラウザーが別の URL 形式を使用しているため、2 つの URL が実際には同
じものであっても検査に失敗する可能性があります。したがって、URL の検査はオプションです。
共有秘密鍵の領域名は Common Authentication Parameters に保存されます。認証設定の最初で、それぞれ
の認証方法で使用できます。
LDAP ダイジェスト認証のパラメーターは、認証モジュール (またはエンジン) の設定段階で Web Gateway に設定
されます。
これらの設定の最初で全般的な認証方法として LDAP を選択すると、LDAP 固有のパラメーターの後に「Digest
Authentication」という名前が表示されます。
関連トピック:
169 ページの「認証設定」
認証の構成
認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
デフォルト ルール セット システムの認証と許可ルール セットを有効にします。
2 「ユーザー データベースで認証」ネスト ルール セットを確認する
このルール セットは、認証されていないユーザーを認証するための単一のルールを含んでいます。
ルール条件は、認証モジュールの設定を含んでおり、ユーザー データベース認証の使用方法を指定します。これ
は、ユーザーの認証情報が、アプライアンスの内部情報から取得されるということです。
3
168
必要に応じて、デフォルトのルール セットを変更します。
McAfee Web Gateway 7.5.0
製品ガイド
認証
認証モジュールの構成
7
たとえば、次の変更を行います。
•
認証モジュールの共通パラメーターを変更します
•
ユーザー データベース方法の特定パラメーターを変更します
•
NTLM または LDAP など、異なる認証方法を実行します
•
新しい認証方法の特定パラメーターを変更します
4
インスタント メッセージ認証など、ライブラリからルール セットをインポートし、通信の異なるタイプに認証を
検討します。
5
変更を保存します。
認証モジュールの構成
認証モジュールを構成し、ユーザー情報を取得してユーザーを認証する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、認証のためにルール セットを選択します。
デフォルトのルール セット システムでは、これは認証と許可ルール セットです。
3
ユーザー認証を制御するルールを選択して、ルール条件に指定された設定をクリックします。
たとえば、ルール セット システムのルール セットでは、[ユーザー データベースで認証] ルール セットに [ユー
ザー データベースで認証] ルールがネストされ、設定名が [ユーザー データベース] になっています。
[設定の編集] ウィンドウが開きます。認証モジュールの設定が表示されます。
4
必要に応じて、これらの設定を構成します。
5
[OK]をクリックしてウィンドウを閉じます。
6
[変更の保存]をクリックします。
関連トピック:
169 ページの「認証設定」
認証設定
認証設定では、認証プロセスでユーザーに関する情報を確認するときに認証モジュールが使用する方法を設定します。
認証方法
認証方法を選択するための設定
McAfee Web Gateway 7.5.0
製品ガイド
169
7
認証
認証設定
表 7-1 認証方法
オプション 定義
[認証方法] 認証方式を選択するためのリストを提供します。
以下のいずれかを選択します。
• NTLM
• NTLM-Agent
• ユーザー データベース
• LDAP
セキュリティで保護された LDAP (LDAPS) を設定するには、LDAP バージョン 3 が必要
です。
このバージョンは、[LDAP 固有のパラメーター] で選択できます。このオプションはデフ
ォルトで選択されています。
• RADIUS
• Kerberos
• SSL クライアント証明書
• 認証サーバー
• ワンタイム パスワード
• SWPS (McAfee Client Proxy)
®
方法を選択した後、指定した設定が共通設定の下に表示されます。
認証テスト
特定の認証情報のあるユーザーが、認証されるかどうかをテストするための設定
表 7-2 認証テスト
オプション
定義
[ユーザー]
テストされるユーザー名を指定します。
[パスワード]
テストされるパスワードを指定します。
[認証ユーザー]
テストの実行。
[テスト結果 ]
テストの結果を指定します。
共通認証パラメーター
すべての認証方法で共通の設定
すべての認証方法に共通の詳細設定もあります。これらの設定については、認証方法固有のパラメーターを説明した後
で説明します。
表 7-3 共通認証パラメーター
オプション
定義
[プロキシ領域]
認証を要求されたユーザーから、要求を受信するプロキシの場所を指定します。
[認証試行タイムアウト] 認証が正常に完了しない場合に、認証プロセスが停止する前に経過する時間 (秒) を指定
値に制限します。
170
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
認証設定
表 7-3 共通認証パラメーター (続き)
オプション
定義
[認証キャッシュの使用] 選択されると、認証情報がキャッシュに保存されます。
すると認証は、認証サーバーまたは内部ユーザー データベースから取得した情報ではな
く、保存されている情報に基づくようになります。
[認証キャッシュ TTL]
認証情報がキャッシュに保存される時間 (秒) を指定値に制限します。
NTLM 固有のパラメーター
NTLM 認証方式の設定
表 7-4 NTLM 固有のパラメーター
オプション
定義
[デフォルト NTLM ドメイ 認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定し
ン]
ます。
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイン
の 1 つです。
[グローバル グループを取 選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が検
得する]
索されます。
[ローカル グループを取得 選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検索
する]
されます。
[グループ名の前にドメイ
ン名を付ける (domain
\group)]
選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効
にする]
選択されると、認証情報がこのキャッシュに保存されます。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
NTLM-Agent 固有のパラメーター
NTLM-Agent 認証方法の設定
表 7-5 NTLM-Agent 固有のパラメーター
オプション
定義
[安全なエージェント接続を 選択されると、NTML エーエンとと通信するために使用される接続は、SSL セキュ
使用する]
ア通信です。
[認証接続のタイムアウト
(秒)]
McAfee Web Gateway 7.5.0
アクティビティが発生しない場合に、NTLM Agent への接続が閉じる前に経過する
時間 (秒) を指定値に制限します。
製品ガイド
171
7
認証
認証設定
表 7-5 NTLM-Agent 固有のパラメーター (続き)
オプション
定義
[エージェントの定義]
NTLM 認証の実行に関連するエージェントを入力するためのリストを提供します。
[デフォルト NTLM ドメイ
ン]
認証情報を検索するために使用されるデフォルト Windows ドメインの名前を指定
します。
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイ
ンの 1 つです。
[グローバル グループを取
得する]
選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が
検索されます。
[ローカル グループを取得
する]
選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検
索されます。
[グループ名の前にドメイン 選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
名を付ける (domain
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
\group) ]
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効に 選択されると、認証情報がこのキャッシュに保存されます。
する]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
ユーザー データベース固有のパラメーター
ユーザー データベース認証方法の設定
表 7-6 ユーザー データベース固有のパラメーター
オプション
定義
[クライアントにドメイン 選択されると、アプライアンスおよびそれが割り当てられたドメインの名前は、要求を
名とマシン名を送信する] 送信した認証されるユーザーであるクライアントに送信されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式 (安全性が低い) で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送信
される前に暗号化されます。
[NTLM キャッシュを有効 選択されると、認証情報がこのキャッシュに保存されます。
にする]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存さ
れている情報に基づくようになります。
172
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
認証設定
表 7-6 ユーザー データベース固有のパラメーター (続き)
オプション
定義
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
LDAP 固有のパラメーター
LDAP 認証方法の設定
表 7-7 LDAP 固有のパラメーター
オプション
定義
[接続する LDAP サーバ
ー]
認証サーバーが取得された LDAP サーバーを入力するためのリストを提供します。
[証明機関のリスト]
Secure LDAP (S-LDAP) 接続が LDAP サーバーとの通信に使用される場合に、証明書
を発行する証明機関を入力するためのリストを提供します。
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定します。
[パスワード]
ユーザー名のパスワードを設定します。
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウを開き
ます。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
[LDAP バージョン 3 を有 選択すると、LDAP プロトコルのバージョン 3 が使用されます。
効にする ]
セキュリティで保護された LDAP 認証 (LDAPS) を設定するには、このバージョンの
LDAP を使用する必要があります。
デフォルトでは、このバージョンが選択されています。
[LDAP ライブラリに参照
に従うことを許可する]
これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバーにリ
ダイレクトされます。
[接続がライブか確認]
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時間 (分)
を指定値に制限します。
[LDAP 動作のタイムアウ
ト]
通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間 (秒) を
指定値に制限します。
[ユーザー オブジェクトの ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を指定し
基本の識別名]
ます。
[ユーザー名を DN にマッ 選択されると、認証するユーザー名は DN へマップする必要があります (識別名)。
ピングする]
この名前は、LDAP サーバーのディレクトリにあるユーザーを識別します
[ユーザー オブジェクトを ユーザー属性の参照を制限するためにフィルタリング用語を指定します。
検索するための表現をフ
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用され
ィルタリングする]
ます。
[ユーザー属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバーで参
照されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリストを提供
します。
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列、たとえば、/ (スラッ
シュ) などを指定します。
McAfee Web Gateway 7.5.0
製品ガイド
173
7
認証
認証設定
表 7-7 LDAP 固有のパラメーター (続き)
オプション
定義
[グループ属性を取得する] 選択されている場合、ユーザーを認証するためにユーザー グループ属性は LDAP サー
バーで参照されます。
[グループ オブジェクトの グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を指定し
基本の識別名]
ます。
[グループ オブジェクトを グループ属性の参照を制限するためにフィルタリング用語を指定します。
検索するための表現をフ
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用さ
ィルタリングする ]
れます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるグループ属性を入力するためのリストを提供
します。
ダイジェスト認証
LDAP ダイジェスト認証の設定
表 7-8 ダイジェスト認証
オプション
定義
[ダイジェスト認証を有効
にする]
選択すると、LDAP 認証でのユーザー認証の方法としてダイジェスト認証が実行されま
す。
[パスワード ハッシュ付き LDAP サーバーで認証ハッシュ値を保存しているユーザー属性を指定します。
のユーザー属性]
[Nonce の最大使用数]
認証プロセス中に転送され、認証ハッシュの計算でパラメーターとして必要になる
Nonce (number only once) の使用回数に制限を設定します。
デフォルトの最大使用回数は 100 回です。
[Nonce の最大 TTL]
Nonce の有効期間を分単位で制限します。
デフォルトの最大有効期間は 30 分です。
[ダイジェスト URI 検査
を有効にする]
選択すると、認証ハッシュを計算するパラメーターとしてクライアントが送信した
URL と、このクライアントが Web の特定の宛先に対するアクセス要求で使用した
URL が一致しているかどうか検査されます。
検査に失敗すると、要求がブロックされます。
URL を送信するクライアント ブラウザーが使用する形式が原因で検査に失敗する可能
性があるため、この設定はオプションです。
この検査は、デフォルトで有効になっています。
[ダイジェスト認証のみを
許可する]
選択すると、LDAP でユーザーの認証を行うときにダイジェスト認証が常に実行されま
す。
Novell eDirectory 固有のパラメーター
Novell eDirectory 認証方法の設定
表 7-9 Novell eDirectory 固有のパラメーター
174
オプション
定義
[接続する LDAP サーバー]
認証情報を提供するために LDAP サーバーのロールを担う eDirectory サーバ
ーを入力するためのリストを提供します。
[証明機関のリスト]
Secure LDAP (S-LDAP) 接続が LDAP サーバーとの通信に使用される場合に、
証明書を発行する証明機関を入力するためのリストを提供します。
McAfee Web Gateway 7.5.0
製品ガイド
認証
認証設定
7
表 7-9 Novell eDirectory 固有のパラメーター (続き)
オプション
定義
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名を指定しま
す。
[パスワード]
ユーザー名のパスワードを設定します。
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウ
を開きます。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえ
ば、ISO-8859-1 などを指定します。
[LDAP バージョン 3 を有効にす これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
る]
[LDAP ライブラリに参照に従う
ことを許可する]
これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバ
ーにリダイレクトされます。
[接続がライブか確認]
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時
間 (分) を指定値に制限します。
[LDAP 動作のタイムアウト]
通信が発生しない場合に、LDAP サーバーへの接続が閉じる前に経過する時間
(秒) を指定値に制限します。
[eDirectory ネットワーク アド
レス属性]
eDirectory サーバーで使用されているネットワーク アドレスを提供する属性
の名前を指定します。
[eDirectory ネットワーク ログ
イン時間属性]
eDirectory サーバーで使用されているログオン時間を提供する属性の名前を指
定します。
[eDirectory ネットワーク最小
更新間隔]
eDirectory サーバーからの情報が更新される前の閉じるまでの時間 (秒) を指
定します。
[ユーザー オブジェクトの基本の ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を
識別名]
指定します。
[ユーザー名を DN にマッピング 選択されると、認証するユーザー名は DN へマップする必要があります (識別
する]
名)。この名前によって、LDAP サーバーのディレクトリ内のユーザーを識別し
ます。
[ユーザー オブジェクトを検索す ユーザー属性の参照を制限するためにフィルタリング用語を指定します。
るための表現をフィルタリングす
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使
る]
用されます。
[ユーザー属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバ
ーで参照されます。
[取得するユーザー属性]
LDAP サーバーから取得する必要のあるユーザー属性を入力するためのリスト
を提供します。
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列、たとえば、/ (ス
ラッシュ) などを指定します。
[グループ属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー グループ属性は
LDAP サーバーで参照されます。
[グループ オブジェクトの基本の グループ属性の検索が始まる LDAP サーバーのディレクトリの識別名 (DN) を
識別名]
指定します。
[グループ オブジェクトを検索す グループ属性の参照を制限するためにフィルタリング用語を指定します。
るための表現をフィルタリングす
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として
る]
使用されます。
[取得するユーザー属性]
McAfee Web Gateway 7.5.0
LDAP サーバーから取得する必要のあるグループ属性のリストを提供します。
製品ガイド
175
7
認証
認証設定
RADIUS 固有のパラメーター
RADIUS 認証方法の設定
表 7-10 RADIUS 固有のパラメーター
オプション
定義
[RADIUS サーバー定義]
認証サーバーが取得された RADIUS サーバーを入力するためのリストを提供します。
[デフォルトのドメイン
名]
他のドメインが指定されていない場合に情報を取得するドメインの名前を指定します。
[共有秘密キー]
RADIUS サーバーへのアクセスを取得するためにアプライアンスに使用されるパスワ
ードを設定します。
[Radius 接続のタイムア
ウト (秒)]
トラフィックが発生しない場合に、RADIUS サーバーへの接続が閉じる前に経過する時
間 (秒) を指定値に制限します。
[国際文字のサポート]
クライアントから送信された要求にデフォルトで使用される文字セット、たとえば、
ISO-8859-1 などを指定します。
[コードを含む属性の値]
RFC 2865 に従って、ユーザー グループ情報とともに取得される属性のコード値を設
定します。
たとえば、「クラス」属性のコードは 25 です。
[ベンダー ID のあるベン ユーザー グループ情報の検索においてベンダー関連のデータ取得に必要なベンダー ID
ダー固有の属性]
を設定します。
RFC 2865 によると、ベンダー ID はベンダー属性の一部であり、それに多数のサブ属
性が続きます。そのコード値は 26 です。
[ベンダーのサブ属性タイ RFC 2865 によると、ベンダー属性に含まれるサブ属性のタイプのコード値を設定しま
プ]
す。
すべてのベンダーはこの構造に従っていないので、ここで 0 の値を指定することをお勧
めします。これは認証モジュールがすべての入手可能なベンダー情報を取得することを
可能にします。
Kerberos 固有のバラメーター
Kerberos 認証方法の設定
[設定] トップレベル メニューで [Kerberos 管理] システム設定を使用すると、この認証方法の詳細を設定できます。
表 7-11 Kerberos 固有のバラメーター
オプション
定義
[チケットからグループ メンバーシッ
プ ID を抽出する]
Kerberos 認証のユーザー認証プロセスで使用されるチケットから情報を
取得し、ユーザーのグループを識別します。
このオプションを選択すると、次のオプションが使用可能になります。
[NTLM でグループ名を参照する]
ユーザーのグループ名を NTLM 認証で取得します。
認証サーバー固有のパラメーター
認証サーバー方法の設定
176
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
認証設定
表 7-12 認証サーバー固有のパラメーター
オプション
定義
[認証サーバー URL]
この方法で認証情報を参照するために使用されるサーバーの URL を指定します。
[クライアント ID 必須]
選択すると、認証サーバーはユーザーが要求を送信したクライアントの ID を要求し
ます。
[Cookie に認証結果を保存]
これが選択されると、認証サーバーから取得した情報が cookie に保存されます。
Cookie 認証が実装されている場合は、ユーザーが 2 度も認証しなくても良いよう
に、それぞれのユーザーが送信する次の要求に Cookie を追加します。
[サーバーに持続 Cookie を
許可する]
選択されている場合、Cookie を複数の要求を認証サーバーに送信するために持続し
て使用できる
[認証サーバーのための
Cookie TTL (秒)]
要求とともにサーバーに送信される Cookie が保存される時間 (秒) を指定値に制
限します。
[Cookie プリフィックス]
MWG_Auth のように、アプライアンスでクッキーに追加するプリフィックスを指
定します。
ワンタイム パスワード固有のパラメーター
ワンタイム パスワード認証の設定
McAfee Web Gateway 7.5.0
製品ガイド
177
7
認証
認証設定
表 7-13 ワンタイム パスワード固有のパラメーター
オプション
定義
[OTP サーバー]
ワンタイム パスワードでユーザーを認証するときに Web Gateway が接続する OTP サ
ーバーの IP アドレスとポート番号を指定します。
[SSL で接続して次の
証明書を信頼する]
OTP サーバーとの通信を SSL セキュア接続で実行します。
このオプションを選択すると、次の 4 つのフィールドの情報がグレー表示でなくなり、[イ
ンポート] ボタンが使用可能になります。
これらのフィールドには、OTP サーバーとの SSL セキュア通信で使用される証明書の詳
細が表示されます。
• [件名] - 証明書に関する全般的な情報が表示されます。
• [共通名 (CN)] - 証明書の共通名が表示されます。
デフォルトの名前は localhost です。
• [組織 (O)] - 証明書の組織が表示されます。
デフォルトの組織は OTP Server です。
• [組織単位 (OU)] - 証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [発行者] - 証明書の発行者に関する情報が表示されます。
• [共通名 (CN)] - 発行者の共通名が表示されます。
デフォルトの名前は localhost です。
• [組織 (O)] - 発行者の組織が表示されます。
デフォルトの組織は OTP Server です。
• [組織単位 (OU)] - サーバー証明書の組織単位が表示されます。
デフォルトでは、組織単位は設定されていません。
• [有効性] - 証明書の有効期間が表示されます。
• [開始] - 証明書の有効期間の開始日時が表示されます。
• [終了] - 証明書の有効期間の終了日時が表示されます。
• [延長] - 証明書の補足情報が表示されます。
• [コメント] — 証明書に関するコメントがテキスト形式で表示されます。
デフォルトでは、コメントはありません。
• [インポート] - 証明書をインポートするウィンドウが開きます。
[WS クライアント名]
OTP サーバーに接続する Web Gateway のユーザー名が表示されます。
[WS クライアント パ
スワード]
OTP サーバーに接続する Web Gateway のパスワードが表示されます。
[OTP メッセージ]
OTP サーバーから Web Gateway に送信されるメッセージのプレフィックスと区切り記
号が表示されます。
デフォルトでは、メッセージは次のようになります。
OTP for MWG:$$<OTP メッセージ>$$
McAfee Client Proxy
SWPS (McAfee Client Proxy) 認証方法の設定
178
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
異なる認証方法の実装
表 7-14 McAfee Client Proxy
オプション
定義
[顧客 ID]
顧客の識別子を指定します。
[共有パスワード]
顧客のパスワードを設定します。
[設定] をクリックすると、設定用のウィンドウが開きます。
[グループ名でドメインを維
持する]
選択すると、ユーザー グループの名前に含まれているドメイン情報が維持されま
す。
このオプションはデフォルトで選択されています。
[認証に使用した顧客ヘッダ
ーを削除する]
選択すると、認証で送信された情報からヘッダー情報が削除されます。
[MCP 認証情報を XML ファ
イルにエクスポートする]
SWPS (McAfee Client Proxy) 認証方法で送信された認証情報をエクスポートし
ます。
このオプションはデフォルトで選択されています。
デフォルトでは、メッセージは次のようになります。
OTP for MWG:$$<OTP メッセージ>$$
詳細パラメーター
高度な認証を構成する設定
この設定は、すべての認証方法で同じです。各認証方法については、このセクションの共通設定の後に詳
しい説明が記載されています。
表 7-15 詳細パラメーター
オプション
定義
[常にプロパティ値
を評価する]
選択されると、プロパティへ値を割り当てる新しい評価は、このプロパティの処理を含むルー
ルが毎回実行されます。
キャッシュにプロパティに対する値が保存された場合、使用されません。
通常キャッシュ値が使用され、パフォーマンスを向上させることを推奨する一方、プロパティ
の新しい評価がっ必要な状況になる可能性があります。
これらの状況で、同じプロパティは認証ルール内かつ認証モジュールの同じ設定で、1 回以上
使用されます。新しい評価は、毎回ほとんどの現在値がプロパティに割り当てられていること
を確認します。
異なる認証方法の実装
デフォルトのルール セットのユーザー データベース認証方式を使用したくない場合は、NTLM、LDAP、および他の
異なる認証方法を実装できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ユーザーを認証するためのルールを含むルール セット、たとえば、デフォルトの
[Authentication and Authorize] のルール セットに移動して、ネストされた [Authenticate with User
Database] ルール セットを選択します。
ネストされたルール セットのルールが設定パネルに表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
179
7
認証
認証を構成するためのシステム設定の使用
3
[Authenticate with User Database] のルールを選択し、ルールの条件で [ユーザー データベース]をクリック
します。
[設定の編集]ウィンドウが開きます。
4
[認証方法]で提供されているリストから認証方法、たとえば、[NTLM]を選択します。
5
必要に応じて選択された方法の共通および特定のパラメーターを構成します。
6
[OK]をクリックしてウィンドウを閉じます。
7
[変更の保存]をクリックします。
認証方法の変更後は、それに応じて認証モジュールの設定、認証ルール、ネストされたルール セットの名前変更を適
切に行うことをお勧めします。
たとえば、NTLM を選択した後は、設定を NTLM に、およびルールとネストされたルール セットの両方を
Authenticate with NTLM に名前を変更します。
認証モジュールでは、デフォルト設定の名前を変更する代わりに、異なる名前やパラメーターの値のあるさまざまな
設定を保持することもできます。
認証を構成するためのシステム設定の使用
一部の認証方法について、認証モジュールの設定ではなく、アプライアンス システムの設定を構成する必要がありま
す。
これは、認証方法として NTLM を実装しているときに適用されます。この場合、Windows ドメインにアプライアン
スを参加させ、システム設定で、Windows ドメイン メンバーシップ設定を構成する必要があります。
これはまた、Kerberos 認証モデルにも適用されます。これは、Kerberos 管理システム設定を使用して行われま
す。
Kerberos 管理システムの設定
Kerberos 管理システムの設定は、Kerberos 認証方法の特別な設定です。
Kerberos 管理システム
Kerberos 認証方法の設定
180
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
認証を構成するためのシステム設定の使用
表 7-16 Kerberos 管理システム
オプション
定義
[キーのタブ ファイ
ル]
Kerberos サーバーにアクセスするのに必要なマスター キーを含むファイルを指定します。
ファイル名を入力するか、[参照]ボタンを使用してファイルを参照し、フィールドにその名
前を入力します。
Kerberos 方法に従って認証するためのチケットが発行されると、マスター キーがアプライ
アンスに読み込まれ、チケットを検証するのに使用されます。
Web リクエストをアプライアンスにダイレクトする負荷分散装置が実行している場合、負荷
分散装置のためにチケットは発行され、アプライアンスで検証されます。その場合、リクエ
ストがアプライアンスにダイレクトされるかどうかは確認されません。
[Kerberos 領域]
認証の目的のために構成されている管理ドメインを指定します。
Kerberos サーバーは、このドメインの境界内では、ホストからリクエストを提出するか、サ
ービスを使用するユーザーを認証する権限があります。
領域名は大文字小文字を区別しますが、通常は大文字のみが使用され、領域名を関連する
DNS ドメインと同じように表すことをお勧めします。
[アプライアンスと アプライアンスとそのクライアントのシステム時間に許容される最大時間差(秒)を指定値
クライアントの最大 に制限します。
時間差]
Kerberos を認証方法として構成することは、特定のブラウザーがリクエストを送信するのに
使用される場合に、問題につながる可能性があります。
• Microsoft Internet Explorer の 7.0 より低いバージョンが使用される場合は、Kerberos
認証は全く不可能なこともあります。
• このエクスプローラーが Windows XP で実行されている場合は、Kerberos 認証は予期通
りに動作しない可能性があります。
• Mozilla Firefox が使用される場合、Kerberos 認証方法を有効にするために、この認証方
法をブラウザーの設定で構成する必要があります。
[キャッシュを有効
にする]
選択されている場合、認証のために発行されたチケットは 1 回以降使用できません。
このオプションを選択すると、認証パフォーマンスが低下します。
アプライアンスを Windows ドメインに参加させる
NTLM 認証方法を使用する場合は、認証モジュールにドメイン サーバーに保存されているユーザー情報を取得させる
ために、アプライアンスを Windows ドメインに参加させる必要があります。
アプライアンスは 1 つ以上のドメインに参加させることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、参加するアプライアンスを選択し、[Windows ドメイン メンバーシップ]を選択しま
す。
設定パネルでドメインのリストが表示されます。最初はリストが空です。
3
ドメインをリストに入力するには、[参加]をクリックします。
[ドメイン参加]ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
181
7
認証
認証を構成するためのシステム設定の使用
4
ドメイン名の構成、ドメイン コントローラー、ウィンドウでのその他の設定。
5
[OK]をクリックします。
ウィンドウが閉じて、リストに新しいドメインが表示されます。これでアプライアンスは、このドメインのメン
バーなりました。
複数のドメインを追加するには、ステップ 3 から 5 を繰り返します。
ツールバーのその端おアイコンを使用して、¥たとえば、リスト エントリーを変更したり、アプライアンスをドメイ
ンに残すなど、リストを操作してください。
関連トピック:
182 ページの「Windows ドメイン メンバーシップの設定」
Windows ドメイン メンバーシップの設定
Windows ドメイン メンバーシップの設定は、Windows ドメインにアプライアンスを参加させるために使用されま
す。
ドメイン参加
アプライアンスを Windows ドメインに参加させるための設定
表 7-17 ドメイン参加
オプション
定義
[Windows ドメイン名]
ドメイン名を指定します。
[McAfee Web Gateway アカウン アプライアンスのアカウント名を指定します。
ト名]
[既存のアカウントの上書き]
選択されている場合、既存のアカウントが上書きされます。
[NTLM バージョン 2 の使用]
選択されている場合、NTLM バージョン 2 が使用されます。
[この NTLM ドメインへのリクエ
ストのタイムアウト]
応答が受信されなかった場合、アプライアンスからドメイン コントローラーに
送信されたリクエストの処理が停止する前に経過する時間(秒)を指定値に制
限します。
[ドメイン コントローラーへの再
接続待ちの時間]
ドメイン コントローラーへの接続を前回試みてから、もう一度試みるまで待つ
時間(秒数)を指定します。
許容範囲は 5 ~ 300 です。
[構成済みドメイン コントローラ
ー]
認証情報を取得するためにアプライアンスが接続できるドメイン コントロー
ラーを入力するためのリストを提供します。
エントリーはコンマで区切る必要があります。
[アクティブなドメイン コントロ
ーラーの数]
同時にアクティブにできる構成済みドメイン コントローラーの最大数
[管理者名]
アプライアンスがドメインに参加するときに作成されるアカウントのユーザ
ー名を指定します。
許容範囲は 1 ~ 10 です。
ユーザー名とパスワードはこの目的のみに使用され、保存されません。
[パスワード]
182
McAfee Web Gateway 7.5.0
管理者名のパスワードを設定します。
製品ガイド
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
7
ベスト プラクティス - 配備タイプに合わせた認証の設定
認証を設定する場合、Web Gateway とクライアント間のトラフィックの設定されている配備タイプ (明示的プロキ
シ モード、透過型モードなど) を考慮する必要があります。ルール セット ライブラリには、各タイプの認証処理に
最適なルール セットが含まれています。
認証プロセスでは、次の 2 つの点を考慮する必要があります。
•
このプロセスで評価されるユーザーの認証情報を Web Gateway が取得する方法
認証プロセスのこの部分は、認証のフロントエンドともいいます。
ユーザーの認証情報を取得する方法は、Web Gateway とクライアント間のトラフィックの処理に明示的プロキ
シ モード (直接プロキシ モード) が設定されているのか、透過型モード (透過型ルーター モードまたは透過型ブ
リッジ モード) が設定されているのかによって異なります。
明示的プロキシ モードの場合、クライアントが WCCP プロトコルのサービスを使用して追加オプションとして
要求を送信できるように設定することができます。
ルール セット ライブラリには、各モードに最適なルール セットが含まれています。
•
取得後の認証情報の評価方法
このプロセスは、認証バックエンドともいいます。
証明情報の評価は、設定された認証方法 (LDAP、NTLM など) によって異なります。
認証のライブラリ ルール セット
認証を設定するルール セットは、ルール セット ライブラリの「認証」ルール セットにあります。
以下の表では、それぞれの配備タイプの推奨ルール セットについて説明します。
表 7-18 認証のライブラリ ルール セット
配備タイプ
推奨のライブラリ ルール セット
明示的プロキシ モード
直接プロキシ認証と許可
透過型ルーターまたはブリッジ モード
認証サーバー (時間/IP ベースのセッション)
WCCP を使用した明示的プロキシ モード
トラフィックが次のモードで処理される場合:
• 明示的プロキシ モード - 直接プロキシ認証と許可
• WCCP モード - 認証サーバー (時間/IP ベースのセッション)
ライブラリからルール セットをインポートすると、ネットワーク要件に合わせてルールを変更し、適用することがで
きます。
ルール セット ツリー内での位置
「認証」ルール セットは、
「グローバル ホワイトリスト」ルール セットの後で、共通のルール セットより前に配置す
る必要があります (デフォルトのルール セット ツリーを使用している場合)。
このように「認証」ルール セットを配置すると、グローバル ホワイトリストにある Web オブジェクトへの認証要
求を送信するときにユーザーの認証が不要になります。
McAfee Web Gateway 7.5.0
製品ガイド
183
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
明示的プロキシ モードの認証
明示的プロキシ モードの認証を設定する場合には、適切なルールを Web Gateway に実装する必要があります。
明示的プロキシ モードのライブラリ ルール セット
明示的プロキシ モードの推奨ライブラリ ルール セットは、直接プロキシ認証と許可です。
このルール セットには次の 2 つのルール セットがネストされています。
•
ユーザー データベースで認証
•
ユーザー グループを許可
このルール セットを実装すると、例外ルールが適用されない限り、Web Gateway のクライアントから受信した要
求に認証プロセスが実行されます。
Citrix がインストールされている構成か、ワークステーションが共有されている構成の場合、このルール セットを使
用して認証を処理します。
「直接プロキシ認証と許可」ルール セット
このルール セットのルールを使用すると、例外を作成できます。要求の送信ユーザーの認証を行わずに、Web
Gateway で要求を処理することができます。
次の項目で例外を作成できます。
•
要求を送信したクライアントの IP アドレス
•
要求の宛先となる Web オブジェクトの URL
これらのルールを使用すると、信頼されたクライアントから受信した要求や信頼された宛先に送信される要求でユー
ザーの認証が実行されません。これにより、パフォーマンスが向上します。
また、独自のルールを作成したり、このルール セットにツールを追加して、追加の例外を設定することもできます。
「ユーザー データベースで認証」ネスト ルール セット
このルール セットのルールにより、Web Gateway のクライアントから要求を送信するユーザーに認証が実行され
ます。ユーザーが指示に従って認証情報を送信すると、この情報が内部ユーザー データベースに記録された情報と比
較されます。
このルール セットは、このユーザーがまだ認証されず、以前の認証でも失敗していない場合に適用されます。この検
査では、Authentication.Is.Authenticated プロパティと Authentication.Failed プロパティが使用されま
す。
認証情報の評価に内部ユーザー データベースの情報ではなく、LDAP や NTLM などの別の認証方法を使用すること
もできます。
「ユーザー グループを許可」ネスト ルール セット
このルール セットのルールにより、承認されたユーザーの要求だけが許可されます。要求を送信したユーザーが特定
のリストのユーザー グループに属していない場合、要求がブロックされます。ユーザーが以前の評価で通過していて
も、要求はブロックされます。
このルールにより、追加のセキュリティ チェックを実装できます。このルールを使用する場合には、ルールで使用す
るリストにユーザー グループを定義する必要があります。使用しない場合には、ルール セットを無効にしたり、削
除することができます。
184
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
明示的プロキシ モードのルール セットの変更
明示的プロキシ モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更し
て、適用することができます。
次のような変更を行います。
•
認証方法の変更
•
ユーザー承認の変更、無効化、削除
•
例外ルールの設定
認証方法の変更
デフォルトでは、認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報を比較します。
この認証方法 (認証バックエンド) を変更するには、「ユーザー データベースで認証」ルール セットのルールで
Authentication.Authenticate プロパティの横に表示される設定を行う必要があります。
[認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。
ユーザー承認の変更、無効化、削除
ネストされた「許可されているユーザ グループ」ルール セットを使用すると、承認ユーザーからの要求のみが許可
されます。必要に応じて、このルール セットのルール リストにユーザー グループを追加できます。
このルールを追加のセキュリティ チェックとして使用しない場合には、ルール セットを無効にするか、削除します。
例外ルールの設定
「直接プロキシ認証と許可」ルール セットにルールを追加すると、認証プロセスの複数の例外に対応することができ
ます。
いずれかのルールに該当すると、ルール セットの処理が停止します。ネストされたルール セットは認証処理の対象
外になります。
たとえば、要求を送信したクライアントのブラウザーで特定のユーザー エージェントが実行されている場合に要求を
許可するようにルールを追加できます。ユーザー エージェントの情報は、要求ヘッダーから取得されます。
このルールは次のようになります。
許可ユーザーエージェントのリストにないユーザー エージェントの認証をスキップする
Header.Request.Get ("User-Agent") matches in list Allowed User Agents –> Stop Rule Set
別のルールを使用すると、特定の IP アドレスを持つ Web サーバー上のオブジェクトに対するアクセス要求を許可
できます。IP アドレスは、要求で送信された URL から取得されます。
このルールは次のようになります。
許可宛先 IP リストにある宛先 IP の認証をスキップする
URL.Destination.IP is in range list Allowed Destination IPs –> Stop Rule Set
McAfee Web Gateway 7.5.0
製品ガイド
185
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
透過型モードの認証
透過型モードの認証を設定する場合、Web Gateway に要求を送信するようにブラウザーの設定を変更する必要があ
ります。また、適切なルールを Web Gateway に実装する必要があります。
ブラウザー設定の変更
透過型ルーターまたはブリッジ モードの認証を有効にするには、要求の送信に使用する Web ブラウザーを設定を変
更し、Web Gateway を信頼する必要があります。
Web Gateway で認証方法として NTLM または Kerberos も設定されている場合、認証プロセスは内部的に処理さ
れます。ユーザーが認証を要求されることはありません。
•
Microsoft Internet Explorer を使用している場合には、次の方法でセキュリティ設定を変更する必要がありま
す。
•
セキュリティ ゾーンとしてローカル イントラネットを設定する
•
このゾーンに Web Gateway を Web サイトとして追加する
この設定を行うには、IP アドレスまたは完全修飾ドメイン名で URL を指定します。例: http://
10.10.69.73、http://*.mcafee.local。
•
ユーザー認証のセキュリティ ゾーンとしてゾーン内のすべての Web サイトに自動ログインを設定する
この設定は、[インターネット オプション] の [セキュリティ] で ローカル イントラネットを選択し、[ローカル
イントラネット] を使用します。
ブラウザーにグループ ポリシーを設定する場合には、[グループ ポリシー管理エディター]、[サイトとゾーンの
割り当て一覧]、[ログオン オプション] ウィンドウも使用できます。
•
Mozilla Firefox を使用している場合には、[about:config] で [network.automatic-ntlm-auth.trusted-uris]
パラメーターの値として、Web Gateway の IP アドレスまたは完全修飾ドメイン名を設定します。例:
10.10.69.73、mwgappl.yourdomain.local
詳細については、使用する Web ブラウザーのマニュアルを参照してください。
透過型モードのライブラリ ルール セット
透過型ルーターまたはブリッジ モードに推奨のライブラリ ルール セットは、認証サーバー (時間/IP ベースのセッ
ション) です。
次の 2 つのルール セットがネストされています。
•
有効な認証セッションの確認
•
認証サーバー
明示的プロキシ モードに実行される認証プロセスと異なり、このルール セットは、Web アクセス要求を送信したユ
ーザーが正常に認証されたときに、認証セッションを作成して認証を処理します。
このセッションが有効な間、このユーザーが送信する後続の要求はユーザー認証なしで処理されます。デフォルトの
セッション期間は 600 秒です。
Citrix がインストールされている構成またはワークステーションが共有されている構成でこのルール セットを使用
すると、次のような状況が発生します。ユーザー A が要求を送信して認証されると、認証セッションが作成されま
す。その後、ユーザー B が同じワークステーションから要求を送信しても、ユーザー A のセッションの続行が許可
されます。
186
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
「認証サーバー (時間/IP ベースのセッション)」ルール セット
このルール セットは、ネストされた 2 つのルール セットのコンテナーとして機能します。独自のルールはありませ
ん。
「有効な認証セッションの確認」ネスト ルール セット
このルール セットのルールは、クライアントから要求を送信するユーザーに有効なセッションが存在するかどうかを
確認します。セッション情報は、内部のセッション データベースに保存されます。ここには、ユーザー名、クライア
ントの IP アドレス、セッション期間が記録されます。
有効なセッションが存在すると、要求の処理が続行され、設定済みの残りのルールとルール セットが評価されます。
有効なセッションが存在しないと、要求が認証サーバーにリダイレクトされます。
「認証サーバー」ネスト ルール セット
このルール セットのルールにより、認証サーバーにリダイレクトされた要求の送信ユーザーの認証が実行されます。
認証に成功すると、このユーザーのセッションがセッション データベースに作成されます。
デフォルトでは、ユーザーの認証情報が内部ユーザー データベースの情報と比較されます。この認証方法を LDAP
や NTLM などの別の方法に変更することもできます。
透過型モードのルール セットの変更
透過型モードの認証を設定するときに、ネットワークの要件に合わせてライブラリ ルール セットを変更して、適用
することができます。
次のような変更を行います。
•
認証サーバーの URL の変更
•
認証方法の変更
•
理想的な条件ルールの有効化
•
セッション TTL の増加
認証サーバーの URL の変更
セキュリティ ゾーンにローカル ドメインを設定して、Web Gateway への要求送信に使用するブラウザーのセキュ
リティ設定を変更した場合、IP アドレスまたは完全修飾ドメイン名で URL を指定して、このゾーンの Web サイト
として Web Gateway を追加できます。
この場合、ローカル ドメインの名前を挿入して、認証サーバーの URL も変更する必要があります。デフォルトで
は、この URL には Web Gateway の IP アドレスが含まれています。
Web Gateway が実行されているアプライアンスに、認証サーバーの URL が動的に生成されます。構成内に複数の
Web Gateway アプライアンスが存在する場合、静的な IP アドレスは使用できません。内部構成のプロパティを使
用して、動的に生成する必要があります。
この URL は、[IP 認証サーバー] で変更できます。
「有効な認証セッションの確認」ルール セットにある「有効なセ
ッションがないクライアントを認証サーバーにリダイレクトする」ルールの Authentication.Authenticate プ
ロパティの横に、この設定が表示されます。
デフォルトの URL は次のようになります。
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system.proxy.ip"/>$:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
特定の認証サーバーの URL を読みやすい形式にすると、次のようになります。
McAfee Web Gateway 7.5.0
製品ガイド
187
7
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
http://10.10.69.71:9090
ローカル ドメインをセキュリティ ゾーンに設定したブラウザーに URL を設定すると、次のようになります。
http://$<propertyInstance useMostRecentConfiguration="false"
propertyId="com.scur.engine.system"/>$.yourdomain.local:$<propertyInstance
useMostRecentConfiguration="false" propertyId="com.scur.engine.system.proxy.port"/>$
"com.scur.engine.system.proxy.ip"/>$ が "com.scur.engine.system"/>$.yourdomain.local に
変わっています。
分かりやすい形式に直すと、次のようになります。
http://mwgappl.yourdomain.local:9090
mwgappl は、Web Gateway が実行されているアプライアンスのホスト名です。
認証方法の変更
デフォルトでは、透過型モードで認証情報を評価する場合、内部ユーザー データベースに保存された情報と認証情報
を比較します。
この認証方法 (認証バックエンド) を変更するには、認証サーバー ルール セットで「ユーザー データベースでユー
ザーを認証する」ルールの Authentication.Authenticate プロパティの横に表示される設定を行う必要があり
ます。
[認証方法] に表示される認証方法のリストで、ネットワークに最適な方法 (LDAP、NTLM など) を選択します。
理想的な条件ルールの有効化
「有効な認証セッションの確認」ルール セットの「理想的な条件でセッションを再度確認する」ルールを使用すると、
理想的な条件でユーザーの認証を行うことができます。この場合、セッションが期限切れの場合に認証が要求されま
せん。
デフォルトでは条件は次のようになります。
•
セッションの残り時間が 400 秒未満
•
ネットワーク プロトコルが HTTP
•
ユーザーが送信した要求が GET 要求
このルールを有効にすると、次のような状況を回避できます。
1
ユーザーが Web Gateway のクライアントから要求し、認証を行います。セッションの許容時間は 600 秒です。
2
ユーザーがヘルプ デスクにチケットを送信し、データ フォームの入力を開始します (300 秒)。
3
ユーザーがフォームの入力に情報が必要になり、必要な情報を Web で検索します。Web Gateway が 一部の
GET 要求を受信します (さらに 200 秒)。
4
ユーザーがデータ フォームの入力を完了して送信します。Web Gateway が POST 要求を受信します。さらに
200 秒が経過しますが、最初の 100 秒でセッションが期限切れになります。
5
セッションが期限切れになると、POST 要求が処理される前に再度ユーザー認証が必要になります。ただし、セ
ッションが期限切れになっているため、入力されたデータが消失します。
理想的な条件ルールを有効にすると、手順 3 で情報を検索するときに再認証が要求されるため、フォームの入力で時
間切れになることはありません。
188
McAfee Web Gateway 7.5.0
製品ガイド
認証
ベスト プラクティス - 配備タイプに合わせた認証の設定
7
セッション TTL の増加
認証セッションの許可時間を増やすことができます。たとえば、デフォルトの 600 秒 (10 分) を 1 時間に変更でき
ます。
「有効な認証セッションの確認」ルールの条件で時間を変更できます。たとえば、400 秒から 600 秒に増やすことが
できます。
GET 要求を受信したときに、セッションの有効期間が 10 分以内になっていると、認証が要求されます。
WCCP を使用した明示的プロキシ モードの認証
WCCP を使用した明示的プロキシ モードの認証を設定する場合、2 つのルール セットをインポートして変更しま
す。また、適切なルール セットが使用されるように、受信トラフィックのポートを指定する必要があります。
WCCP を使用した明示的プロキシ モードを設定すると、クライアントは明示的プロキシ モードで Web Gateway
に要求を送信するか、WCCP プロトコルでサービスを使用します。
明示的プロキシ モードの認証を処理する場合には、「直接プロキシ認証と許可」ルール セットを使用してください。
WCCP モード (透過型モード) の場合には、「認証サーバー (時間/IP ベースのセッション)」ルール セットを使用し
てください。
つまり、両方のルール セットをインポートして、両方のモードに必要なアクティビティを実行する必要があります。
たとえば、WCCP モードの場合には、ブラウザーの設定を変更します。
各モードのトラフィックが適切な認証ルール セットで処理するには、タイプごとに異なるトラフィック ポートを設
定し、各ルール セットの条件にそれぞれのポートを指定します。
明示的プロキシ モードと WCCP モードに異なるポートを設定する方法
明示的プロキシ モードと WCCP モードのポートに 9090 と 9091 を使用している場合について考えてみましょ
う。HTTP ポート リストに WCCP サービスと両方のポートを設定するときに、WCCP モードのポートを指定する必
要があります。
WCCP サービスを設定するには、このサービスを [WCCP サービス] リストに追加します。このリストを表示するに
は、[プロキシ (HTTP(S)、FTP、ICAP、IM)] システムの [透過型プロキシ] セクションで、[WCCP] を選択しま
す。
[ネットワーク セットアップ] で [プロキシ (オプションの WCCP)] を選択して、WCCP を使用する明示的プロキ
シ モードの設定を開始すると、このセクションが表示されます。
ポート 9091 で受信するトラフィックに使用する WCCP サービスは次のように設定します。
番号 サービ WCCP ルタ
ス ID ー...
ポー
ト...
ポート... プロキシ リスナ
ー...
プロキシ リ MD5 ... 割り当
て
スナー ポー
ト
1
80,
443
false
9091
91
10.10.69.7
10.10.69.73
コメ
ント
oooooo 1000
[透過型プロキシ] セクションの下にある [HTTP プロキシ] セクションで、[HTTP ポート定義リスト] を設定できま
す。
明示的プロキシ モードと WCCP モードは次のように設定します。
番号
リスナー アドレス
処理...
ポート...
透過...
McAfee...
コメント
1
0.0.0.0:9090
true
443
false
true
明示的プロキシ トラフィック
2
0.0.0.0:9091
true
443
false
true
WCCP トラフィック
McAfee Web Gateway 7.5.0
製品ガイド
189
7
認証
インスタント メッセージング認証
認証ルール セットの条件の適用
明示的プロキシ モードと WCCP サービスの使用時に受信するトラフィックに異なるポート (たとえば 9090 と
9091) を設定したら、2 種類のトラフィックを処理すルール セットの条件を適用する必要があります。
「直接プロキシ認証と許可」ルール セットに適用するルールの条件は次のようになります。
Proxy.Port equals 9090 AND (Connection.Protocol equals "HTTP" OR Connection.Protocol
equals "HTTPS")
「認証サーバー (時間/IP ベースのセッション)」ルール セットの場合、適用する条件は次のようになります。
Proxy.Port equals 9091
インスタント メッセージング認証
インスタント メッセージング認証は、ネットワークのユーザーに権限がない場合は、インスタント メッセージング
サービスを通じて Web にアクセスできないようにします。認証プロセスはユーザー情報をルックアップし、未認証
のユーザーを認証するかどうかを問い合わせます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する認証ルール
•
認証モジュール。別のデータベースからユーザーに関する情報を取得します。
認証ルールは Web に対してアクセスを要求したユーザーの認証に関する情報をログするためにイベントを使用でき
ます。
この場合、ロギング モジュールもまたプロセスに含まれます。
認証ルール
アプライアンスのデフォルトでは、インスタント メッセージング認証は実装御されませんが、ライブラリから IM
認証ルール セットをインポートできます。
このルール セットには、Web アクセスを要求しているユーザーがすでに認証されているかどうかを確認するために
ユーザー情報をルックアップするルールが含まれています。情報のルックアップに使用される方式はユーザー デー
タベース方式です。
ユーザー データベースで情報が見つからない権限をもたないユーザーは、認証のために資格情報を送信するように指
示されます。
別のルールは、ユーザーが認証されるか、権限を持たないユーザーについては資格情報を求めるために、認証サーバ
ー方式を使用して情報をルックアップします。
認証モジュールはこれらのルールによりコールされ、適切なデータベースからユーザー情報を取得します。
ライブラリ ルール セットのルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
認証モジュール
認証モジュール(エンジンとも呼ばれる)は、内部または外部データベースからのユーザーを認証するために必要な
情報を取得します。このモジュールは認証ルールによりコールされます。
190
McAfee Web Gateway 7.5.0
製品ガイド
認証
インスタント メッセージング認証
7
ユーザー情報を取得するために別の方法は、モジュール設定で指定されます。適宜、2 つの設定がインスタント メッ
セージング通信のライブラリ ルール セットに表示されます。
•
IM 認証サーバーのユーザー データベース
•
認証サーバー IM
これらの設定は、ルール セット ライブラリ がライブラリからルールセットがインポートされるときに実装されま
す。
たとえば、認証サーバー方式の元でユーザー情報が取得されたサーバーを指定するためなどに、これらの設定をを行
うことができます。
ログ記録モジュール
インスタント メッセージング認証のライブラリ ルール セットには、認証関連のデータをログするルールが含まれ
る。たとえば、Web アクセスを要求したユーザーのユーザー名や要求された Web オブジェクトの URL などです。
ログ記録は FileSystemLogging モジュールにより処理され、この設定を行うこともできます。
インスタント メッセージ認証の構成
インスタント メッセージ認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから IM 認証ルール セットをインポートします。
2
ルール セットのルールを確認し、必要に応じて修正します。
たとえば、次の変更を行います。
3
•
ユーザー データベースまたは認証サーバー方法の認証モジュールの設定を変更します。
•
インスタント メッセージの認証に関する情報をロギングするように、ロギング モジュールの設定を変更しま
す。
変更を保存します。
インスタント メッセージ認証の認証モジュールの構成
認証モジュールを構成し、インスタント メッセージ サービスのユーザーを認証する必要がある情報を取得する方法
を指定します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
認証モジュールを呼び出すルールを検索します。
ライブラリ ルール セットには、ユーザー データベースに対してクライアントを認証する および 証されていない
クライアントを認証サーバーにリダイレクトするがあります。
McAfee Web Gateway 7.5.0
製品ガイド
191
7
認証
インスタント メッセージング認証
5
ルール条件で、構成する設定の設定名をクリックします。
Authentication.uthenticate プロキシの隣にこの名前が表示されます。
ライブラリ ルール セットでは、これは IM 認証サーバーのユーザー データベースまたは認証サーバー IM 設定
です。
[設定の編集]ウィンドウが開きます。これは認証モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
169 ページの「認証設定」
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成
ファイル システム ログ記録モジュールを構成し、インスタント メッセージ認証に関連する情報をログ記録する方法
を指定できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
ファイル システム ログ記録モジュールを呼び出すルールを検索します。
ライブラリ ルール セットでは、これはルール認証ページの表示です。
5
ルール イベントで、モジュールの設定名をクリックします。
ライブラリ ルール セットでは、この名前は IM ログ記録です。
[設定の編集]ウィンドウが開きます。ファイル システム ログ記録モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
508 ページの「ファイル システム ログ設定」
IM 認証ルール セット
IM 認証ルール セットは、インスタント メッセージング認証のライブラリ ルール セットです。
ライブラリ ルール セット-IM 認証
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
192
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
インスタント メッセージング認証
以下のルール セットは、このルール セット内にネストされています。
•
IM 認証サーバー
•
IM プロキシ
IM 認証サーバー
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、ユーザー データベース方式を適用します。
ネストされたライブラリ ルール セット-IM 認証サーバー
条件– Authentication.IsServerRequest equals true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、インスタント メッセージング サービスのユーザーの認証がリクエストされた場合、ルー
ル セットが適用されると指定します。
このルール セットは、以下のルールを含みます。
ユーザー データベースに対してクライアントを認証する
Authentication.Authenticate<User Database at IM Authentication server> equals false–>
Authenticate<IM 認証>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー
ルの条件にあるプロパティに従う設定が、この認証のためのユーザー データベース方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
認証ページの表示
Always–> Redirect<Show IM Authenticated> —
Set User-Defined.logEntry =
“[”
+ DateTime.ToISOString
+ “]””
+ URL.GetParameter (“prot”)
+ ““auth””
+ Authentication.Username
+ ““ ””
+ URL.GetParameter (“scrn”)
+ “““
FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging>
このルールは、インスタント メッセージングのユーザーによってクライアントから認証サーバーに送信されたリク
エストをリダイレクトし、ユーザーにリダイレクトのことを通知するためにメッセージを表示します。
アクション設定が、IM 認証の表示のテンプレートがメッセージに使用されるように指定します。
McAfee Web Gateway 7.5.0
製品ガイド
193
7
認証
ワンタイム パスワード
このルールはイベントも使用し、認証リクエストのログ エントリーの値を設定します。ログ ファイルにこのエント
リーを書き込むのに 2 つめのイベントを使用します。このイベントのパラメーターがログ エントリーを指定しま
す。
イベントの設定はログ ファイル、およびそれが維持される方法を指定します。
IM プロキシ
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、認証サーバー方式を適用します。
ネストされたライブラリ ルール セット-IM プロキシ
条件-Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、ユーザーがインスタント メッセージング プロトコルの下での接続でチャット メッセージま
たはファイルを送信して、メッセージがアプライアンスからユーザーにすでに返信できる場合に適用されるルール セ
ットを指定します。
ルール セットには、以下のルールが含まれます。
認証されていないユーザーを認証サーバーにリダイレクトする
Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM 認
証>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルー
ルの条件にあるプロパティに従う設定が、この認証での認証サーバー方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
ワンタイム パスワード
Web Gateway では、ユーザー認証にワンタイム パスワード (OTP) を使用できます。クォータの期限切れで Web
セッションが終了した場合、許可オーバーラードのパスワードを使用できます。
ユーザーが Web アクセス要求を送信すると、Web Gateway で使用可能な他の認証方法で認証が実行されます。た
とえば、内部ユーザー データベースに保存された情報に基づいて認証が実行されます。
ワンタイム パスワードの使用を設定すると、2 番目の方法としてこの認証方法が実行されます。Web Gateway は、
Web アクセスにワンタイム パスワードが必要であることをユーザーに通知します。ユーザーがワンタイム パスワ
ードを要求すると、ユーザー名を McAfee One Time Password (McAfee OTP) サーバーに送信し、パスワードを
要求します。
®
要求が承認されると、McAfee OTP サーバーがワンタイム パスワードを戻します。ただし、このパスワードは Web
Gateway に公開されません。McAfee OTP サーバーは、応答のヘッダー フィールドにコンテキスト情報を追加しま
す。
このコンテキスト情報により、ユーザーに表示されるページのパスワード フィールドと送信ボタンが提供されます。
ユーザーは、このボタンをクリックしてワンタイム パスワードを送信し、要求した Web オブジェクトにアクセスで
きます。
194
McAfee Web Gateway 7.5.0
製品ガイド
認証
ワンタイム パスワード
7
Web Gateway でワンタイム パスワードの使用を実装するには、ルール セット ライブラリからルール セットをイ
ンポートします。ルール セットをインポートすると、デフォルトの値が設定されます。これらの設定は、ネットワー
クの要件に合わせて調整することができます。
たとえば、McAfee OTP サーバーの IP アドレスやホスト名、Web Gateway からの要求を待機するポートなどは設
定が必要です。
McAfee OTP サーバーでの認証に使用する Web Gateway のユーザー名とパスワードも必要です。
Web Gateway と McAfee OTP サーバー間の通信を SSL で保護する場合には、この通信で使用する証明書をインポ
ートする必要があります。
Web Gateway と連動して認証プロセスを処理するように McAfee OTP サーバーを設定する必要があります。
許可オーバーライドのワンタイム パスワード
ネットワーク内の Web 利用にクォータ制限が設定されている場合、ワンタイム パスワードを使用して、クォータ期
限で終了する Web セッションの期限を延長することができます。
許可オーバーライドでワンタイム パスワードの使用を実装するには、ライブラリから別のルール セットをインポー
トします。これにより、認証プロセスの設定を行うことができます。
McAfee Pledge デバイスのワンタイム パスワードの使用
®
McAfee Pledge デバイスが提供するワンタイム パスワードをユーザーの認証や許可オーバーライドに使用できま
す。
この方法を認証プロセスのワンタイム パスワードとして有効にするには、適切なルール セットをルール セットライ
ブラリからインポートして実装する必要があります。インポートを行うと、認証プロセスの設定が実装されます。
McAfee Pledge デバイスの使用方法については、この製品のマニュアルを参照してください。
ユーザー認証にワンタイム パスワードを設定する
ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。
タスク
1
ルール セット ライブラリから「認証サーバー (OTP による時間/IP ベースのセッション)」ルール セットをイ
ンポートします。
McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、
「認証サーバー (OTP と Pledge を使
用した時間/IP ベースのセッション)」をインポートします。
このルール セットは、認証 ルール セット グループにあります。
2
ワンタイム パスワードを設定します。
3
変更を保存します。
Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ
ュアルを参照してください。
McAfee Web Gateway 7.5.0
製品ガイド
195
7
認証
ワンタイム パスワード
許可オーバーライドにワンタイム パスワードを設定する
許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。
タスク
1
ルール セット ライブラリから「OTP を使用する許可オーバーライド」ルール セットをインポートします。
McAfee Pledge デバイスのワンタイム パスワードを使用する場合には、
「OTP と Pledge を使用する許可オー
バーライド」をインポートします。
このルール セットは、警告/クォータ ルール セット グループにあります。
2
ワンタイム パスワードを設定します。
3
変更を保存します。
Web Gateway で使用するように McAfee OTP サーバーを設定する方法については、McAfee OTP サーバーのマニ
ュアルを参照してください。
ワンタイム パスワードを設定する
ワンタイム パスワードを処理するルール セットをインポートすると、ワンタイム パスワードにデフォルトの値が設
定されます。ネットワーク要件に合わせて、この設定を変更します。
認証と許可オーバーライドで同じ設定のワンタイム パスワードを使用することはできません。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで、[認証] を展開します。
3
ユーザー認証に使用するワンタイム パスワードを設定するには、次の手順に従います。そうでない場合には、手
順 4 に進みます。
a
[OTP] をクリックします。
設定パネルに OTP の設定が表示されます。
b
[ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
c
[IP 認証サーバー] をクリックします。
設定パネルに IP 認証サーバーの設定が表示されます。
d
[IP 認証サーバー固有のパラメーター] セクションで設定を行います。必要であれば、他のセクションで共通
の認証設定を行います。
e
[認証サーバーのユーザー データベース] をクリックします。
認証サーバーにあるユーザー データベースの設定が設定パネルに表示されます。
f
[ユーザー データベース固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
手順 5 に進みます。
4
許可オーバーライドに使用するワンタイム パスワードを設定するには、次の手順に従います。
a
[OTP] をクリックします。
設定パネルに OTP の設定が表示されます。
196
McAfee Web Gateway 7.5.0
製品ガイド
認証
ワンタイム パスワード
b
5
7
[ワンタイム パスワード固有のパラメーター] セクションで設定を行います。必要であれば、他のセクション
で共通の認証設定を行います。
[変更を保存] をクリックします。
認証サーバー (OTP による時間/IP ベースのセッション) ルール セット
認証サーバー (OTP による時間/IP ベースのセッション) ルール セットは、ワンタイム パスワードによるユーザー認
証を有効にするライブラリ ルール セットです。
ライブラリ ルール セット - 認証サーバー (OTP による時間/IP ベースのセッション)
条件 - Always
サイクル - 要求 (IM)
このルール セットには、以下のルール セットがネストされています。
•
有効な認証セッションの確認
•
認証サーバー
有効な認証セッションの確認
このルールは、ユーザーが認証サーバーでまだ認証されていない場合に、クライアントから送信されたユーザーの要
求を認証サーバーにリダイレクトします。
ネストされたライブラリ ルール セット - 有効な認証セッションの確認
条件 - Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
サイクル - 要求 (IM)
通信プロトコルが指定された 4 つのいずれかに該当し、現在処理中の要求が認証サーバーとの接続を要求していない
場合、このルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
ホスト名の修正
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals
false –> Continue – Set URL.Host = SSL.Server.Certificate.CN
このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、
この変更が必要になります。この値は、この通信で使用される証明書の共通名になります。
このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名にワイルドカードの使用が許可されてい
ない場合に適用されます。
有効なセッションがないクライアントを認証サーバーにリダイレクトする
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name
does not equal "CONNECT" –> Authenticate<Default>
Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバーのユーザー デ
ータベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP アドレスが評価
されます。
McAfee Web Gateway 7.5.0
製品ガイド
197
7
認証
ワンタイム パスワード
Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。
いずれの条件も満たしていない場合、ユーザーは証明書の送信を要求されます。このアクションは、指定された設
定で実行されます。
理想的な条件でセッションを再度確認する
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、ユーザ
ーが要求を送信した後に再度認証を要求します。
この処理は、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。
このルールは、デフォルトでは有効になっていません。
認証サーバー
ユーザーが有効なワンタイム パスワードを送信したときに、Web アクセス要求を転送します。有効なワンタイム パ
スワードが入力されなかった場合、ユーザーに認証を要求します。
最初の認証では、認証サーバーにあるユーザー データベースの情報が使用されます。認証に成功すると、Web アク
セスにもワンタイム パスワードが必要であることが通知されます。このパスワードは、ユーザーの要求を処理すると
きに Web Gateway に送信されます。
ネストされたライブラリ ルール セット - 認証サーバー
条件 - Authentication.IsServerRequest equals true
サイクル - 要求 (IM)
このルール セットは、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に適用されま
す。
このルール セットには、以下のルールが含まれます。
有効な OTP が入力された場合にリダイレクトする
Authentication.Authenticate<OTP> equals true –> Redirect <Redirect Back from Authentication
Server>
Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信し
たユーザーが正常に認証されているかどうか確認します。
認証に成功すると、Web アクセスが許可され、認証サーバーから要求した Web オブジェクトにリダイレクトされ
ます。
無効な OTP が入力された場合に停止する
Authentication.Failed equals true –> Block<Authorized Only>
Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを送信したユーザ
ーが認証されていないかどうか確認します。
認証できない場合、要求がブロックされ、要求がブロックされたこととその理由が通知されます。
ユーザー データベースでユーザーを認証する
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
198
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
ワンタイム パスワード
Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを送信したユーザ
ーが認証サーバーのユーザー データベースで認証されているかどうかを確認します。
認証されていない場合、ユーザーに認証を要求します。
要求時に OTP を送信する
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
このルール セットの前のルールがすべて適用されなかった場合、Web アクセスを要求したユーザーは有効なワン
タイム パスワードを送信していませんが、認証サーバーのユーザー データベースで認証されています。
このルールが処理されると、Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情
報がヘッダーに存在するどうか確認します。
存在する場合、ユーザーにワンタイム パスワードを送信します。
クライアントに認証データを戻す
Header.Exists("Request.OTP") equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報がヘッダーに存在するかど
うか確認します。
存在する場合、要求をブロックし、ワンタイム パスワードの送信要求を行ったユーザーにメッセージを送信しま
す。
ワンタイム パスワードの認証プロセスに関するコンテキスト情報付きのヘッダーをブロック メッセージに追加し
ます。
最初のイベント パラメーターには、追加するヘッダー情報を指定します。2 つ目のパラメーターは、ワンタイム パ
スワード認証プロセスに関する情報を値として含むプロパティです。これが追加する情報のソースになります。
要求をブロックして OTP を提供する
Always –> Block<Authentication Server OTP>
このルール セットの前のルールがすべて適用されない場合、このルールのブロック アクションが常に実行されま
す。
このアクションでは、ルールの処理を停止します。要求は転送されません。
このアクションの設定に従って、ユーザーにメッセージが送信され、Web アクセスにワンタイム パスワードが必
要であることを通知し、Web Gateway から取得するように指示します。
「OTP を使用する許可オーバーライド」ルール セット
「OTP を使用する許可オーバーライド」ルール セットは、許可オーバーライドでワンタイム パスワードの使用を有
効にするライブラリ ルール セットです。
ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド
条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal
"CONNECT"
サイクル - 要求 (IM)
このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求
でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。
このルール セットには、以下のルール セットがネストされます。
•
OTP を検証する
•
OTP が必要か?
McAfee Web Gateway 7.5.0
製品ガイド
199
7
認証
ワンタイム パスワード
OTP を検証する
このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい
るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。
ネストされたライブラリ ルール セット — OTP を検証する
条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
サイクル - 要求 (IM)
このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき
にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP を検証する
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ
ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。
条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。
指定した設定でブロック アクションが実行されます。
セッションが検証された場合に元のページにリダイレクトする
Always –> Redirect<Default>
許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルー
ル セットの先行ルールは適用されず、このルールで処理が続行します。
このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。
指定した設定でリダイレクト アクションが実行されます。
OTP が必要か?
このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在
する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。
ネストされたライブラリ ルール セット — OTP が必要か?
条件 - URL.Host matches *mcafee.com*
サイクル - 要求 (IM)
このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在する場合に、ル
ール セットが適用されます。
このルール セットには、以下のルールが含まれます。
要求時に OTP を送信する
Header.Exists(Request.OTP) equals true –> Continue – Authentication.SendOTP<OTP>
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な
ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい
ます。
このルールが処理されます。このルールは、Header.Exists プロパティを使用して、ワンタイム パスワードの送
信要求を含む情報が要求のヘッダーに存在するかどうか確認します。
条件を満たす場合、ユーザーにワンタイム パスワードを送信します。
200
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
ワンタイム パスワード
クライアントに認証データを戻す
Header.Exists(Request.OTP) equals true –> Block<Authentication Server OTP> –
Header.Block.Add("OTP Context", Authentication.OTP.Context<OTP>)
Header.Exists プロパティを使用して、ワンタイム パスワードの送信要求を含む情報が要求のヘッダーに存在す
るかどうか確認します。
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、要求を送信したユーザーが有効な
ワンタイム パスワードを送信していません。ただし、認証サーバーのユーザー データベースでの認証に成功してい
ます。
条件を満たす場合、要求は転送されず、ユーザー認証に関する情報が特定のプロパティ値に設定されます。
指定した設定でブロック アクションが実行されます。ブロックの理由を通知するメッセージがユーザーに送信さ
れます。
イベントが提供する情報は、OTP.Context イベント パラメーターで指定します。この情報を設定するプロパティ
は第 2 パラメーターに指定します。
要求をブロックして OTP を提供する
Always –> Block<Authentication Server OTP>
要求の処理時に、このルール セットのどの先行ルールも適用されていない場合、このルールのアクションが常に実
行されます。
ルールの処理を停止します。要求は転送されません。このアクションの設定では、ワンタイム パスワードが Web
Gateway から取得できることを通知するメッセージがユーザーに送信されます。
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ル
ール セット
「認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)」ルール セットは、McAfee Pledge デバ
イスが提供するワンタイム パスワードを使用してユーザーを認証するライブラリ ルール セットです。
ライブラリ ルール セット - 認証サーバー (OTP と Pledge を使用した時間/IP ベースのセッション)
条件 - Always
サイクル - 要求 (IM)
このルール セットには、以下のルール セットがネストされます。
•
有効な認証セッションの確認
•
認証サーバー
有効な認証セッションの確認
このネストされたルールは、ユーザーが認証サーバーで認証されていない場合に、クライアントから送信された要求
を認証サーバーにリダイレクトします。
ネストされたライブラリ ルール セット - 有効な認証セッションの確認
条件 - Authentication.IsServerRequest equals false AND
(Connection.Protocol equals "HTTP" OR
Connection.Protocol equals "SSL" OR
Connection.Protocol equals "HTTPS" OR
Connection.Protocol equals "IFP")
サイクル - 要求 (IM)
McAfee Web Gateway 7.5.0
製品ガイド
201
7
認証
ワンタイム パスワード
通信プロトコルが指定された 4 つのいずれかに該当し、現在処理中の要求が認証サーバーとの接続を要求していない
場合、このルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
ホスト名を修正
Command.Name equals "CERTVERIFY" AND SSL.Server.Certificate.CN.HasWildcards equals
false –> Continue – Set URL.Host = SSL.Server.Certificate.CN
このルールでは、URL と一緒に送信されるホスト名を特定の値に設定します。SSL プロトコルで通信を行う場合、
この値が必要になります。この値は、この通信で使用される証明書の共通名になります。
このルールは、処理中の要求に CERTVERIFY コマンドが含まれ、共通名でのワイルドカードの使用が許可されて
いない場合に適用されます。
有効なセッションがないクライアントを認証サーバーにリダイレクトする
Authentication.Authenticate<IP Authentication Server> equals false AND Command.Name
does not equal "CONNECT" –> Authenticate<Default>
このルールは、Authentication.Authenticate プロパティを使用して、要求を送信したユーザーが認証サーバ
ーのユーザー データベースで認証されているかどうかを確認します。このため、要求を送信したクライアントの IP
アドレスが評価されます。
Command.Name プロパティを使用して、要求が SSL セキュア通信の接続要求かどうかを確認します。
いずれの条件も満たしていない場合、ユーザーに証明書の送信を要求します。このアクションは、指定した設定で
実行されます。
理想的な条件でセッションを再度確認する
Authentication.CacheRemainingTime less than 400 AND
Connection.Protocol equals "HTTP" AND
Command.Name equals "GET"
–> Authenticate<Default>
特定の条件 (理想的な条件) で、時間クォータが経過する前に現在の Web セッションを延長できるように、要求の
送信後に再認証をユーザーに要求します。
これは、HTTP プロトコルで GET コマンドを含む要求が送信された場合に実行されます。
このルールは、デフォルトでは有効になっていません。
認証サーバー
このルール セットは、ユーザーが McAfee Pledge デバイスから取得した有効なワンタイム パスワードを送信した
ときに、Web アクセス要求を転送します。
有効なワンタイム パスワードが入力されなかった場合、ユーザーに認証を要求します。 まず、認証サーバーにある
ユーザー データベースにある情報で認証が実行されます。
認証に成功すると、Web へのアクセス時に McAfee Pledge デバイスのワンタイム パスワードが必要になることが
ユーザーに通知されます。
ネストされたライブラリ ルール セット - 認証サーバー
条件 - Authentication.IsServerRequest equals true
サイクル - 要求 (IM)
このルール セットの条件では、要求を送信したユーザーが認証サーバーの情報で認証を受ける必要がある場合に、ル
ールセットが適用されます。
このルール セットには、以下のルールが含まれます。
202
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
ワンタイム パスワード
ユーザー データベースでユーザーを認証する
Authentication.Authenticate<User Database at Authentication Server> equals false –>
Authenticate<Default>
このルールは、Authentication.Authenticate プロパティを使用して、要求と無効なワンタイム パスワードを
送信したユーザーが認証サーバーのユーザー データベースで正しく認証されているかどうかを確認します。
条件を満たしていない場合、ユーザーに認証を要求します。
ブロック テンプレートを表示
URL.GetParameter(pledgeOTP) equals " " –> Block<Authentication.Server OTP with PledgeOTP>
このルールは、URL.GetParameter プロパティを使用して、McAfee Pledge デバイスから取得したワンタイ
ム パスワードが要求の URL パラメーターとして送信されているかどうかを確認します。
パラメーターが空の場合、要求がブロックされます。Web アクセスに McAfee Pledge デバイスのワンタイム パス
ワードで認証を行う必要があることを通知するメッセージがユーザーに送信されます。
OTP コンテキストを取得する
Always –> Continue – Authentication.SendOTP<OTP>
このルールでは、ワンタイム パスワード認証プロセスのコンテキスト情報を認証済みのユーザーに送信します。
McAfee OTP サーバーでワンタイム パスワードを検証するために、この情報が取得されます。
有効な OTP が入力された場合にリダイレクトする
Authentication.Authenticate<OTP> equals true –> Redirect<Redirect Back from Authentication
Server>
このルールは、Authentication.Authenticate プロパティを使用して、Web アクセス要求でワンタイム パス
ワードを送信したユーザーが正常に認証されているかどうか確認します。
条件を満たすと、Web アクセスが許可され、認証サーバーからリダイレクトされ、要求した Web オブジェクトに
移動します。
無効な OTP が入力された場合に停止する
Authentication.Failed equals true –> Block<Authorized Only>
このルールは、Authentication.Failed プロパティを使用して、Web アクセス要求でワンタイム パスワードを
送信したユーザーが認証されていないことを確認します。
条件を満たすと、要求がブロックされ、要求の処理状況と理由が通知されます。
「OTP と Pledge を使用する許可オーバーライド」ルール セット
「OTP と Pledge を使用する許可オーバーライド」ルール セットは、McAfee Pledge デバイスが提供するワンタイ
ム パスワードを使用して許可オーバーライドを行うライブラリ ルール セットです。
ライブラリ ルール セット -OTP と Pledge を使用する許可オーバーライド
条件 - SSL.ClientContext.IsApplied equals true OR Command.Name does not equal
"CONNECT"
サイクル - 要求 (IM)
このルール条件では、SSL セキュア通信が設定されている場合、または現在処理されている要求が CONNECT 要求
でない場合にルール セットが適用されます。CONNECT 要求は通常、通信の開始時に送信されます。
このルール セットには、以下のルール セットがネストされます。
•
OTP を検証する
•
OTP が必要か?
McAfee Web Gateway 7.5.0
製品ガイド
203
7
認証
ワンタイム パスワード
OTP を検証する
このネスト ルールは、許可オーバーライド要求でワンタイム パスワードを送信するユーザーが正しく認証されてい
るかどうかを確認します。条件が true の場合、要求された Web オブジェクトにリダイレクトします。
ネストされたライブラリ ルール セット — OTP を検証する
条件 - Quota.AuthorizedOverride.IsActivationRequest.Strict<Default> equals true
サイクル - 要求 (IM)
このルール条件では、クォータの期限切れによる Web セッション終了のオーバーライドをユーザーが要求したとき
にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP を検証する
Authentication.Authenticate<OTP> equals false –> Block<Authorized Only>
このルールでは、Authentication.Authenticated プロパティを使用して、許可オーバーライドの要求時にワ
ンタイム パスワードを送信したユーザーが正しく認証されているかどうかを確認します。
条件を満たしていない場合、要求をブロックし、要求の処理状況とその理由をユーザーに通知します。
指定した設定でブロック アクションが実行されます。
セッションが検証された場合に元のページにリダイレクトする
Always –> Redirect<Default>
許可オーバーライド要求時にワンタイム パスワードを送信したユーザーの認証に失敗していない場合、このルー
ル セットの先行ルールは適用されず、このルールで処理が続行します。
このルールでは、常に現在のセッションを継続し、要求された Web オブジェクトにリダイレクトします。
指定した設定でリダイレクト アクションが実行されます。
OTP が必要か?
このネストされたルール セットでは、要求された Web オブジェクトが McAfee の企業ドメイン内のホストに存在
する場合に、許可オーバーライドを要求したユーザーにワンタイム パスワードを提供します。
ネストされたライブラリ ルール セット — OTP が必要か?
条件 - URL.Host matches *mcafee.com* AND
Quota.AuthorizedOverride.SessionExceeded<Default> equals true
サイクル - 要求 (IM)
このルール セットの条件では、要求で送信された URL のホストが McAfee の企業ドメイン内に存在し、許可オーバ
ーライド後に継続可能な時間クォータを超えている場合にルール セットが適用されます。
このルール セットには、以下のルールが含まれます。
OTP コンテキストを取得する
Always –> Continue – Authentication.SendOTP<OTP>
このルールでは、認証ユーザーにワンタイム パスワードを送信します。
ユーザー認証に必要なコンテキスト情報は、McAfee OTP サーバーで検証されたワンタイム パスワードを使用して
取得します。
要求をブロックして OTP を提供する
Always –> Block<OTP Required with Pledge>
204
McAfee Web Gateway 7.5.0
製品ガイド
認証
クライアント証明書認証
7
Web アクセス要求をブロックします。
このアクションの設定では、McAfee Pledge デバイスから取得したワンタイム パスワードの送信後に Web アクセ
スが許可されることを通知するメッセージがユーザーに送信されます。
クライアント証明書認証
クライアント証明書の提出は、アプライアンスのユーザー インターフェースへのアクセス方法として構成できます。
この方法はクライアント証明書認証 または X.509 認証と呼ばれます。
クライアント証明書認証は、アプライアンスのプロキシ機能を構成するとき、認証手順の選択できる方法の 1 つで
す。
プロキシ構成に使用する場合、以下が方法に適用されます。
•
ユーザー名およびパスワードは、NTLM または LDAP など他の方法の場合と同じく、リクエストを送信するユー
ザーの認証に必要ありません。
•
方法はクライアントの Web ブラウザーから、明示的プロキシ モードで構成されたアプライアンスへ SSL セキュ
ア通信で送信するリクエストで実行可能です。
•
この通信で使用されるプロトコルは HTTPS です。
SSL ハンドシェイクがアプライアンスとクライアント間の通信の最初の手順の 1 つとして実行されるとき、クライ
アント証明書が送信されます。リクエストはそれから認証サーバーへリダイレクトされ、証明書を検証します。
有効な場合、クライアントとリクエストを最終的に適切な Web サーバーへ送信するため、認証が正常に完了します。
構成のノードとして複数のアプライアンスを実行するとき、リクエストがもともと実行されたノードの認証サーバー
が存在することが重要です。
また、正常な認証の後の Web への送信は、同じモードで完了する必要があります。
クライアント証明書認証の認証サーバーの使用は、ルールによって制御されています。認証サーバー ルール セット
をインポートし、ネストされたルール セットでルールを変更でき、適切な証明書の使用を有効にします。
また、方法を実行し、クライアント証明書認証を適用する必要があります。これを行うために推奨される方法は、
cookie 認証を使用することです。
この方法が実行される場合、認証はリクエストの送信元であるクライアントに必要ですが、cookie は証明書が提出
され 1 度有効であると認識された後、このクライアントに設定されます。証明書の送信は、そのクライアントからの
後続リクエストには必要ありません。
この方法で処理されたクライアント証明書認証を持つルール セットをインポートおよび変更できます。
クライアント証明書認証のための証明書の使用
クライアント証明書認証方法の下では認証を実行するさまざまなタイプの証明書が必要です。この認証は、SSL セキ
ュア通信で実施されます。
クライアント証明書
クライアント証明書は、アプライアンスへ要求を送信するクライアントの識別情報を認証するために必要です。
信頼されたクライアントが送信した要求だけが受け入れられます。要求と一緒に送信された証明書が信頼できるルー
ト CA (証明機関) によって署名されている場合に、クライアントが信頼されます。
クライアント証明書認証方式では、認証にクライアント証明書も使用されます。要求と共に送信された証明書が信頼
されている証明機関によって署名されている場合のみ、認証が正常に完了します。
McAfee Web Gateway 7.5.0
製品ガイド
205
7
認証
クライアント証明書認証
サーバー証明書
サーバー証明書は、SSL セキュア通信に含まれるサーバーの識別情報を認証するために必要です。
サーバーは通信の最初の段階で送信される証明書がクライアントによっても信頼されているルート CA (証明機関)
によって署名されている場合のみ、クライアントにより信頼されます。
クライアント証明書認証方式では、認証サーバーにサーバー証明書も使用されます。
ルート CA
ルート CA (証明書機関) は、その他の証明書に署名するインスタンスです。
SSL セキュア通信では、ルート CA は通信プロセスで表示できる証明書として表示されます。
ルート CA がクライアントまたはサーバーにより信頼される場合、それにより署名されている証明書も同様に信頼さ
れ、このことは、クライアントまたはサーバーが署名済みの証明書などを送信した場合に、それが信頼されることを
意味します。
クライアント証明書認証のためのルール セット
クライアント証明書認証を実装するためのルール セットは、ルール セット ライブラリで利用可能です。
認証サーバー(X509 認証の場合)ルール セット
認証サーバー(X509 認証の場合)ルール セットは、クライアント証明書認証方法の下で認証サーバーの使用を扱う
ために、ネストされたいくつかのルール セットを使用します。
•
•
SSL エンドポイント終了 — SSL セキュア通信でリクエストの扱いを準備します
•
受信 HTTPS 接続を受け付ける — 認証サーバーに送信できる証明書を示します
•
コンテンツ検査 — リクエストで送信されるコンテンツの検査を有効にします
認証サーバー リクエスト — 認証サーバーが正常に完了した後で、認証後にさらに処理をするアプライアンスで
プロキシにリクエストをリダイレクトして戻します
クッキーはリクエストが送信されたクライアントに対してセットされている場合、リクエストもまた、リダイレ
クトされます。
認証は認証サーバーで正常に完了できなかった場合、ユーザーはユーザー データベースで認証の認証情報を送信
するように指示されます。
•
その他すべてをブロック — 認証が正常に完了しなかったリクエストをブロックします
Cookie 認証(X509 認証の場合)ルール セット
Cookie 認証(X509 認証の場合)ルール セットは、クライアント証明書認証方法の使用を開始し、cookie の設定
を扱うためにいくつかのネストされたルール セットを使用します。
•
206
HTTP(S)プロキシで Cookie 認証 — cookie でクライアント証明書認証を扱うネストされたルール セットを
含みます
•
認証されたクライアントの Cookie を設定する — クライアントに対して一度認証が正常に完了した後で
cookie 認証を設定し、さらに処理するためのアプライアンスのプロキシにクライアントが戻すリクエストを
リダイレクトします
•
認証サーバーでのクライアントの認証 — cookie が認証サーバーにセットされていないクライアントから送
信されたリクエストをリダイレクトします
McAfee Web Gateway 7.5.0
製品ガイド
認証
クライアント証明書認証
7
認証サーバーへのリクエストのリダイレクト
クライアント認証の認証方法の下で、リクエストは送信されたクライアントの証明書を検証するための認証サーバー
にリダイレクトされます。リダイレクトはアプライアンスの特別なリスナー ポートまたは固有のホスト名を使用し
て行うことができます。
特別なリスナー ポートの使用
リクエストは、たとえばポート 444 などの特別なリスナー ポートを使用して認証サーバーにリダイレクトできます。
アプライアンスの IP アドレスが 192.168.122. 199 であることを想定すると、リクエストは以下により認証サー
バーにリダイレクトされます。
https://192.168.122.119:444/
しかし、プロキシを使用した例外がリクエストを送信するクライアントの Web ブラウザーに対して設定されている
かどうかを考えることが重要です。
•
プロキシ例外が設定されていません — プロキシ例外が設定されていない場合、すべてのリクエストはアプライア
ンスでリスンしているプロキシ ポートに送信されます。これは、デフォルトではポート 9090 です。
ポート 9090 が設定済みのプロキシ ポートの場合、https://192.168.122.119:444/ へのリクエストさえも
ポート 9090 に到着します。
ファイアウォールがネットワーク設定の一部である場合、クライアントからポート 444 への接続がない場合、フ
ァイアウォール ルールからの例外は必要アありません。
リクエストが確実に認証サーバー 444 にリダイレクトされるようにするか、この目的で使用する別の値にリダイ
レクトされるようにするためには、認証サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロ
パティに対して設定される必要があります。
URL.Port プロパティの値は、リクエストにより指定される URL に含まれるポートです。リクエストが実際にポ
ート 9090 に到着する場合でも、これは、たとえば 444 です。
•
設定済みのプロキシ例外 — プロキシ例外は種々の理由に対して構成できます。たとえば、Web ブラウザーはロ
ーカル ホストにアクセスするためのプロキシを使用しないように設定できました。
https://192.168.122.119:444/ へのリクエストは、ポート 9090 に到着しません。
ブラウザーは宛先に直接アクセスするように設定したため、ポート 444 のアプライアンスに接続を試みます。こ
のことは、ポート番号 444 でリスナー ポートをセットアップする必要があることを意味します。
ファイアウォール ルールが所定の位置にある場合、ポート 444 にリクエストが到着することを許可するために、
例外もまた必要です。
リクエストが適切なルールにより確実に処理されるためには、444、またはこの目的で使用する別の値は、認証
サーバー(X509 認証の場合)ルール セットの条件で URL.Port プロパティに対して設定される必要がありま
す。
Proxy.Port プロパティの値は、リクエストが実際に到着するポートです。たとえば、認証サーバーにリダイレク
トするリクエストを受け取るために、この番号をもつ@ポートをセットアップする場合、これは 444 になりま
す。
一意のホスト名の使用
一意のホスト名、たとえば authserver.local.mcafee を使用して認証サーバーにリクエストをリダイレクトするこ
とできます。この名前を使用して、リクエストは以下により認証サーバーにリダイレクトされます。
https://authserver.mcafee.local
McAfee Web Gateway 7.5.0
製品ガイド
207
7
認証
クライアント証明書認証
リクエストが送信されるクライアントは、DNS を使用してホスト名をルックアップしようとはしません。URL はほ
とんどの場合解決される可能性が低く、クライアントは接続できないからです。
リクエストが適切なルールにより確実に処理されるためには、このホスト名は認証サーバー(X509 認証の場合)ル
ール セットの条件で URL.Host プロパティの値として設定されなければなりません。
クライアント証明書の認証の実施
クライアント証明書認証方式は、認証に対するリクエストと共に送信されるクライアント証明書を使用します。アプ
ライアンスでこの方法を実装するためには、以下の高レベル手順を実行します。
タスク
1
認証サーバー(X509 認証の場合)ルール セットをインポートします。
2
ネストされたルール セットを変更して、適切な証明書の使用を構成します。
3
アプライアンスのプロキシ ポートを使用していない Web ブラウザーにより送信されたリクエストに対して、リ
スナー ポートを構成します。
4
クライアント証明書認証が適用される方法を構成します。
クライアント証明書認証が一度適用され、正常に完了した後で、認証のために Cookie を使用するために、Cookie
認証(X509 認証用)をインポートし、変更できます。
5
アプライアンスに対してリクエストを送信するために使用される Web ブラウザーで使用される
認証サーバー(X509 認証の場合)ルール セットのインポート
アプライアンスでクライアント証明書認証方式を実装するためには、この方法で認証を処理するルール セットがなけ
ればなりません。この目的のために、認証サーバー(X509 認証の場合)ルール セットをインポートできます。
ルール セット ツリーの最上部にルール セットを挿入することをお勧めします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[認証サーバー(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、[OK] をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
5
ルール セット条件を確認し、必要に応じて変更します。
インポートした後で、条件は以下のとおりです。
URL.Port equals 444 or Proxy.Port equals 444.
これにより、ルール セットはそのポートが受け取るすべてのリクエストに適用されるようになります。別のポー
トを使用する場合は、ここでポート番号を指定してください。
208
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
クライアント証明書認証
サーバー証明書の使用を設定するためのルール セットの変更
認証サーバー (X509 認証の場合) ルール セットは、適切なサーバー証明書が認証サーバーに送信されるようにする
ために変更する必要があります。ネストされたルール セットで変更が行われます。
別のホスト名と IP アドレスの下で認証サーバーに到達することができるため、アプライアンスが別のサーバー証明
書を毎回、送信できるようにし、ホスト名または IP アドレスが証明書の共通名と一致するようにすることになりま
す。
このためには、各ホスト名または IP アドレスに対してサーバー証明書をインポートして、それをサーバー証明書の
リストに追加する必要があります。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択し、[認証サーバー (X509 認証の場合)]を展開します。
2
このルール セット内にネストされた 「SSL Endpoint 終了」ルール セットを展開して、ネストされた「受信
HTTPS 接続を受け入れる」ルール セットを選択します。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[SSL コンテキストの定義]セクションで、サーバー証明書のリストを見直します。
5
リストにサーバー証明書を追加するには、次の手順に従います。
a
リストの上の[追加]アイコンをクリックします。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
[サーバー証明書のインポート]ウィンドウが開きます。
d
[参照]をクリックして、インポートする証明書を参照します。
e
このアクティビティを繰り返して、証明書と共にキーと証明書チェーンをインポートします。
f
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書情報が[証明書マッピングへのホストの追加]ウィンド
ウに表示されます。
6
(オプション) [コメント]フィールドに、サーバー証明書に関する平文コメントを入力します。
7
[OK]をクリックします。
ウィンドウが閉じて、リストにサーバー証明書が表示されます。
8
[SSL Scanner 機能はクライアント接続にのみ適用]チェックボックスが選択されていることを確認します。
これにより、アプライアンスはネットワークのその他のサーバーに照会せずに、クライアントからの要求を受け
付けるようになります。これは、この通信では必要とされていません。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
209
7
認証
クライアント証明書認証
証明機関の使用を設定するためのルール セットの変更
認証サーバー(X509 認証の場合)ルール セットは、適切なルート CA(証明書機関)が確実に設定されるように変
更する必要があります。ネストされたルール セットで変更が行われます。
クライアント証明書は、アプライアンスで維持されているリストからの証明書機関により署名された場合に信頼性が
あります。信頼されたクライアント証明書のインスタンスを署名するリストにすべての証明書機関をインポートする
必要があります。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[認証サーバー(X509 認証の場合)]を展開します。
2
ネストされた[SSL 認証サーバー リクエスト]ルール セットを展開します。
3
I[クライアント証明書をユーザーに問い合わせる]ルールで、[X509 認証]モジュール設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[クライアント証明書指定パラメーター]セクションで、証明書機関のリストを見直します。
5
証明書機関をリストに追加するには、
a
リストの上の[追加]アイコンをクリックします。
[証明機関の追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
ローカル ファイル システムにアクセスするウィンドウが開きます。
d
インポートする証明書権限ファイルを参照します。
e
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書が[証明機関の追加]ウィンドウに表示されます。
6
[信頼できる]チェックボックスが選択されていることを確認します。
7 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。
8
[OK]をクリックします。
ウィンドウが閉じて、リストに証明書機関が表示されます。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
アプライアンスのリクエストを受信するリスナー ポートの構成
アプライアンスへ送信されるリクエストは、プロキシ ポートまたは特別なリスナー ポートで受信できます。プロキ
シ ポートはデフォルトでポート 9090 です。
プロキシ ポートへの到着からリクエストを防ぐプロキシの例外が作成された場合、リスナー ポートを構成する必要
があります。
210
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
クライアント証明書認証
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、リスナー ポートを構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
プロキシ設定が設定パネルに表示されます。
3
[HTTP プロキシ] セクションまで下にスクロールします。
4
[HTTP プロキシを有効にする]が選択されていることを確認します。
5
[HTTP ポート定義リスト]のツールバーで、[追加]アイコンをクリックします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
6
以下のようにリスナー ポートを構成します。
a
[リスナー アドレス] フィールドで、0.0.0.0:444 を入力します。
リクエストの受信を待機している異なるポートを使用する場合、ここに入力します。
b
[SSL として扱われるポート] フィールドで、* を入力します。
c
その他すべてのチェックボックスが選択されていることを確認します。
7
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
8
[変更の保存]をクリックします。
9
アプライアンスを再起動して、リスナー ポートの構成が有効になっていることを確認します。
Cookie 認証(X509 認証の場合)ルール セットのインポート
クライアント証明書認証方式がアプライアンスで使用されるとき、Cookie 認証(X509 認証の場合)ルール セット
により、この方式の使用を開始できます。
認証を必要としない機能のルール セットの後、ただし、フィルタリング機能を処理するルール セットの前にこのル
ール セットを挿入することをお勧めします。
これにより、認証が失敗したためにリクエストがブロックされるときに、フィルタリング機能が実行されないように
なります。これにより、リソースが節約され、パフォーマンスが改善します。
ルール セット システムがデフォルト システムに類似している場合、SSL スキャナーとグローバル ホワイトリスト
ルール セットの後、ただし、コンテンツ フィルタリングと Gateway Antimalware ルール セットの前にこのルー
ル セットを挿入できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
211
7
認証
クライアント証明書認証
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[Cookie 認証(X509 認証の場合)]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、[OK] をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
受信要求のリスナー ポートを変更するためのルール セットの変更
ポート 444 の代わりに使用する受信要求のリスナー ポートを設定するための Cookie 認証 (X509 認証の場合) を
変更することができます。これは、デフォルト ポートです。ネストされたルール セットで変更が行われます。
プロキシ例外がアプライアンスのプロキシ ポートに要求が到着できないようにしている場合、特別なリスナー ポー
トが受信要求を受け取るために使用されなければなりません。ポート 444 またはこの目的に対して設定された別の
ポートで到着する要求が認証サーバーに転送されます。
タスク
1
[ポリシー] 、 [ルールセット]を選択し、[Cookie 認証 (X509 認証の場合)]を展開します。
2
ネストされた [HTTP(S) プロキシで Cookie 認証] ルール セットを展開します。このルール セット内で、ネスト
された [認証サーバーでクライアントを認証する] ルール セットを選択します。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[認証サーバー固有のパラメーター] セクションで、[認証サーバー URL] フィールドの URL を確認します。
URL はデフォルトで次のとおりです。
https://$<propertyInstance useMostRecentConfiguration="false" propertyId=
"com.scur.engine.system.proxy.ip"/>$:444
ルールが処理されると、$...$ の部分がアプライアンスの IP アドレスで置き換えられます。
5
別のリスナー ポートを設定するためには、ここにこのポートの番号を入力してください。
6
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
7
[変更の保存]をクリックします。
クライアント証明書のブラウザーへのインポート
適切なクライアント証明書は Web ブラウザーで使用でき、SSL で保護された通信でアプライアンスにリクエストと
共に送信される必要があります。
証明書のインポート手順は、ブラウザーにより異なり、変更される場合があります。ブラウザー メニューは、使用し
ているオペレーティング システムによって異なります。
以下は、クライアント証明書を Microsoft Internet Explorer と Mozilla Firefox にインポートするための 2 つの考
えられる手順です。
212
McAfee Web Gateway 7.5.0
製品ガイド
7
認証
クライアント証明書認証
タスク
•
213 ページの「クライアント証明書の Microsoft Internet Explorer へのインポート」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft
Internet Explorer で利用可能にできます。
•
214 ページの「クライアント証明書の Mozilla Firefox へのインポート」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla
Firefox で利用可能にできます。
クライアント証明書の Microsoft Internet Explorer へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft Internet
Explorer で利用可能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[インターネット オプション]を順にクリックします。
[インターネット オプション]ウィンドウが開きます。
2
[コンテンツ]タブをクリックします。
3
[証明書]セクションで、[証明書]をクリックします。
[証明書]ウィンドウが開きます。
4
[インポート]をクリックします。
[証明書のインポート ウィザード]が表示されます。
5
このウィザード ページで、次の手順に従ってください。
a
[証明書のインポート ウィザードの開始]ページで、[次へ]をクリックします。
b
[インポートする証明書ファイル]ページで、[参照]をクリックし、証明書ファイルを保存してある場所に移動
します。
c
[ファイル名] フィールドに「*.pfx」と入力し、[Enter] キーを押します。
d
証明書ファイルを選択し、[開く]をクリックし、[次へ]をクリックします。
e
[パスワード]ページで、[パスワード]フィールドにパスワードを入力します。[次へ] をクリックします。
f
[証明書ストア]ページで、[証明書をすべて次のストアに配置する]をクリックします。
g
同じページの[証明書ストア]セクションで、[個人用]を選択し、[次へ]をクリックします。
h
[証明書のインポート ウィザードの完了]ページで、[完了] をクリックします。
6
[OK]をクリックして表示されるメッセージを確認します。
7
[閉じる]をクリックしてから[OK]ををクリックして、[証明書]と[インターネット オプション]を閉じます。
McAfee Web Gateway 7.5.0
製品ガイド
213
7
認証
管理者アカウント
クライアント証明書の Mozilla Firefox へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla Firefox で利用可
能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[オプション]を順にクリックします。
[オプション]ウィンドウが開きます。
2
[詳細設定] をクリックして、[暗号化] をクリックします。
3
[暗号化] タブの[証明書] セクションで [証明書の表示] をクリックします。
[証明書マネージャー]ウィンドウが開きます。
4
[インポート]をクリックします。
ローカルのファイル マネージャーが開きます。
5
保存した証明書ファイルに移動し、[開く]をクリックします。
6
必要に応じて、パスワードを入力し、次に[OK]をクリックします。
管理者アカウント
管理者アカウントは、アプライアンスまたは外部サーバーでセットアップおよび管理することができます。ロールは
管理者の異なるアクセス権限で作成できます。
管理者アカウントの追加
初期セットアップの際にアプライアンス システムで作成されたアカウントに、管理者アカウントを追加できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[追加]をクリックします。
[管理者の追加]ウィンドウが開きます。
3
アカウントのユーザー名、パスワード、および他の設定を追加します。次に、[OK]をクリックします。
ウィンドウが閉じて、アカウント リストに新しいアカウントが表示されます。
4
[変更の保存]をクリックします。
関連トピック:
215 ページの「管理者アカウントの設定」
214
McAfee Web Gateway 7.5.0
製品ガイド
認証
管理者アカウント
7
管理者アカウントの編集
初期設定時にアプライアンス システムにより作成されるものを含め、管理者アカウントを編集できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[編集]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
[管理者の編集]ウィンドウが開きます。
3
必要に応じてアカウントの設定を編集します。次に、[OK]をクリックします。
ウィンドウを閉じると、アカウントがアカウント リストに変更が表示されます。
4
[変更の保存]をクリックします。
関連トピック:
215 ページの「管理者アカウントの設定」
管理者アカウントの削除
少なくとも 1 つでも残れば、管理者アカウントも削除することができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、アカウントを選択し、[削除]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
削除を確認するためのウィンドウが開きます。
3
[変更の保存]をクリックします。
管理者アカウントの設定
管理者アカウント設定は、管理者の認証情報とロールを構成するために使用されます。
管理者アカウントの設定
管理者アカウントの設定
表 7-19 管理者アカウントの設定
オプション
定義
[ユーザー名]
管理者のユーザーの名前を指定します。
[パスワード]
管理者パスワードを設定します。
[パスワードの繰り
返し]
パスワードを繰り返して確認します。
McAfee Web Gateway 7.5.0
2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ
ードを新しく設定]を選択する必要があります。
製品ガイド
215
7
認証
管理者アカウント
表 7-19 管理者アカウントの設定 (続き)
オプション
定義
[ロール]
管理者のロールを選択するためのリストを提供します。
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名を指定します。
この名前の構成はオプションです。
現在の設定でテスト
特定の認証情報を持つ管理者がアプライアンスで許可されるかどうかのテストの設定
表 7-20 現在の設定でテスト
オプション
定義
[ユーザー]
テストされるユーザー名を指定します。
[パスワード]
テストされるパスワードを指定します。
[テスト]
テストの実行。
テストの結果を表示するために、[認証テスト結果]ウィンドウが開きます。
管理者のロールの管理
管理者アカウントを構成するために、ロールを作成して、使用できます。
1 つの管理者ロールは初期設定時にアプライアンス システムによりすでに作成されています。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
管理者ロールを追加するには、以下の手順に従います。
a
[ロール]で、[追加]をクリックします。
[ロールの追加]ウィンドウが開きます。
b
[名前]フィールドで、ロール名を入力します。
c
ダッシュボード、ルール、リスト、および他の項目でのアクセス権限を構成します。
d
[OK]をクリックします。
ウィンドウが閉じて、管理者ロールのリストに新しいロールが表示されます。
3
[編集]および[削除]オプションをロールの編集と削除と同じように使用します。
4
[変更の保存]をクリックします。
新しく追加されたり、編集されるロールは、管理者アカウントに割り当てることができます。
関連トピック:
217 ページの「管理者のロールの設定」
216
McAfee Web Gateway 7.5.0
製品ガイド
認証
管理者アカウント
7
管理者のロールの設定
管理者のロールの設定は、管理者に割り当てられたロールの構成に使用されます。
管理者のロールの設定
管理者のロールの設定
表 7-21 管理者のロールの設定
オプション
定義
[ユーザー名]
管理者のユーザーの名前を指定します。
[パスワード]
管理者パスワードを設定します。
[パスワードの繰り
返し]
パスワードを繰り返して確認します。
[ロール]
管理者のロールを選択するためのリストを提供します、
2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ
ードを新しく設定]を選択する必要があります。
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名を指定します。
この名前の構成はオプションです。
外部アカウントの管理の構成
管理者アカウントを外部認証サーバーで管理し、外部的に保存されているユーザー グループおよび個々のユーザーを
アプライアンスのロールにマッピングすることができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[管理者アカウントは外部ディレクトリ サーバーで管理する]をクリックします。
追加の設定が表示されます。
3
[認証サーバーの詳細]で、外部サーバーの設定を構成します。
これらの設定は、アプライアンスの認証モジュールがサーバーから情報を取得する方法を決定します。
4
[認証グループ = ロール マッピング]の設定を使用して、外部サーバーに保存されているユーザー グループおよ
び個々のユーザーをアプライアンスのロールにマップします。
a
[追加]をクリックします。
[グループ/ユーザーのロール 名マッピングの追加] ウィンドウが開きます。
b
必要に応じてグループまたはユーザーと一致するフィールドの隣のチェックボックスを選択し、フィールド内
にグループまたはユーザーの名前を入力します。
c
[OK]をクリックします。
d
[マッピングされるロール]で、ロールを選択します。
McAfee Web Gateway 7.5.0
製品ガイド
217
7
認証
管理者アカウント
e
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいマッピングが表示されます。
f
[変更の保存]をクリックします。
同じ方法で[編集]および[削除]オプションを使用し、マッピングを編集および削除できます。
218
McAfee Web Gateway 7.5.0
製品ガイド
8
クォータの管理
クォータ管理は Web の使用状況をネットワークのユーザーに通知する手段です。このようにして、ネットワークの
リソースとパフォーマンスが過剰な影響を受けないようにすることができます。
クォータとその他の制限は次のいくつかの方法で開始されます。
•
時間クォータ — ユーザーが Web の使用に費やすことができる時間を制限します
•
ボリューム クォータ — ユーザーが Web の使用に費やすことができるボリュームを制限します
•
警告 — ユーザーが Web 使用料に費やすことができる時間を制限しますが、制限しないことにした場合、設定し
た時間制限を超えることができます
•
権限のあるオーバーライド — 警告と同じ方法で Web の使用にユーザーが費やすことができる時間を制限しま
す
しかし、時間制限は権限のあるユーザーのアクションによってのみ超えることができます。たとえば、教室の先
生などです。
•
ブロッキング セッション — Web オブジェクトのアクセスをユーザーが試みた後に指定の時間だけ Web への
アクセスをブロックします。その場合、アクセスは許可されません
クォータとその他の制限は手段を個別に、または組み合わせて課することができます。
目次
Web ページ上でクォータおよびその他の制限を課す
時間のクォータ
ボリュームのクォータ
警告
許可オーバーライド
セッションのブロック
クォータのシステム設定
McAfee Web Gateway 7.5.0
製品ガイド
219
8
クォータの管理
Web ページ上でクォータおよびその他の制限を課す
Web ページ上でクォータおよびその他の制限を課す
クォータ管理プロセスでネットワークのユーザーにクォータなどの制限を設定すると、Web の利用方法を制限し、
ネットワーク リソースの消費を抑えることができます。
クォータ管理プロセスでは、機能の異なる複数の要素が実行されます。
•
クォータ管理ルールがプロセスを制御します。
•
ルールがクォータ管理リストを使用して、ユーザーと特定の Web オブジェクト (URL、IP アドレスなど) に制限
を設定します。
•
ルールによって呼び出されたクォータ管理モジュールが時間とボリュームのクォータ、セッション時間、プロセ
スの制約事項を処理します。
初期セットアップ後、デフォルトでは、Web Gateway にクォータ管理プロセスは実装されません。このプロセスを
実装するには、ルール セット ライブラリから適切なルール セットをインポートし、組織の Web セキュリティ ポリ
シーの要件に従ってプロセスを変更します。
クォータ管理を設定する場合、次のルールを使用できます。
•
ルールのキー要素 - クォータ管理用のライブラリ ルール セットをインポートして、このセットをル
ール セット ツリーでクリックすると、クォータ管理プロセス ルールのキー要素を表示し、設定する
ことができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、クォータ管理プロセス
のルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルー
ルの削除を行うことができます。
変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
クォータ管理ルール
クォータとその他の制限の管理を制御するルールは、時間クォータまたはコーチング ルール セットなど、制限のタ
イプに応じて異なるルール セットに含まれています。
これらのルール セットのルールは、時間やボリュームに設定された制限を超えているかどうかをチェックし、最終的
にさらに Web アクセスが要求された場合にそれをブロックします。これらはまた、ユーザーが新しいセッションで
続行することにするときに、要求をリダイレクトします。
クォータ管理ルール セットはデフォルトのルール セット システムでは実装されませんが、ルール セット ライブラ
リからインポートできます。ライブラリ ルール セット名は時間のクォータ、ボリュームのクォータ。警告、許可オ
ーバーライド、セッションのブロックです。
ライブラリ ルール セットで実装されるルールを見直し、それらを変更または削除し、また固有のルールを作成する
こともできます。
クォータ管理リスト
クォータおよびその他の制限の管理のためのルール セットは、Web オブジェクトとユーザーのリストを使用して、
制限を適宜、課します。このリストには、ルール セットの条件が含まれます。
たとえば、リストは多くの URL を含み、時間のクォータ ルール セットはその条件にこのリストをもっています。
すると、このルール セットとその中のルールは、ユーザーがリスト上の URL のアクセスする場合のみ適用されま
す。IP アドレスまたはメディア タイプのリストも同じように使用できます。
このリストにエントリを追加したり、エントリを削除することが可能です。固有のリストも作成して、クォータ管理
ルール セットで使用することができます。
220
McAfee Web Gateway 7.5.0
製品ガイド
クォータの管理
Web ページ上でクォータおよびその他の制限を課す
8
クォータ管理モジュール
クォータ管理モジュール (またはエンジンと呼ばれる) は、クォータ管理プロセスの時間とボリュームのパラメータ
ーを扱い、使った時間またはボリュームと残りの時間またはボリューム、セッション時間、およびその他の値に関し
て調べるために、プロセスのルール チェックによりチェックされます。
それぞれのタイプの制限に対してモジュールがあります。たとえば、時間のクォータまたは警告モジュールです。
これらのモジュールを設定することにより、クォータ管理プロセスに適用する時間とボリュームを指定します。たと
えば、時間のクォータ モジュールを設定するときは、ユーザーは 1 日当たり何時間何分、特定の URL または IP ア
ドレスをもつ Web オブジェクトにアクセスできるかを指定します。
セッション時間
クォータ管理モジュールに対してできる設定の中に、セッション時間もあります。これは、ユーザーが 1 回のセッシ
ョンで Web の使用にかけられる時間です。
セッション時間は、時間のクォータ、ボリュームのクォータ、およびクォータ管理機能のその他のパラメーター0に
対して、個別に設定され、それぞれ異なる処理が行われます。
•
時間のクォータのセッション時間-時間のクォータを構成する場合、セッション時間を構成する必要があります。
ユーザーはセッション時間を経過するたびに、セッション時間として構成されている時間の量がユーザーの時間
のクォータから差し引かれます。
時間のクォータが使い切られていない限り、ユーザーは新しいセッションを開始できます。時間のクォータを超
過した場合、ユーザーが送信する要求はブロックされて、ブロック メッセージが表示されます。
•
ボリュームのクォータのセッション時間-ボリュームのクォータを構成する場合、セッション時間はユーザーの
ボリュームのクォータに影響しません。
それでも、Web アクセスに使用された時間の量をユーザーに通知するために、セッション時間を構成することは
できます。セッションの時間を経過する場合、構成されたボリュームが消費されていない限り、ユーザーは新し
いセッションを開始することができます。
セッション時間を 0 に設定すると、セッション時間は構成およびユーザーに通知されなくなります。
•
他のクォータ管理機能のセッション時間-セッション時間は警告、許可オーバーライド、およびセッションのブ
ロックを含む他のクォータ管理機能に対しても構成できます。それにより、警告、許可オーバーライド、または
セッションのブロックも利用できます。
警告および許可オーバーライドでセッション時間が経過した場合、ユーザーが送信する要求はブロックされます。
要求がブロックされた理由を説明するメッセージがユーザーに表示されます。時間のクォータも構成されていて
それが使い切られていない限り、ユーザーは新しいセッションを開始することができます。
セッションのブロックに対して設定されるセッション時間は、特定のユーザーにより送信された要求中にブロッ
クされる時間を示します。この時間が経過すると、時間のクォータが構成されていてそれが使い切られていない
限り、ユーザーからの要求は再び許可されるようになります。
クォータ管理機能の組み合わせ
特定のクォータ管理機能を使用して Web の使用を制限することは、他のクォータ管理機能の使用に影響を与えませ
ん。たとえば、時間のクォータとボリュームのクォータはアプライアンスで別々に実装されます。
しかし、これらの機能を意味のある方法に組み合わせることができます。
たとえば、いくつかの URL カテゴリーへのアクセスでは警告を指定すると同時に、他のカテゴリーでは許可オーバ
ーライドの認証情報を要求することができます。
さらに他のカテゴリーのグループで、アクセスを試行するユーザーを構成された期間ブロックすることができます。
McAfee Web Gateway 7.5.0
製品ガイド
221
8
クォータの管理
時間のクォータ
時間のクォータ
時間のクォータを構成することで、ネットワークのユーザーが Web の使用にかけられる時間を制限できます。
時間のクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー-時間のクォータが URL カテゴリーに関連する場合、ユーザーは特定のカテゴリー、たとえば、
オンライン ショッピングなどに該当する URL にアクセスするために制限された時間のみが許可されます。
•
IP アドレス-時間のクォータが IP アドレスに関連する場合、特定の IP アドレスからリクエストを送信するユ
ーザーは Web の使用のために制限された時間のみが許可されます。
•
ユーザー名-時間のクォータがユーザー名に関連する場合、ユーザーは Web の使用のために制限された時間のみ
が許可されます。アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
これらのパラメーターは、時間のクォータのためにあるライブラリ ルール セットのルールによって使用されます。
時間のクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web を使用している時間は、アプライアンスに保存されています。あるユーザーに対して構成されてい
る時間のクォータを超過した場合、このユーザーが送信するリクエストはブロックされます。ユーザーに対してリク
エストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
Web の使用は、1 日、1 週間、1 月あたりの時間に制限できます。
時間のクォータの構成
時間のクォータを構成し、Web の使用に費やすネットワークのユーザーの時間を制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、時間のクォータのルールを含むルール セット、たとえば、[時間のクォータ] ライブ
ラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされてるルール セットを選択します。
たとえば、URL カテゴリに関連する時間のクォータを構成するには、[URL 構成での時間のクォータ ]を選択し
ます。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、[時間のクォータの URL カテゴリ ブラックリスト]のリスト名を選択します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに URL カテゴリを追加します。次に、[OK] をクリックして、ウィンドウを閉じます。
6
1 つのルールの条件で、[URL カテゴリの構成]設定名をクリックします。
[設定の編集]ウィンドウが開きます。
222
McAfee Web Gateway 7.5.0
製品ガイド
8
クォータの管理
時間のクォータ
7
セッション時間と、1 日、1 週間、および 1 月あたりの時間のクォータを構成します。次に、[OK] をクリック
して、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
時間のクォータの設定
時間のクォータ設定は、時間のクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
時間のクォータの設定
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
表 8-1 1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
の時間のクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
... の時間(時間と分数) . .
選択された時間単位またはセッション時間に適用する時間のクォータを構成するための設定
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、1週間当たりの時間クォータを選択している場合、見出しは1週間当たりの時間クォータの時間と分と表
示されます。
表 8-2 ... の時間(時間と分数) . .
オプション 定義
[時間]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される時間数を設定します。
[分]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される分数を設定します。
実際の構成された時間のクォータ
構成された時間のクォータの表示
表 8-3 実際の構成された時間のクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり)の時間の 許容される 1 日、1 週間、または 1 月あたりの時間を示し
クォータ]
ます。
[セッション時間]
許容されるセッション時間を示します。
時間のクォータ ルール セット
j 時間のクォータ ルール セットは、Web 使用量に時間のクォータを課するライブラリ ルール セットです。
ライブラリ ルール セット-時間のクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
McAfee Web Gateway 7.5.0
製品ガイド
223
8
クォータの管理
時間のクォータ
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成での時間のクォータ
•
IP 構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
URL 構成での時間のクォータ
このネストされたルール セットは、URL カテゴリーに関連する時間のクォータを処理します。
ネストされたライブラリ ルール セット-URL 構成での時間クォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリーに関連する時間クォータのブロックリストにカテゴリーが分類
される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session
Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間セッションを超過したか確認する
Quota.Time.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeSessionBlocked>
このルールは Quota.Time.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間を
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間のクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeQuotaBlocked>
このルールは Quota.Time.Exceeded プロパティを使用し、ユーザーが構成された時間のクォータを超過した
かどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックされます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
224
McAfee Web Gateway 7.5.0
製品ガイド
クォータの管理
ボリュームのクォータ
8
IP 構成での時間のクォータ
このネストされたルール セットは、IP アドレスに関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット-IP 構成での時間クォータ
条件-Client.IP is in list 時間のクォータの IP ブラックリストのリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーーが IP アドレスに関連する時間クォータのブロックリストにある IP アドレスで、ク
ライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
[IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での
時間のクォータルール セットと同じです。
認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、ユーザー名に関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット-認証済みユーザーの構成での時間クォータ
条件-Authenticated.RawUserName is in list 時間のクォータのユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザー名に関連した時間クォータのブロックリストにユーザー名があるユーザーによりリ
クエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成での時間のクォータルール セットと同じです。
ボリュームのクォータ
ボリュームのクォータを構成することで、ネットワークのユーザーが Web からダウンロードできる Web オブジェ
クトのボリューム(GB および MB で測定)を制限できます。
ボリュームのクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー-ユーザーには、特定のカテゴリー、たとえば、ストリーミング メディアなどに該当する URL
を使用する場合は、制限されたボリュームのみ、Web オブジェクトのダウンロードが許可されています。
•
IP アドレス-特定の IP アドレスからダウンロードのリクエストを送信するユーザーには、制限されたボリュー
ムのみが許可されています。
•
ユーザー名-ユーザーはある制限されたボリュームまで Web オブジェクトのダウンロードが許可されています。
アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
•
メディア タイプ-ユーザーはある制限されたボリュームまで特定のメディア タイプに属する Web オブジェク
トのダウンロードが許可されています。
これらのパラメーターは、ボリュームのクォータのためにあるライブラリ ルール セットのルールによって使用され
ます。ボリュームのクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web からダウンロードするボリュームについての情報は、アプライアンスに保存されます。あるユーザ
ーに対して構成されているボリュームのクォータを超過した場合、このユーザーが送信するリクエストはブロックさ
れます。ユーザーに対してリクエストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
McAfee Web Gateway 7.5.0
製品ガイド
225
8
クォータの管理
ボリュームのクォータ
Web のダウンロードは、1 日、1 週間、1 月あたりにダウンロードされるボリュームに制限できます。
ボリュームのクォータの構成
ボリュームのクォータを構成し、Web の使用中に消費するネットワークのユーザーのボリュームを制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、ボリュームのクォータのルールを含むルール セット、たとえば、[ボリュームのクォ
ータ] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成でのボリュームのクォータ]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[ボリュームのクォータの IP ブロックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
適切なパラメーター、たとえば、セッション時間と、1 日あたり、1 週間あたり、および 1 月あたりのボリュー
ムのクォータなどを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
ボリューム クォータの設定
ボリュームのクォータ設定は、ボリュームのクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
ボリュームのクォータの設定
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
表 8-4 1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり) これが選択されていると、次のセクションで構成されるクォータが選
択した時間単位に適用されます。
のボリュームのクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
... のボリューム . .
選択された時間単位またはセッション時間に適用するボリュームのクォータを構成するための設定
226
McAfee Web Gateway 7.5.0
製品ガイド
クォータの管理
ボリュームのクォータ
8
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、1週間当たりのボリュームのクォータを選択している場合、見出しは1週間当たりのボリュームのクォー
タの時間と分と表示されます。
たとえば、セッション時間を選択している場合、見出しは時間と分と表示されます。
表 8-5 ... のボリューム . .
オプション
定義
[GiB]
ボリュームに許可される GiB の数を指定します。
[MIB]
ボリュームに許可される MiB の数を指定します。
実際の構成されたボリュームのクォータ
構成されたボリュームのクォータを表示する
表 8-6 実際の構成されたボリュームのクォータ
オプション
定義
[1 日あたり(1 週間あたり、1 月あたり)のボリュ
ームのクォータ]
許容される 1 日、1 週間、または 1 月あたりのボリューム
を示します。
[セッション時間]
許容されるセッション時間を示します。
ボリュームのクォータ ルール セット
ボリューム クォータ ルール セットは、Web 使用量にボリューム クォータを課するライブラリ ルール セットです。
ライブラリ ルール セット-ボリュームのクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア 通信に加え、CONNECT コマンドが最初に使用され
ていない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
• URL 構成での時間のクォータ
• IP 構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
• 認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
ライブラリ ルール セット-ボリュームのクォータ
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
McAfee Web Gateway 7.5.0
製品ガイド
227
8
クォータの管理
ボリュームのクォータ
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成でのボリュームのクォータ
•
IP 構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
•
メディア タイプの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
URL 構成でのボリュームのクォータ
このネストされたルール セットは、URL カテゴリーに関連するボリュームのクォータを処理します。
ネストされたライブラリ ルール セット-URL 構成でのボリュームのクォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume
Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリーに関連するボリュームのクォータのブロックリストにカテゴリ
ーが分類される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –>
Redirect<Redirection After Volume Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリューム セッションを超過したか確認する
Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間
を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロック
されます。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリュームのクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.Exceeded プロパティを使用し、ユーザーが構成されたボリュームのクォータを
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
228
McAfee Web Gateway 7.5.0
製品ガイド
クォータの管理
ボリュームのクォータ
8
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成でのボリュームのクォータ
このネストされたルール セットは、IP アドレスに関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-IP 構成でのボリュームのクォータ
条件-Client.IP is in list ボリュームのクォータの IP ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーーが IP アドレスに関連するボリュームのクォータのブロックリストにある IP アドレ
スで、クライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
[IP 構成]であるルール条件に表示されるモジュール セットを除き、URL 構成での
ボリュームのクォータルール セットと同じです。
認証済みユーザーの構成でのボリュームのクォータ
このネストされたルール セットは、ユーザー名に関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-認証済みユーザーの構成でのボリュームのクォータ
条件-Authenticated.RawUserName is in list ボリュームのクォータのユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザー名に関連したボリュームのクォータのブロックリストにユーザー名があるユーザー
によりリクエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成でのボリュームのクォータルール セットと同じです。
メディア タイプの構成でのボリュームのクォータ
このネストされたルール セットは、メディア タイプに関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット-メディア タイプの構成でのボリュームのクォータ
条件 – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume
Quota
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがボリュームのクォータ管理のために特別に維持されているブロック リストにあ
るメディア タイプに属する Web オブジェクト リクエストを送信するときに、ルール セットが適用されることを指
定しています。
このルール セットのルールは、[メディア タイプ構成]であるルール条件に表示されるモジュール セットを除き、
URL 構成でのボリュームのクォータルール セットと同じです。
McAfee Web Gateway 7.5.0
製品ガイド
229
8
クォータの管理
警告
警告
警告クォータを構成することおで、ネットワークのユーザーが Web を使用する時間を制限できますが、続行を選択
する場合は許可されます。
ユーザーの Web の使用について警告を出すには、特定期間の警告セッションを構成します。ユーザーのこのセッシ
ョン時間が経過すると、ブロック メッセージが表示されます。すると、ユーザーは新しいセッションの開始を選択で
きます。
URL カテゴリ、IP アドレス、およびユーザー名などの警告ライブラリ ルール セットで使用されているパラメーター
に関連する警告を構成することができます。他のパラメーターを使用して独自のルールを作成することもできます。
警告の構成
警告を構成してネットワークのユーザーに対して Web の使用を制限できますが、構成された時間制限を過ぎた後に
Web の使用を選択したときに続行を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、警告のルールを含むルール セット、たとえば、[警告] ライブラリ ルール セットを拡
張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成での警告]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[警告の IP ブラックリスト]をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
警告設定
警告設定は、警告を処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
警告セッションの期間を構成するための設定
230
McAfee Web Gateway 7.5.0
製品ガイド
8
クォータの管理
警告
表 8-7 セッション時間の時間と分数
オプション
定義
[日]
警告セッションの日数を設定します。
[時間]
警告セッションの時間数を設定します。
[分]
警告セッションの分数を設定します。
警告ルール セット
警告ルール セットは、実行を選択した場合ユーザーが送信できる Web の使用状況に制限が課せられるライブラリ
ルール セットです。
ライブラリ ルール セット-警告
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で警告
•
IP 構成で警告
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で警告
このルール セットは、初期状態では有効になっていません。
URL 構成で警告
このネストされたルール セットは、URL カテゴリに関連する警告を処理します。
ネストされたライブラリ ルール セット-URL 構成で警告
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連する警告のブロック リストに該当するカテゴリにある
URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
新しい警告セッション開始後にリダイレクト
Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching
Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
警告セッションを超過したか確認する
Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionCoachingSessionBlocked>
McAfee Web Gateway 7.5.0
製品ガイド
231
8
クォータの管理
許可オーバーライド
このルールは Quota.Coaching.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時
間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロッ
クされます。
プロパティとともに指定される[URL カテゴリの構成]設定は、警告を処理するためのモジュールの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成での警告クォータ
このネストされたルール セットは、IP アドレスに関連する警告を処理します。
ネストされたライブラリ ルール セット-IP 構成で警告
条件-Client.IP is in list 警告の IP ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが警告のために IP アドレスに関連するブロック リストにある IP アドレスを有す
るクライアントからリクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される IP 構成を除き、URL 構成での警告ルー
ル セットと同じです。
認証済みユーザーの構成で警告
このネストされたルール セットは、ユーザー名に関連する警告を処理します。
ネストされたライブラリ ルール セット-認証済みユーザーの構成で警告
条件-Authenticated.RawUserName is in list 警告のユーザー ブラックリスト
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがユーザー名に関連する警告のためにブロック リストにユーザー名がリストされ
ているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される 認証されたユーザー構成を除き、URL 構
成での警告ルール セットと同じです。
許可オーバーライド
許可オーバーライドを許可するセッションでは、セッション時間を構成できます。
このセッション時間が経過すると、ユーザー リクエストはブロックされ、ブロック メッセージが表示されます。こ
のメッセージでは、新しいセッションを開始するためにユーザー名とパスワードの提出も求められます。
これらの認証情報は、許可されているユーザーのものである必要があります。たとえば、教室の状況で、許可オーバ
ーライド セッションの終了後にブロックされるユーザーは生徒であり、許可されたユーザーは教師だということはあ
り得ます。
ユーザーの認証は、構成された認証方法に従って実行されます。しかし、この方法を構成するとき、統合認証モード
を含むことはできません。
ブロック メッセージは、ブロックされたユーザーの許可オーバーライド セッションの期間を指定するオプションも
提供しています。
このユーザーのために構成される期間は、許可オーバーライドのモジュール設定の一部として、すべての他のユーザ
ーのために構成されている期間を超えない必要があります。
232
McAfee Web Gateway 7.5.0
製品ガイド
8
クォータの管理
許可オーバーライド
URL カテゴリ、IP アドレス、およびユーザー名などのライブラリ ルール セットで使用されているパラメーターに関
連する許可オーバーライドを構成することができます。他のパラメーターを使用して独自のルールを作成することも
できます。
許可オーバーライドの構成
許可オーバーライドを構成し、ユーザーの Web 使用を制限できますが、許可ユーザーのアクションを通過する構成
された時間制限を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、許可オーバーライドのルールを含むルール セット、たとえば、[許可オーバーライ
ド] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成での許可オーバーライド]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[許可オーバーライドの IP ブラックリスト]をク
リックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
許可オーバーライド設定
許可オーバーライド設定は、許可オーバーライドを処理するモジュールを構成するために使用されます。
最大セッション時間の時間と分数
許可オオーバーライドにおけるセッションの最大時間の長さを構成する設定
表 8-8 最大セッション時間の時間と分数
オプション
定義
[日]
許可オーバーライド セッションの日数を設定します。
[時間]
許可オーバーライド セッションの時間を設定します。
[分]
許可オーバーライド セッションの分数を設定します。
McAfee Web Gateway 7.5.0
製品ガイド
233
8
クォータの管理
許可オーバーライド
許可オーバーライド ルール セット
許可オーバーライド ルール セットは、許可ユーザーのアクションを通して通すことができる、Web の使用状況に時
間制限を課するライブラリ ルール セットです。
ライブラリ ルール セット-許可オーバーライド
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で許可オーバーライド
•
IP 構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
URL 構成で許可オーバーライド
このネストされたルール セットは、URL カテゴリに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-URL 構成で許可オーバーライド
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized
Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連する許可オーバーライドのブロック リストに該当するカテ
ゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
許可オーバーライドの認証の後にリダイレクトする
Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true
AND Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After
Authorized Session Activation>
このルールは、セッション時間を超過した後に、ユーザーに再び Web オブジェクトと、新しいセッションが検証
された状態で続行するためにユーザーが提出した認証情報にアクセスできるように、リクエストをリダイレクトし
ます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
許可オーバーライド セッションを超過したか確認する
Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –>
Block<Action Authorized Override Blocked>
このルールは Quota.AuthorizedOverride.SessionExceeded プロパティを使用し、ユーザーが構成された
セッション時間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエ
ストはブロックされます。
プロパティとともに指定される[URL カテゴリの構成]設定は、許可オーバーライドを処理するためのモジュール
の設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
234
McAfee Web Gateway 7.5.0
製品ガイド
クォータの管理
セッションのブロック
8
IP 構成で許可オーバーライド
このネストされたルール セットは、IP アドレスに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-IP 構成で許可オーバーライド
条件-Client.IP is in list IP Blocklist for Authorized Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが許可オーバーライドのために IP アドレスに関連するブロック リストにある IP
アドレスを有するクライアントからリクエストを送信するときに、ルール セットが適用されることを指定していま
す。
このルール セットのルールは、ルール条件のモジュール設定の IP 構成を除き、URL 構成で許可オーバーライド ル
ール セットと同じです。
認証済みユーザーの構成で許可オーバーライド
このネストされたルール セットは、ユーザー名に関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット-認証済みユーザーの構成で許可オーバーライド
条件-Authenticated.RawUserName is in list User Blocklist for Authorized Override
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーがユーザー名に関連する認可オーバーライドのためにブロック リストにユーザー
名がリストされているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定の 認証済みユーザーの構成を除き、URL 構成で許可オ
ーバーライド ルール セットと同じです。
セッションのブロック
セッションのブロックを構成することで、構成された期間にユーザーによって送信されたリクエストをブロックでき
ます。
許可されていないカテゴリに分類した URL のリクエストなど、ユーザーが構成ルールに従ってブロックするリクエ
ストを送信した後、セッションのブロックが課せられます。
これは Web オブジェクトへの不要なアクセスをより厳格に処理する Web セキュリティ ポリシーを施行する方法
の 1 つです。
ライブラリ ルール セットに使用されているパラメーターに関連するセッションのブロックを構成できます。他のパ
ラメーターを使用して独自のルールを作成することもできます。
ブロック セクションの構成
許可されていない Web オブジェクトにアクセスを試みた後、ブロック セクションを構成し、構成された期間にわた
ってユーザーのセッションをブロックできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、セッションのブロックのルールを含むルール セット、たとえば、[セッションのブロ
ック] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
235
8
クォータの管理
セッションのブロック
3
適切なネストされたルール セット、たとえば、[IP 構成でのセッションのブロック]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[セッションのブロックの IP ブラックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集(カテゴリ)]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッションのブロック期間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを
閉じます。
8
[変更の保存]をクリックします。
ブロック セッションの設定
ブロック セッション設定は、ブロック セッションを処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
セッションのブロックの期間を構成するための設定
表 8-9 セッション時間の時間と分数
オプション
定義
[日]
セッションのブロックの日数を設定します。
[時間]
セッションのブロックの時間数を設定します。
[分]
セッションのブロックの分数を設定します。
セッションのブロック ルール セット
セッションのブロック ルール セットは、許可されていない Web オブジェクトへのアクセスを試みた後、Web セッ
ションのブロックのライブラリ ルール セットです。
ライブラリ ルール セット-セッションのブロック
条件-SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests(and IM)
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セットでネストされています。URL 構成でセッションのブロック
URL 構成でセッションのブロック
このネストされたルール セットは、URL カテゴリに関連するセッションのブロックを処理します。
236
McAfee Web Gateway 7.5.0
製品ガイド
クォータの管理
クォータのシステム設定
8
ネストされたライブラリ ルール セット-URL 構成でセッションのブロック
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking
Sessions
サイクル - Requests(and IM)
ルール セットの条件は、ユーザーが URL カテゴリに関連するセッションのブロックのブロック リストに該当するカ
テゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
セッションのブロックがアクティブな場合、ユーザーをブロックする
BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking
Session Template>
このルールは、BlockingSession.IsBlocked プロパティを使用して、リクエストを送信するユーザーに対して
セッションのブロックがアクティブにされているかどうか確認します。アクティブな場合は、リクエストがブロッ
クされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
カテゴリがセッションのブロックのカテゴリ リストにある場合、セッションのブロックをアクティブにする
URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue
— BlockingSession.Activate<Blocking Session Configuration>
このルールは、URL.Categories プロパティを使用して、ユーザーがアクセスをリクエストする URL が、セッシ
ョンのブロック用に特別に維持されているブラックリストのカテゴリに該当するかどうかを確認します。リストに
あるカテゴリに該当する場合、セッションのブロックはそのユーザーに対してアクティブにされます。
BlockingSession.Activate イベントは、セッションのブロックをアクティブにするために使用されます。イベ
ント設定は、イベントで指定されます。
クォータのシステム設定
クォータのシステム設定は、クォータ管理に関連する時間間隔の一般的な設定です。
アプライアンスが一元管理構成のノードの場合、その他ノードとのデータ同期の時間間隔も設定できます。
これらの設定は、[構成]トップレベル メニューの[アプライアンス]タブで構成されます。
[警告]の名前(クォータではなく)で表示されることもありますが、クォータ管理に提供されるすべてのオプション
にどちらの場合も適用されます。
(許可オーバーライド、セッションのブロック、警告、時間のクォータ、ボリューム
のクォータ)。
同期と保存のクォータの間隔(分)
クォータ管理に関連する時間間隔の設定
表 8-10 同期と保存のクォータの間隔(分)
オプション
定義
[保存間隔]
現在のクォータの値がアプライアンスに保存される前に経過する時間(分)を指定値に制限します。
保存されるクォータ値は、たとえば、ユーザーによって消費されたバイト数です。
[更新されたク 一元管理の構成において、現在のクォータの値がアプライアンスからすべてのノードに分配される
ォータのデー 前に経過する時間(分)を指定値に制限します。
タを送信する
分配されるデータには、最後にアプライアンスからデータが分配された後に発生したクォータの値
間隔]
への変更が含まれます。
McAfee Web Gateway 7.5.0
製品ガイド
237
8
クォータの管理
クォータのシステム設定
表 8-10 同期と保存のクォータの間隔(分) (続き)
オプション
定義
[基本同期の間 一元管理の構成において、クォータの値がすべてのノードで同期される前に経過する時間(分)を
隔]
指定値に制限します。
この同期は、すべてのアプライアンスにある現在のクォータ値のスナップショットをとります。個
々のユーザーにとって最新である値は、すべてのアプライアンスに分配されます。
値は、一時的に非アクティブであって、その間に更新を受信しなかったノードにも分配されます。
さらに、値は構成に新しく追加されたノードに分配されるため、以前の更新は受信されません。
[~ 後にデー クォータのデータベースでデータが削除されるまでの最小時間(日数)を指定値に制限します。
タベースをク
リーンアップ] データが削除される前に、データが無効であるかどうかの確認が実行されます。クォータ管理機能
のために構成された時間間隔が経過した場合、データは無効です。
たとえば、特定のバイトの量が 1 か月の間に消費されるボリュームのクォータとして構成されてい
る場合、次の月が始まると、ユーザーが実際に消費した量は無効になります。すると、[~ 後にデ
ータベースをクリーンアップ]オプションで構成されている時間も経過している場合、クリーンアッ
プはこのデータを削除します。
時間のクォータの場合、保存されているデータは 1 月で無効になります。他のクォータ管理機能で
は、他の時間間隔もクリーンアップに関連しています。たとえば、警告と許可オーバーライドでは、
許容されているセッション時間が経過する前はクリーンアップを実行することできません。
238
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ネットワーク上のユーザーが Web アクセス要求を送信すると、Web Gateway はこれらの要求をフィルタリングし
ます。また、Web から戻される応答もフィルタリングします。要求や応答に埋め込まれたオブジェクトもフィルタ
リングします。
Web フィルタリングは、様々な方法で実行されます。フィルタリングを制御するルールは、組織の Web セキュリテ
ィ ポリシーの要件に合わせて変更し、適用することができます。
Web Gateway では、次のデフォルト フィルタリングが用意されています。
•
ウイルスとマルウェアのフィルタリング - ウイルスまたは他のマルウェアに感染している Web オブジェクト
へのアクセスをブロックします。
•
URL フィルタリング - 特定の URL にある Web オブジェクトへのアクセスをブロックまたはブロックします。
•
メディア タイプ フィルタリング - 特定のメディア タイプの Web オブジェクトへのアクセスをブロックまた
は許可します。
グローバル ホワイトリストを使用すると、上記のフィルタリング ルールが適用される前に Web オブジェクトへの
アクセスを許可することができます。SSL スキャンを使用すると、SSL セキュア通信で送信された要求をフィルタ
リングできます。
目次
ウイルスおよびマルウェアのフィルタリング
URL フィルタリング
メディア タイプ フィルタリング
アプリケーション フィルタリング
ストリーミング メディア フィルタリング
グローバル ホワイトリスト登録
SSL スキャン
ハードウェア セキュリティ モジュール
Advanced Threat Defense
Data Loss Prevention
McAfee Web Gateway 7.5.0
製品ガイド
239
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
ウイルスおよびマルウェアのフィルタリング
ウイルスとマルウェアのフィルタリングにより、ウイルスなどのマルウェアに感染した Web オブジェクトへのアク
セスを防ぐことができます。フィルタリング プロセスで感染を検出すると、アクセスをブロックします。
このプロセスでは、機能の異なる複数の要素が実行されます。
•
フィルタリング ルールがプロセスを制御します。
•
ルールは、ホワイトリストを使用して、ウイルスとマルウェアのフィルタリングで処理しない Web オブジェクト
を識別します。
•
特定のルールによって呼び出されたマルウェア対策モジュールが Web オブジェクトをスキャンし、ウイルスなど
のマルウェア感染を検出します。
初期セットアップ後、Web Gateway にはウイルスとマルウェア フィルタリングのデフォルト プロセスが実装され
ています。このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。
ウイルスとマルウェアのフィルタリングを設定するときに、次のルールを使用できます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトの Gateway Anti-Malware ルール セッ
トをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行う
ことができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、フィルタリング プロセ
スのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルール
の作成やルールの削除を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
フィルタリング ルール
ウイルスおよびマルウェアのフィルター処理を制御するルールは通常、1 つのルール セットに含まれます。このルー
ルセットのキー ルールは、Web オブジェクトがウイルスまたはその他のマルウェアに感染している場合、Web オブ
ジェクトへのアクセスがブロックされるものです。
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
デフォルトのルール セットを実装すると、ウイルスとマルウェア フィルタリングのルール セットも実装されます。
ルールの名前は Gateway Anti-Malware です。
ホワイトリスト
ホワイトリストは、ホワイトリスト登録ルールを使用することで、特定の Web オブジェクトにブロック ルールをス
キップさせます。このことは、これらのオブジェクトに対してスキャニングが行われないことを意味します。URL 、
メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、ホワイト
リスト登録ルールに使用させることも可能です。
ブロッキング リストはリストのエントリではなくマルウェア対策モジュールの検出に依存するため、ブロック リス
トは通常ウイルスおよびマルウェアのフィルタリングでは使用されません。
240
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
9
マルウェア対策モジュール
マルウェアい対策モジュールは、マルウェア対策エンジンともいわれます。 このモジュールはオブジェクトをスキャ
ンし、ウイルスやその他マルウェアによる感染を検出します。 このモジュールの結果に基づいて、ブロック ルール
が Web オブジェクトへのアクセスをブロックするか、または通過させます。
マルウェア対策モジュールがコールされて実行され、Web オブジェクトをスキャンすると、デフォルトで実行中の
2 つのモジュールを組み合わせます。これらのモジュールは、マルウェア対策モジュールのサブモジュールとして見
られる場合があります。それぞれのサブモジュールは、異なるスキャニング方法を使用します。
2 つのデフォルトのサブモジュールは McAfee Gateway Anti-Malware engine、および McAfee
Anti-Malware engine です。後者は Web オブジェクトの感染を検出するためにウイルス署名を使用します。
しかし、この方法はすでにわかっていて、署名が登録されているウイルスおよびその他のマルウェアのみを検出でき
ます。さらに上位の Web セキュリティを確保するために、McAfee Gateway Anti-Malware エンジンは新しいウイ
ルスやマルウェアを検出するために積極的な方法も使用します。
マルウェア対策モジュールの設定を構成するとき、追加または単独でサードパーティのサブモジュールが実行するよ
うにデフォルト モードを変更できます。
McAfee Gateway Anti-Malware エンジンは場合によっては、Web ページ内の URL に透かしを追加しますが、こ
のページは URL を適切な Web サーバーへ転送したいときには削除する必要があります。透かしを削除するのに適
したルールを持つルール セットは、ルール セット ライブラリで提供されています。
サブモジュールの一時的な過負荷を避けるために、要求がスキャニング前に移動されるマルチウェア防止キューを設
定できます。
ウイルスとマルウェアのフィルタリングにキー要素を設定する
ウイルスとマルウェアのフィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフ
ィルタリング プロセスを適用します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[Gateway Anti-Malware] ルール セットを選択します。
フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。
3
必要に応じて、キー要素を設定します。
4
[変更の保存] をクリックします。
関連トピック:
241 ページの「ウイルスとマルウェアのフィルタリングのキー要素」
ウイルスとマルウェアのフィルタリングのキー要素
ウイルスとマルウェアのフィルタリング ルールのキー要素は、このフィルタリング プロセスで重要な処理を行いま
す。
次のエージェントとホストでのスキャン回避
マルウェア対策によるスキャン回避のキー要素
McAfee Web Gateway 7.5.0
製品ガイド
241
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-1 次のエージェントとホストでのスキャン回避
オプション
定義
[ユーザー エージェントのホワ
イトリスト]
[編集] をクリックすると、ウィンドウが開き、ルールが使用するユーザー エージ
ェントのホワイトリストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
[URL ホストのホワイトリス
ト]
[編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ホストのホ
ワイトリストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
スキャン オプション
マルウェア対策のスキャン アクティビティのキー要素
表 9-2 スキャン オプション
オプション
定義
[HTTP 要求で部分
的なコンテンツを
削除]
選択すると、Web オブジェクトのコンテンツの一部にのみアクセスする HTTP または HTTPS
要求から指定部分を削除するルールが有効になります。完全なコンテンツを要求することも
できます。
たおえば、Web オブジェクトがファイルの場合、Web サーバーがオブジェクト全体を送信す
ると、Web Gateway でオブジェクト全体をスキャンできます。完全なスキャンにより、部分
的なスキャンでは確認できなかった脅威が検出される場合があります。
[FTP 要求で部分的 選択すると、Web オブジェクトのコンテンツの一部にアクセスする FTP 要求をブロックする
なコンテンツ要求 ルールが有効になります。
をブロックする]
FTP プロトコルの場合、Web オブジェクトのコンテンツを部分的にアクセスす要求で特定の
部分を削除することはできません。このため、このような要求はブロックした方がよい場合が
あります。
[メディア ストリ
ーム スキャナーを
使用]
選択すると、メディア ストリーム スキャナーがストリーミング メディアとして配信される
Web オブジェクトをチャンク単位でスキャンします。これにより、処理速度が速くなります。
スキャンには McAfee Gateway Anti-Malware エンジンのプロアクティブ機能が使用され
ますが、Web Gateway ではこの目的で使用できるエンジンはありません。
Gateway Anti-Malware の設定
マルウェア対策モジュールを設定するキー要素
表 9-3 Gateway Anti-Malware の設定
オプション
定義
[マルウェア対策スキャン
を有効にする]
選択すると、マルウェア対策モジュールを呼び出すルールが有効になります。このモ
ジュールが Web オブジェクトをスキャンし、ウイルスやマルウェアの感染を検査しま
す。
[設定]
[編集] をクリックすると、ウィンドウが開き、マルウェア対策モジュールの設定を編
集できます。
完全なルール ビューでウイルスとマルウェアのフィルタリングを設定する
ネットワークの要件に合わせてウイルスとマルウェアのフィルタリングを設定し、このプロセスに適用できます。
次の手順に従います。
242
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
9
タスク
1
ルール セットで、ウイルスとマルウェアのフィルタリング ルールを確認します。
デフォルトでは、Gateway Anti-Malware ルール セットになります。
2
必要に応じて、これらのルールを設定します。
たとえば、次の変更を行います。
•
ホワイトリスト ルールを有効または無効にします。
•
ホワイトリスト ルールで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。
•
独自のホワイトリストを作成し、ホワイトリスト ルールで使用します。
•
マルウェア対策モジュールが Web オブジェクトをスキャンするときのサブモジュールの組み合わせを変更
します。
デフォルトの組み合わせには次のサブモジュールが含まれています。
•
•
McAfee Gateway Anti-Malware
•
McAfee Anti-Malware
Anti-Malware モジュールの他の設定を変更します。
3
スキャン後に適切な Web サーバーに渡すときに URL から透かしを削除するように設定します。
4
Web オブジェクトをスキャンするモジュールの負荷を軽減するため、必要に応じてマルウェア対策のキューを設
定します。
5
変更を保存します。
マルウェア対策モジュールを設定する
マルウェア対策モジュールを設定して、Web オブジェクトのスキャン方法を変更します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、ウイルスとマルウェア フィルタリングのルール セットを選択します。
デフォルトでは、Gateway Anti-Malware ルール セットになります。
ルール セットのルールが設定パネルに表示されます。
3
[詳細を表示] が選択されていることを確認します。
4
マルウェア対策モジュールを呼び出すルールを検索します。
デフォルトでは、「ウイルスを検出したらブロック」ルールになります。
5
ルールの条件で設定名をクリックします。
この名前は、Antimalware.Infected プロパティの横に表示されます。デフォルトでは、Gateway
Anti-Malware になります。
[設定の編集] ウィンドウが開きます。マルウェア対策モジュールの設定が表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
243
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
6
必要に応じて、これらの項目を設定します。[OK] をクリックして、ウィンドウを閉じます。
7
[変更の保存] をクリックします。
関連トピック:
245 ページの「マルウェア対策設定」
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更
マルウェア対策モジュールの設定を構成する場合、Web オブジェクトのスキャンを実行するサブモジュールの組み
合わせを変更できます。
異なるサブモジュールをマルウェア対策モジュール (またはエンジン) の名前で実行し、スキャンを実行できます。
アプライアンスで使用できるサブモジュールは、購入したライセンスによって異なります。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
マルウェア対策の設定にアクセスします。
a
ルール セット ツリーで、ウイルスとマルウェア フィルタリングのルール セットを選択します。
デフォルトでは、Gateway Anti-Malware ルール セットになります。
ルール セットのルールが設定パネルに表示されます。
b
[詳細を表示]が選択されていることを確認します。
c
マルウェア対策モジュールを呼び出すルールを検索します。
デフォルトで、これはルール Block if virus was found です。
d
ルールの条件で設定名をクリックします。
この名前は、Antimalware.Infected プロパティの横に表示されます。デフォルトでは、Gateway
Anti-Malware になります。
[設定の編集] ウィンドウが開きます。マルウェア対策モジュールの設定が表示されます。
3
[スキャン エンジンと動作を選択する] で、次のサブモジュールの組み合わせの一つを選択します。
•
[Full McAfee coverage: 推奨される高度な構成] — 選択されると、McAfee Gateway マルウェア対策エン
ジンおよび McAfee マルウェア対策エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ
このモジュールの組み合わせはデフォルトで有効になっています。
•
[Layered coverage:Full McAfee coverage plus specific Avira engine features – minor performance
impact] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + いくつかの Web
オブジェクトに対する他社製モジュール機能
244
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
•
[Duplicate coverage:Full McAfee coverage and Avira engine – less performance and more false
positives] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、および他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機
能
•
[Avira のみ: Avira エンジンのみの使用 — 非推奨] — 選択すると、Avira エンジンのみがアクティブになり
ます。
スキャン モードは以下のとおりです。他社製モジュール機能
4
[OK]をクリックしてウィンドウを閉じます。
5
[変更の保存]をクリックします。
Gateway Anti-Malware のルール セットと一緒に Avira のみのオプションを選択する場合には、設定とルール セ
ットの名前を変更し、キー設定が変更されたことを示します。
たとえば、Gateway Anti-Malware (設定とルール セット) を Avira Anti-Malware (設定とルール セット)
に変更します。
ルール セットおよび設定の名前を変更する代わりに、追加ルール セットおよび追加設定も作成し、ルールの構成を
必要とするときに利用可能になります。
マルウェア対策設定
マルウェア対策設定は、マルウェア対策モジュールがウイルスまたはその他のマルウェアの感染に対して Web オブ
ジェクトをスキャンする方法を構成するのに使用されます。
スキャン エンジンおよび動作の選択
1 つが感染を検出した場合の、スキャン エンジンと動作の組み合わせを選択する設定
スキャン エンジンは、マルウェア対策モジュールとして一緒に実行するサブモジュールで、Web オブジェクトをス
キャンします。
表 9-4 スキャン エンジンの選択
オプション
定義
[Full McAfee coverage: 推
奨される高度な構成]
選択したら、McAfee Gateway マルウェア対策エンジンおよび McAfee マルウェ
ア対策エンジンがアクティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ
このオプションはデフォルトで選択されています。
[Layered coverage:Full
McAfee coverage plus
specific Avira engine
features — minor
performance impact]
選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア
対策エンジン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがア
クティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ+ いくつかの Web オブジェクト
に対する他社製モジュール機能
McAfee Web Gateway 7.5.0
製品ガイド
245
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-4 スキャン エンジンの選択 (続き)
オプション
定義
[Duplicate coverage:Full
McAfee coverage and
Avira engine — less
performance and more
false positives]
選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア
対策エンジン、および他社製 Avira エンジンがアクティブになります。
[Avira のみ: Avira エンジン
のみの使用 — 非推奨]
選択すると、Avira エンジンのみがアクティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機能
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
他社製モジュール機能
[エンジンがウイルスを検出し 選択されると、ウイルスおよびその他マルウェアの感染が 1 つ検出されてすぐに、
たすぐ後のウイルス スキャン エンジンが Web オブジェクトのスキャンを停止します。
の停止]
モバイル コードの動作
モバイル コードの分類時に、リスク レベルを設定するための設定項目
リスク レベルには 60 ~ 100 の値を入力できます。
スキャン方法が極めて厳密に適用されるため、値が小さいほどモバイル コードの振る舞いを積極的にスキャンし、そ
れがマルウェアであることを検出しないリスクが低くなることを意味します。悪質な可能性の条件がわずかしか検出
されない場合であっても、モバイル コードは、マルウェアとして分類されます。
このため、実際には悪質でないマルウェア (「誤検知」) としてモバイル コードが分類される可能性があります。
プロアクティブなセキュリティはより厳密な設定を使って達成されますが、どのモバイル コードが実際に悪質かを判
断する精度は劣ります。その結果、アプライアンスはユーザーに届けたい Web オブジェクトをブロックする場合が
あります。
値を大きくすると、悪意のあるモバイル コードを検出できない可能性 (非検知) が高くなりますが、悪質なモバイル
コードを正確に分類することで精度を向上させることができます (誤検知がすくなくなります)。
表 9-5 モバイル コードの動作
オプション
定義
[分類しきい値]
スライダー スケールで上記で説明したようにリスク レベルを設定します。
• 最小値 (最大の事前予防効果): 60
• 最大値 (最大精度): 100
詳細設定
すべてのスキャン サブモジュールの詳細設定
246
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-6 詳細設定
オプション
定義
[ウイルス対策の事前スキャンを有効にする]
選択すると、スキャンに対する負荷が軽減されるので、サブ
モジュールのパフォーマンスが向上します。
[次の対象にライトウェイト パスを有効にして Web
Gateway のパフォーマンスを向上させる:]
このオプションはデフォルトで選択されています。この
設定は有効にしてください。
• [共通 Web ファイル]
• [共通 Web ファイルと他の危険度低のファイル]
このオプションを選択すると、次の 3 つのオプションが使用
できます。
• [共通 Web ファイル、他の危険度低のファイル、
いずれかのオプションを選択すると、軽量マルウェア スキャ
信頼サイトの Web コンテンツ]
ンを適用するファイルの種類を設定できます。
[選択したオプションに一致したファイルに対して標
3 つ目のオプションがデフォルトで選択されています。
準のマルウェア スキャンを続行しない]
この 3 つのオプションは相互に関連しています。最初のオ
プションを設定すると、残りの 2 つのオプションが無効にな
ります。2 つ目のオプションには最初のオプションが含まれ
ています。3 つ目のオプションは最初のオプションと 2 番
目のオプションが含まれています。
ファイルのダウンロード元が信頼できるサイトかどうか検証
するために、URL フィルター モジュールが使用されます。
ウイルスとマルウェアのフィルタリング情報を更新する
と、ファイル タイプの分類 (安全、稀に攻撃される、信
頼サイトにホスティングされている) が変更される場合
があります。
[GTI ファイル レピュテーション クエリを有効にす 選択すると、Global Threat Intelligence システムから取得
る]
したファイルのレピュテーション情報がスキャン結果に表示
されます。
[ヒューリスティック スキャンを有効にする:]
選択すると、ヒューリスティック スキャンの方法が Web オ
ブジェクトに適用されます。
McAfee Gateway Antimalware の詳細設定
McAfee Gateway マルウェア対策サブモジュールの詳細設定
次のオプションはデフォルトで選択されています。これらの設定は有効にしてください。
表 9-7 McAfee Gateway Antimalware の詳細設定
オプション
定義
[怪しいプログラムの検出を有効 選択されると、Web オブジェクトは怪しいプログラムにスキャンもします。
にする]
[モバイル コード スキャンを有 選択されたら、モバイル コードが通常通りにスキャンされます。
効にする]
個々の設定は、次のモバイル コード タイプをスキャンしますの下で構成されま
す。
[モバイル コード フィルターに 選択されたら、ここで説明されたコンテンツが削除されます。
よって HTML 文書で検出され
たコンテンツの削除を有効にす
る]
McAfee Web Gateway 7.5.0
製品ガイド
247
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-7 McAfee Gateway Antimalware の詳細設定 (続き)
オプション
定義
[ヒューリスティック スキャン
を有効にする]
選択すると、McAfee Gateway Anti-Malware エンジンは、Web オブジェクト
をスキャンするために、ペイロード ヒューリスティックと呼ばれる高性能なヒュ
ーリスティックを使用します。
このオプションが有効な場合、スキャン エンジンは、Web ページ内に含まれて
いるダイナミック リンク ライブラリなどの、実行可能ファイルおよび同様の
Web オブジェクトの URL に透かしを追加します。
これらの URL がアプライアンスから適切な Web サーバーに転送される場合、こ
れらの透かしは削除する必要があります。
ライブラリ ルール セットに含まれるルール内のイベントは、URL を書き換える
ことで、透かしを削除します。ルール セット名はペイロード ヒューリスティッ
ク - 透かしの URL の書き換えです。
このルール セットをインポートしてルール セット ツリーの上部に配置する必要
があります。
オプションを選択すると、この追加要件について通知するメッセージが表示され
ます。
次のモバイル コード タイプを
スキャンします
以下のモバイル コード タイプが選択されたときにスキャンされます。
[Windows の実行可能ファイ
ル]
Web からダウンロードで、または電子メールで受信すると、これらすべての実行
可能ファイルは、カレント ユーザーの全権限で実行するため、起動時に脅威とな
ることもあります。
[JavaScript]
JavaScript コードは、Web ページから PDF ドキュメント、ビデオ、HTML フ
ァイルまで、どこにでも仮想的に埋め込むことが可能です。
[Flash ActionScript]
ActionScript コードは、Flash ビデオおよびアニメーションに埋め込まれ、Flash
Player およびそれらすべての機能を備えたブラウザーにアクセスします。
[Java アプレット]
Java アプレットは Web ページに埋め込まれます。有効化されると、デジタル証
明書およびユーザーの選択に基づき、さまざまな権限レベルで実行できます。
[Java アプリケーション]
Java アプリケーションはカレント ユーザーのすべての権限でスタンドアローン
で実行します。
[ActiveX コントロール]
ActiveX コントロールは、Web ページおよび Office 文書に埋め込まれます。有
効化されると、カレント ユーザーのすべての権限で実行します。
[Windows ライブラリ]
これらのライブラリは、通常セットアップ パッケージの実行可能ファイルを伴い
ます。または実行中の実行可能ファイルによって、または不正なコードによっ
て、 Web からダウンロードされます。
[Visual Basic スクリプト]
Visual Basic スクリプト コードは Web ページまたは電子メールに埋め込まれ
ます。
[Visual Basic for
applications]
Visual Basic マクロは Word、Excel、PowerPoint で作成されたオフィス ドキ
ュメントに埋め込まれます。
次の振る舞いをブロックする
次のタイプの振る舞いが選択されると、Web オブジェクトはこの振る舞いがブロックされていることを表示しま
す。
[データ窃盗: バックドア]
248
McAfee Web Gateway 7.5.0
攻撃者のリモートからのフル アクセス、および既存の、または新しく作成された
ネットワーク チャネルによる被害者のシステムへのコントロールを許可する不
正なアプリケーション。
製品ガイド
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-7 McAfee Gateway Antimalware の詳細設定 (続き)
オプション
定義
[データ窃盗: キーロガー]
キー操作を記録し保存するために、オペレーティング システムに接続する不正な
アプリケーション。
パスワードなどの取得した情報は、攻撃元に送られます。
[データ窃盗: パスワードの窃
盗]
システム設定、機密データ、認証情報、ユーザー認証のデータなどの重要な情報
を収集、保存、漏えいする不正なアプリケーション。
[システム侵害: コード実行のエ ブラウザー、Office プログラム、またはマルチメディア プレーヤーなどのクライ
クスプロイト]
アント アプリケーションの脆弱性を攻撃されると、攻撃対象システムで任意のコ
ードが実行される可能性があります。
[システム侵害: ブラウザー エ
クスプロイト]
ブラウザー アプリケーションおよびプラグインの脆弱性を攻撃されると、任意の
コードが実行される、機密データが盗難される、または権限が引き上げられる可
能性があります。
[システム侵害: トロイの木馬]
無害または有益なアプリケーションを装っているが実際には破壊活動を行う、不
正なアプリケーション。
[ステルス攻撃: ルートキット]
オペレーティング システムを操作し、感染したシステムのマルウェアの存在を隠
す不正なアプリケーションまたはデバイス ドライバー。
乗っ取られた後は、マルウェアのプロセスに属するファイル、レジストリ キー、
ネットワーク接続が不可視化し、回復するのが困難になる可能性があります。
[ウイルスの複製: ネットワーク 電子メール、インターネット、ピアツーピア ネットワークを使用するか、また
ワーム]
は USB ドライバーなどのリムーバブル メディアに自身をコピーすることによ
り、自己複製する不正なアプリケーションまたはデバイス ドライバー。
[ウイルスの複製: ファイル感染 新しく感染したホスト ファイルを介して拡散させるウイルス コードを埋め込
型ウイルス]
む、ハードディスク上の既存のファイルに感染する自己複製アプリケーション。
[システム侵害: トロイの木馬ダ Web から他のペイロードをダウンロードして実行する不正なアプリケーション、
ウンローダー]
またはスクリプト コード。
[システム侵害: トロイの木馬ド 隠れたペイロードを運び、解凍しその実行を起動する不正なアプリケーション。
ロッパー]
[システム侵害: トロイの木馬プ 侵害されたシステムを介して悪意のある可能性のある隠れたネットワーク活動が
リレーされる不正なアプリケーション。
ロキシ]
[Web の脅威: 感染サイト]
挿入された不正なスクリプト コードを含む Web サイト、または他の不正なコー
ドがブラウザーで開かれるとすぐにそれを要求する Web サイト。
最初の感染は、Web サーバーに対する SQL インジェクション攻撃により発生す
る可能性があります。
[ステルス攻撃: コード インジ
ェクション]
コードを、他の、多くの場合正当なプロセスにコピーするアプリケーション、各
自の権限と信頼の乗っ取りを引き起こす。
侵害したシステムでその存在を隠し検出を回避しようとするマルウェアで、通常
用いられる手法です。
[検出の回避: 難読化されたコー 高度にスクランブルがかけられた暗号化コードから構成されているアプリケーシ
ョン、不正なコード部分が検出されにくい。
ド]
[検出回避: パックされたコー
ド]
実行時のパッカーまたはプロテクターによって圧縮された内容を持つアプリケー
ション。この変更により内容の見え方が変わるため、分類することが困難です。
[望ましくない可能性: アドウェ 迷惑または望ましくない広告を表示し、ユーザーの活動や動作を追跡して解析も
行うアプリケーション。
ア/スパイウェア]
[望ましくない可能性: アドウェ 迷惑または望ましくない広告を表示し、ユーザーの活動や動作を追跡して解析も
行うアプリケーション。
ア]
McAfee Web Gateway 7.5.0
製品ガイド
249
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 9-7 McAfee Gateway Antimalware の詳細設定 (続き)
オプション
定義
[データの盗難: スパイウェア]
ユーザーの活動や動作を追跡して解析し、機密データを盗み、このデータを攻撃
者のサーバーに漏えいするアプリケーション。
[望ましくない可能性: ダイヤラ 費用のかかるネットワーク接続を介して、ポルノ画像などのコンテンツにアクセ
スさせるアプリケーション。
ー]
[Web 脅威: 脆弱な ActiveX コ 脆弱性の可能性のあるブラウザー以外での利用を制限され、Web ページに表示さ
ントロール]
れる ActiveX コントロール。
[望ましくない可能性: 不審なア 標準ではない、または完全には信頼されない動作を示す不正なコード。
クティビティ]
[Web 脅威: クロスサイト スク
リプティング]
クッキーなどのユーザーのデータを盗むため、ブラウザーまたは Web アプリケ
ーションのアクセス制御の脆弱性を攻撃する不正なスクリプト。
[不審なオブジェクト: 詐欺行
為]
誤解を招くメッセージ、コードの欠落トリック、および虚偽のアラート。
これらの脅威により、システムがスパイウェアに感染していることを知らされ、
駆除のために偽の AV アプリケーションが案内されます。
[不審なオブジェクト: リダイレ Web サイトから他の Web サイト (不正な場所) へアクセスを転送するリダイレ
クト]
クト コード。
この動作は、多くの場合、以前に正当な Web サイトで感染したことが原因です。
[不審なオブジェクト: ダイレク ルートキットをインストールしたり、システムを不安定化したりしようとする、
ト カーネル通信]
Windows カーネルと直接通信するアプリケーション、またはカーネル モードの
アプリケーション。
[不審なオブジェクト: プライバ クリップボードの内容の盗聴、またはレジストリ キーの読み取りが引き起こされ
シーの侵害]
る可能性がある、重要なデータ、または個人情報にアクセスする不正なコード。
Gateway Anti-Malware ルール セット
Gateway Anti-Malware ルール セットは、ウイルスとマルウェアのフィルタリングを行うデフォルト ルール セッ
トです。
デフォルト ルール セット - Gateway Anti-Malware
条件 - Always
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
このルール セットには、以下のルールが含まれます。
User-Agent が User Agent ホワイトリストに一致する場合に許可する
Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set
このルールは、Header.Request.Get プロパティを使用して、要求のヘッダーと一緒に送信される User-Agent
情報を確認します。
問題のユーザー エージェントが指定したホワイトリストにある場合、ルール セットの処理が停止し、ルール セッ
トの最後にあるブロック ルールが処理されません。
プロパティのパラメーターで、ルールの処理時にユーザー エージェント情報を確認する必要があることを指定しま
す。
このルールは、デフォルトでは有効になっていません。
ホワイトリストの登録にこのルールだけを使用すると、クライアントは任意のユーザー エージェントを設定できるた
め、セキュリティ上の問題が発生します。
250
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
マルウェア対策 URL ホワイトリストで一致する URL ホストを許可する
URL.Host matches in list Anti-Malware URL Whitelist –> Stop Rule Set
このルールは、URL.Host プロパティを使用して、指定した URL が特定のホワイトリストに登録されているかど
うかを確認します。
一致する場合、ルール セットの処理が停止し、ルール セットの最後にあるブロック ルールが処理されません。
URL のホストが既知の Web サービスに関連し、ウイルスなどのマルウェアを拡散する可能性がない場合、このル
ールを使用して Web トラフィックをフィルタリングから除外できます。
ホワイトリストに登録すると、登録された Web オブジェクトのスキャンが実行されないため、パフォーマンスが
向上します。
HTTP 要求で部分的なコンテンツを削除
Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR
Connection.Protocol equals “https”) –> Continue – Header.RemoveAll (“Range”)
このルールは、Cycle.TopName プロパティと Connection.Protocol プロパティを使用し、現在の処理サイ
クルが要求サイクルかどうか、要求が HTTP または HTTPS モードで送信されているかどうかを確認します。
条件に一致する場合、Header.RemoveAll イベントが、部分的なコンテンツを要求している指定部分を削除し、
要求を変更します。コンテンツ全体に対する要求が関連する Web サーバーに転送され、このサーバーから Web オ
ブジェクトのすべてのコンテンツがアプライアンスに送信され、処理されます。
たとえば、完全なアーカイブを開いてスキャンを実行し、ウイルスなどのマルウェアを検出することができます。
ファイルを部分的にスキャンする場合、ファイル全体を複数の部分に分けて配信される悪質なコンテンツを見逃す
可能性がありますが、ファイル全体のスキャンを実行すると、このような脅威を検出することができます。
続行アクションは、次のルールの処理を開始します。
FTP 要求で部分的なコンテンツ要求をブロックする
Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND
Command.Categories contains “Partial” –> Block<Partial Content Not Allowed>
このルールは、Cycle.TopName、Connection.Protocol、Command.Categories プロパティを使用して、
現在の処理サイクルが要求サイクルであり、要求が FTP モードで送信されているかどうか確認します。さらに、
FTP 転送のコマンド カテゴリに Partial という文字列が含まれているかどうか確認します。
これにより、Web Gatway は部分的なコンテンツを要求する FTP 要求を検出し、ブロックします。
HTTP または HTTPS 要求の場合と異なり、部分的なコンテンツを要求する FTP 要求は、完全なコンテンツを要求
するように変更することはできません。ただし、HTTP と HTTPS 要求をブロックするルールで説明したように、
アプライアンスで部分的なコンテンツが承諾されると、セキュリティ上の問題が発生する可能性があります。
アクションの設定で、要求を送信したユーザーへのメッセージを指定します。
ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ストリーム スキャナーを開始する
Cycle.Name equals "Response" AND StreamDetector.IsMediaStream<Default Streaming
Detection> equals true –> Stop Rule Set – Enable Media Stream Scanner
このルール セットは、Cycle.Name プロパティを使用して、応答サイクルの処理かどうかを確認します。さらに、
StreamDetector.IsMediaStream プロパティを使用して、Web Gateway への応答で送信された Web オブ
ジェクトがストリーミング メディアかどうかを確認します。
両方の条件に一致すると、ルール セットの処理が停止します。残りのルールは処理されず、イベントによってメデ
ィア ストリーム スキャナーが開始します。
ウイルスを検出したらブロック
Antimalware.Infected<Gateway Anti-Malware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
このルールは、Antimalware.Infected プロパティを使用して、指定した Web オブジェクトがウイルスなどの
マルウェアに感染しているかどうかを確認します。
McAfee Web Gateway 7.5.0
製品ガイド
251
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
オブジェクトをスキャンするためにマルウェア対策モジュールが呼び出されると、このプロパティの指定に従い、
Gateway Anti-Malware の設定で実行されます。これらの設定により、モジュールは 3 つのサブモジュールとそ
のメソッドをすべて使用し、Web オブジェクトをスキャンします。
モジュールが Web オブジェクトの感染を検出すると、すべてのルールの処理が停止し、オブジェクトはこれ以上
転送されません。アクセスはこのようにブロックされます。
要求サイクルでは、感染 Web オブジェクトが Web に転送されません。応答サイクルと埋め込みオブジェクト サ
イクルでは、要求を送信したユーザーにオブジェクトは転送されません。
アクションの設定で、このユーザーに対するメッセージを指定します。
このルールは、イベントを使用して、ウイルスなどのマルウェア感染によるブロックをカウントします。
イベント パラメーターには、インクリメントするカウンターとインクリメントを指定します。イベントの設定で
は、統計モジュールの設定を指定します。これによりカウントが実行されます。
メディア ストリームのスキャン
Web Gateway ではチャンク単位でメディア ストリームがスキャンできます。これにより、ストリーミング メディ
アのダウンロードが高速になります。ストリームのスキャンが完了するまで待つ必要はありません。
このスキャンは、McAfee Gateway マルウェア対策エンジンのメディア ストリーム スキャナーが実行します。スト
リーム メディアはチャンク単位でスキャンされ、ダウンロードを要求したクライアントに配信されます。チャンク内
で感染が検出されると、ダウンロードが停止します。感染チャンクと残りのストリーミング メディアは配信されませ
ん。
このスキャンを実行するメディア ストリーム スキャナーは、McAfee Gateway マルウェア対策エンジンのプロアク
ティブ機能を使用します。McAfee マルウェア対策エンジンと Avira エンジンも Web オブジェクトのウイルスや
マルウェアを検出するように設定できますが、メディア ストリーム スキャナーがアクティブ状態の場合、これらの
エンジンは使用されません。
デフォルトのルール セットに含まれているゲートウェイ マルウェア対策ルール セットのルールに一致すると、この
スキャナーが開始します。ストリーム ディテクター モジュールが、ダウンロード要求で Web Gateway に送信され
た Web オブジェクトがストリーミング メディアであることを検出すると、このルールが適用されます。
ルール セットの処理が停止すると、Web オブジェクトの感染をスキャンする残りのルールは処理されません。
ストリーム ディテクターが Web オブジェクトをストリーミング メディアとして認識しないと、ルールは適用され
ません。残りのルールが処理され、設定に従って Web オブジェクトがスキャンされます。
マルウェア対策キュー
ウイルスやその他マルウェアによる感染に対して、Web オブジェクトをスキャンするモジュールの負荷を避けるた
めには、アクセスをリクエストして、Web オブジェクトは処理される前にキューに移動されます。
このキューはマルウェア対策キューと呼ばれています。リクエストがアプライアンスで受け取られた場合、プロキシ
モジュールのワーキング スレッドによってこのキューに移動します。これは、その他のスレッドによって取り出され
るまで残り、スキャン モジュールの 1 つのスレッドに送信されます。
同じくリクエストが送信された Web サーバーから受け取った応答に適用されます。
リクエストを配信するワーキング スレッドおよびスキャン モジュールへの応答は、スキャン アクティビティを実行
するモジュールによって使用されるものと同様に、マルウェア対策ワーキング スレッドと呼ばれています。
252
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
9
マルウェア対策キューを構成するとき、以下を指定できます。
•
利用可能なマルウェア対策ワーキング スレッドの数
•
マルウェア対策キューのサイズ
•
キューに存在するリクエストおよび応答の最大時間
マルウェア対策キューへのリクエストおよび応答の移動は、短時間で発生する負荷のピークを避けるための解決策にな
ります。永久的な負荷は、その他の検査によって対処される必要があります。
マルウェア対策キューの構成
マルウェア対策キューの設定を構成し、スキャン モジュールの負荷を避けることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、マルウェア対策キューをオンにするアプライアンスを選択して、[マルウェア対策]を
クリックします。
マルウェア対策キューの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
マルウェア対策システム設定
マルウェア対策システム設定は、マルウェア対策キューの構成に使用されます。
グローバル マルウェア対策設定
マルウェア対策キューの設定
表 9-8 グローバル マルウェア対策設定
オプション
定義
[AV スキャンのスレッド
数]
アプライアンスで利用可能なマルウェア対策ワーキング スレッドの数を設定します。
ここで指定する数は、リクエストを送信するスレッドの両方に適用され、スキャン モ
ジュールのスレッドおよびスキャン モジュール スレッド自体に応答します。
たとえば、25 を指定した場合、送信用の 25 のスレッドとスキャン用の 25 のスレッ
ドが存在します。
[キュー内のジョブの最大
数]
スキャン モジュールのジョブとして、マルウェア対策キューに移動できるリクエスト
数または応答数を制限します。
[削除する前に、キューに
スキャン ジョブが存在す
る秒数]
スキャンに送信しなかった場合、リクエストまたは応答がマルウェア キューから削除
する前に経過する時間(秒)を制限します。
McAfee Web Gateway 7.5.0
製品ガイド
253
9
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
マルウェア対策の透かしを削除する
ユーザーのリクエストを適切な Web サーバーに渡す場合、McAfee Gateway Anti-Malware(MGAM)エンジンに
よって URL に追加された透かしは削除する必要があります。Web オブジェクトのスキャンに特別な種類のヒュー
リスティックを使用するいくつかの場合に、モジュールによってこのような透かしが追加されます。
モジュールでペイロード ヒューリスティックと呼ばれるこれらのヒューリスティックを使用させるには、マルウェア
対策の設定オプションを有効にする必要があります。リンクがダイナミック リンク ライブラリなどの実行可能ファ
イルおよび同様の Web オブジェクトの URL にアクセスを提供する場合、モジュールが次の実行するアクティビテ
ィの 1 つとして、Web ページのリンクに属する URL への透かしの追加があります。
ただし、Web サーバーにオブジェクトがアクセスするには、アプライアンスがリクエストを転送する前に、追加さ
れた透かしは問題となる URL から削除する必要があります。そうしなければ、Web サーバーは URL を処理できな
い可能性があります。
URL を書き換えることによって削除を実行します。ルール内のイベントによって、透かしが検出され、その URL が
書き換えられます。透かしが検出されない場合、URL は変更されません。ルールは、ルール セット ライブラリで提
供されるルール セットに含まれます。
透かしを追加してペイロード ヒューリスティックをサポートする
McAfee Gateway Anti-Malware エンジンは、アプライアンスでオブジェクトにアクセスするリクエストが受け取
られて処理される場合に、Web ページ内の実行可能ファイルおよび同様のオブジェクトの URL に透かしを追加しま
す。Web サーバーによってオブジェクトが後でアプライアンスに送信される場合、ウイルスおよびその他マルウェ
アによる感染のために同じモジュールによってスキャンされます。
オブジェクトにアクセスするリクエストが受け取られると、オブジェクトの URL に透かしが適用されるので、スキ
ャン モジュールによって、いくつかの種類の自動プログラムではなく、ユーザーによるリクエストに応えてオブジェ
クトが送信されることが認識されます。この情報は、オブジェクトをスキャンして不正なものまたは不正でないもの
として分類するときにモジュールが使用するペイロード ヒューリスティックにとっては重要です。
透かしを削除するアクティビティ
透かしの削除を実装するには、提供されるライブラリ ルール セットをインポートして、ルール セット ツリーの上部
に配置する必要があります。これにより、URL の透かしは処理の最初に確実に削除されるので、ルール セットの停
止やサイクルの停止などのアクションを含む後のルールによって削除はスキップできません。
ユーザー インターフェースのペイロード ヒューリスティックを使用するオプションを選択すると、ルール セットに
ついてユーザーに通知するメッセージが表示されます。
マルウェア対策の透かしの削除を構成する
McAfee Gateway Anti-Malware エンジンによって URL に追加されたマルウェア対策の透かしの削除を構成でき
ます。
透かしは、[ペイロード ヒューリスティックを有効にする]オプションが有効な場合のみ、URL に追加されます。こ
のオプションを選択すると、削除についてユーザーに通知するメッセージが表示されます。
254
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
タスク
1
透かしを削除するため、ライブラリ ルール セットをインポートします。
a
[ポリシー ] 、 [ルール セット ]を選択します。
b
[追加]をクリックして、[ライブラリからのルール セット]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
c
ルール セット ライブラリ ツリーで、[Gateway Anti-Malware]を展開し、[ペイロード ヒューリスティッ
ク - 透かしの URL の書き換え]を選択して、[OK]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示
されます。
2
ルール セットをルール セット ツリーの上部に移動します。
これで、ルール セットのルールのみのイベントは、透かしを削除するために透かしを適用した URL を書き換えま
す。
ペイロード ヒューリスティック - 透かしの URL の書き換え
ペイロード ヒューリスティック - 透かしの URL の書き換えルール セットは、McAfee Gateway Anti-Malware エ
ンジンによって追加された URL から透かしを削除するためのライブラリ ルール セットです。
デフォルト ルール セット – ペイロード ヒューリスティック - 透かしの URL の書き換え
条件 — Always
サイクル - Requests(and IM)
ルール セットには、以下のルールが含まれます。
透かしの URL の書き換え
Always –> Continue – AntiMalware.MGAM.RewriteWatermarkedURL
マルウェア対策の透かしを含んでいることが検出された場合、ルールで、
AntiMalware.MGAM.RewriteWatermarkedURL イベントを使用し、URL を書き換えます。それ以外の場
合、イベントによって URL は変更されません。
透かしは、スキャンにより、ダイナミック リンク ライブラリなどの、実行可能ファイルおよび同様の Web オブジ
ェクトへのリンクになると、McAfee Gateway Anti-Malware エンジンによって URL に追加されます。
透かしは、URL が適切な Web サーバーを通過する前に削除される必要があります。
URL フィルタリング
URL フィルタリングでは、Web セキュリティでリスクと見なされた Web オブジェクトや他の理由で許可されてい
ないオブジェクトへのアクセスを阻止します。
フィルタリング プロセスは、ブロック リスト、カテゴリ情報、URL レピュテーション スコアを使用し、アクセスを
ブロックまたは許可します。
McAfee Web Gateway 7.5.0
製品ガイド
255
9
Web フィルタリング
URL フィルタリング
このプロセスでは、機能の異なる複数の要素が実行されます。
•
フィルタリング ルールがプロセスを制御します。
•
ルールでは、一部の Web オブジェクトを URL フィルタリングから除外し、他のオブジェクトをブロックするよ
うに、ホワイトリストと様々なブロック リストを使用します。
•
特定のルールから呼び出された URL フィルター モジュールが、URL カテゴリに関する情報とレピュテーション
スコアを Global Threat Intelligence システムから取得します。
初期セットアップ後、Web Gateway には URL フィルタリングのデフォルト プロセスが実装されています。このプ
ロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。
URL フィルタリングを設定するときに、次のルールを使用できます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトの URL filtering ルール セットをクリッ
クすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行うことができ
ます。
•
完全なルール - キー要素ビューで [Unlock View] (ビューのロック解除) をクリックすると、フィル
タリング プロセスのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定
し、新しいルールの作成やルールの削除を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
フィルタリング ルール
URL フィルタリング プロセスを制御するルールは、通常、1 つの URL フィルタリング ルール セットに含まれてい
ます。これらのうち、たとえば、ブロック リストのエントリに一致する場合、URL へのアクセスがブロックされる、
というルールがあります。
ブロック リストに存在するカテゴリに属する場合、別のルールが URL をブロックします。このルールは URL フィ
ルター モジュールを呼び出し、Global Threat Intelligence システムから URL のカテゴリ情報を取得します。別の
ルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
ホワイトリスト登録ルールは、ルールが使用しているリストのエントリに一致する URL をフィルタリングから除外
します。このルールはブロック ルールの前に配置され、処理されます。適用されると、ブロック ルールがスキップ
され、ホワイトリストに登録された オブジェクトに対して URL フィルタリングは行われません。
デフォルトのルール セットを実装すると、URL フィルタリングのルール セットも実装されます。ルールの名前は
URL Filtering です。
ホワイトリストとブロック リスト
ホワイトリストはホワイトリスト登録ルールが使用します。これにより、一部の URL がブロック リストをスキップ
します。これらのオブジェクトに URL フィルタリングは実行されません。
URL フィルタリング ルール セットは、URL フィルタリングだけを制御します。このため、ウイルスとマルウェアの
フィルタリングと異なり、種類ごとに異なるホワイトリストを用意する必要はありません。
ブロック リストに存在するカテゴリーに属する場合、別のルールが URL をブロックします。このルールは URL フ
ィルター モジュールを呼び出して、Global Threat Intelligence システムから URL のカテゴリー情報を取得しま
す。別のルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
URL フィルタリングのルール セットは URL フィルタリングのみを処理し、ホワイトリストはウイルスおよびマルウ
ェアのフィルタリングに含まれているため、一部の種類のオブジェクトには必要ありません。
256
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
ブロック リストは属するカテゴリーによって、またはリストのエントリに一致するという理由から、URL をブロッ
クするルールに使用されます。ブロック ルールはそれぞれ固有のリストを使用します。
フィルター モジュール
URL フィルター モジュールは、URL フィルター エンジンともいいます。McAfee が提供する Global Threat
Intelligence™ システムから URL カテゴリに関する情報とレピュテーション スコアを取得します。この情報をもと
に、ブロック ルールが URL へのアクセスをブロックします。
リンク クローラー、セキュリティ フォレンジック、ハニーポット ネットワーク、高度な自動評価ツール、カスタマ
ー ログといった様々な技術がこの情報を収集するために使用されます。McAfee の Web アナリストによる国際的
な多言語チームが情報を評価し、特定のカテゴリーのもと URL をデータベースに入力します。
URL 評価に関する情報を収集するため、その動作が世界規模でリアルタイムに分析されています (例: URL が Web
のどこに表示されるか、そのドメイン動作やその他詳細)。
たとえば、提供する拡張リストから取得したカテゴリー情報を含める、または URL の DNS 参照を行い、カテゴリ
ー情報検索の関連する IP アドレスを含めるなど、このモジュールの設定事項を設定できます。
URL フィルタリングでキー要素を設定する
URL フィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフィルタリング プロ
セスを適用します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[URL フィルタリング] ルール セットを選択します。
フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。
3
必要に応じて、キー要素を設定します。
4
[変更の保存] をクリックします。
関連トピック:
257 ページの「URL フィルタリングのキー要素」
URL フィルタリングのキー要素
URL フィルタリングのキー要素は、このフィルタリング プロセスで重要な処理を行います。
基本フィルタリング
基本 URL フィルタリングを実行する場合のキー要素
McAfee Web Gateway 7.5.0
製品ガイド
257
9
Web フィルタリング
URL フィルタリング
表 9-9 基本フィルタリング
オプション
定義
[URL ホワイトリスト] [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ホワイトリストを
編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
[URL ブロックリスト] [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL ブロックリストを
編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
[URL カテゴリ ブロッ [編集] をクリックすると、ウィンドウが開き、ルールが使用する URL カテゴリ ブロック
クリスト]
リストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
SafeSearch
SafeSearch と URL フィルタリング プロセスを統合する場合のキー要素
表 9-10 SafeSearch
オプション
定義
[SafeSearch を有効に
する]
選択すると、URL フィルタリング プロセスの SafeSearch 部分を制御するルールが有効
になります。
[SafeSearch の設定]
[編集] をクリックすると、ウィンドウが開き、SafeSearch エンフォーサー モジュー
ル (エンジン) の設定を編集できます。
このモジュールは、SafeSearch エンフォーサーの統合を処理します。このセキュリティ
製品は、Web Gateway の URL フィルタリング プロセスに追加されます。
GTI レピュテーション
URL フィルタリング プロセスで Global Threat Intelligence サービスから取得したレピュテーション スコアを評
価する場合のキー要素
表 9-11 GTI レピュテーション
オプション
定義
[レピュテーションが危険 選択すると、レピュテーションで Web セキュリティに対する危険度が高または中と評
度高の URL をブロック] 価された URL をブロックするルールが有効になります。
URL のレピュテーション スコアは McAfee の Global Threat Intelligence サービス
が設定します。URL フィルター モジュールがこのサービスからスコアを取得します。
未分類の URL
URL フィルタリング プロセスで分類できなかった URL を処理するキー要素
表 9-12 未分類の URL
オプション
定義
[未分類の URL] [ブロック] を選択すると、URL フィルタリング プロセスで分類できなかった URL を含む Web
オブジェクトのアクセス要求がブロックされます。
[許可] を選択すると、このルールによるアクションは実行されません。次のルールが処理され、
URL フィルタリングが継続します。
258
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
完全なルール ビューで URL フィルタリングを設定する
ネットワークの要件に合わせて URL フィルタリングを設定し、このプロセスに適用できます。
URL フィルタリングは、キー要素ビューまたはルール ビューで設定できます。
タスク
1
ルール セットで、URL フィルタリングのルールを確認します。
デフォルトでは、URL Filtering ルール セットになります。
2
必要に応じて、これらのルールを設定します。
たとえば、次の変更を行います。
•
ブロックルールやホワイトリスト ルールを有効または無効にします。
•
これらのルールで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。
•
3
URL フィルター モジュールの設定を変更します。
変更を保存します。
URL フィルター モジュールを詳細する
URL フィルター モジュールを設定し、URL カテゴリとレピュテーション スコアの情報を Global Threat
Intelligence システムから取得する方法を変更します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、URL フィルタリングのルール セットを選択します。
デフォルトのルール セット システムでは、URL フィルタリングのルール セットは、コンテンツ フィルタリング
のルール セットにネストされています。
設定パネルにルールが表示されます。
3
[詳細を表示] が選択されていることを確認します。
4
カテゴリのブロック リストを使用するルールを検索します。
デフォルトでは、「カテゴリ ブラックリストにカテゴリがある URL をブロックする」ルールになります。
5
ルールの条件で設定名をクリックします。
この名前は、URL.Categories プロパティの横に表示されます。デフォルトでは、Default になります。
[設定の編集] ウィンドウが開きます。URL フィルター モジュールの設定が表示されます。
6
必要に応じて、これらの項目を設定します。
7
[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存] をクリックします。
関連トピック:
260 ページの「URL フィルターー設定」
McAfee Web Gateway 7.5.0
製品ガイド
259
9
Web フィルタリング
URL フィルタリング
URL フィルターー設定
URL フィルターー設定は URL フィルターー モジュールが Global Threat Intelligence システムから情報を取得
する方法を設定するために使用されます。
拡張リスト
拡張リストの設定
表 9-13 拡張リスト
オプション
定義
[拡張リストを使用]
拡張リストを選択するためのリストを提供します。
[追加]
拡張リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
[リストの編集(拡張リスト)]ウィンドウが開き、選択した拡張リストを編集します。
レーティング設定
カテゴリーとレピュテーション スコアをもとに、URL に関するレーティング情報を取得するための設定。
表 9-14 レーティング設定
オプション
定義
[レーティングの CGI パラメ
ーターを検索する]
これが選択されると、CGI パラメーターが情報の検索に含まれます。
URL がアクセスされた場合の URL トリガー スクリプトまたはプログラムの CGI
パラメーター。URL を分類する際に、CGI の情報が考慮されます。
[埋め込み URL の検索および これが選択されると、埋め込み URL は情報の検索に含まれ、評価されます。
評価]
埋め込み URL を分類する際に、埋め込み URL の情報が考慮されます。
埋め込み URL の検索はパフォーマンスを低下させる場合があります。
[URL を評価するために DNS これを選択すると、関連情報が見つからなかった URL に対して DNS 参照が実行さ
前方参照を行う]
れます。
参照された IP アドレスは別の検索で使用されます。
[未評価 IP ベース URL の逆
方向 DNS 参照を行う]
これを選択すると、関連情報が見つからなかった URL に対して、その IP アドレス
をもとに逆方向 DNS 参照が実行されます。
参照されたホスト名は別の検索で使用されます。
260
[組み込みキーワード リスト
を使用する]
これを選択すると、組み込みのキーワード リストが検索に含まれます。
[オンラインの GTI Web レ
ピュテーションと分類サービ
スのみを使用する]
選択すると、 Global Threat Intelligence システムから URL カテゴリーとレピュ
テーション スコアの情報のみを取得します。
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
URL フィルタリング
表 9-14 レーティング設定 (続き)
オプション
定義
[ローカルの評価に結果がない これを選択すると、内部データベースに結果がない場合、 Global Threat
場合、オンラインの GTI Web Intelligence システムから URL カテゴリーとレピュテーション スコアの情報の
レピュテーションと分類サー みを取得します。
ビスを使用する ]
[Web レピュテーションと分
類サービスにデフォルトの
GTI サーバーを使用する]
これを選択すると、アプライアンスがデフォルト サーバーに接続して、Global
Threat Intelligence システムから URL カテゴリーとレピュテーション スコアの
情報を取得します。
• [サーバーの IP ]— デフォルト サーバーを使用しない場合、Global Threat
Intelligence システムに接続するために使用するサーバーの IP アドレスを指定
します。
形式:<ドメイン名>または <IPv4 アドレス> または <IPv6 アドレスにマップ
される IPv4 アドレス>
正規の IPv6 アドレスはここでは指定できません。
• [サーバーのポート]— アプライアンスからのリクエストをリスンするこのサー
バーのポートのポート番号を指定します。
許容範囲: 1–65535
詳細設定
URL フィルター モジュールの詳細設定
表 9-15 詳細設定
オプション
定義
[クラウドへの接続問 選択すると、アプライアンスから Global Threat Intelligence サーバーへの接続で発生す
題をエラーとして処理 る問題がエラーとしてログに記録されます。
する]
エラー処理のプロパティが設定され、最終的にはエラーハンドラーのルール セットからル
ールが実行されます。
[プライベート アドレ これを選択すると、プライベート IP アドレスが DNS 逆方向参照に含まれます。
スでも逆方向 DNS 参
このアドレスを参照から除外すると、URL フィルタリングのパフォーマンスが向上します。
照を行う]
このオプションはデフォルトでは無効になっています。
参照には次のタイプのアドレスが含まれます。
• IPv4
• プライベート アドレス
• Zeroconf アドレス
• IPv6
• リンク ローカル アドレス
• サイト ローカル アドレス
• ユニーク ローカル アドレス
アプライアンスが Global Threat Intelligence™ システムに接続するために使用できるプロキシを構成するための
設定
McAfee Web Gateway 7.5.0
製品ガイド
261
9
Web フィルタリング
URL フィルタリング
表 9-16 プロキシ設定
オプション
定義
[アップストリーム プロ これを選択すると、アプライアンスは Global Threat Intelligence サーバーに接続する
キシを使用]
ためにプロキシを使用し、そこで「クラウド内」参照と呼ばれる URL カテゴリー情報を
参照することができます。
[プロキシの IP または
名前]
プロキシの IP アドレスまたはホスト名を指定します。
[プロキシのポート]
アプライアンスからのリクエストを参照するためにリスンするプロキシ上のポート番号
を指定します。
[ユーザー名]
プロキシにログオンするときのアプライアンスのユーザー名を指定します。
[パスワード]
アプライアンスのパスワードを設定します。
[設定]
パスワードを設定するためのウィンドウを開きます。
URL フィルタリングのアクティビティをアプライアンスにログするための設定
表 9-17 ログ
オプショ
ン
定義
[ロギン
グを有効
にする]
これを選択すると、URL フィルタリングのアクティビティがアプライアンスにログされます。
[ログ レ
ベル]
ログ レベルを選択するためのリストを提供します。
このオプションが選択されていない場合、次のログ オプションは灰色表示されます。
ログには次のレベルがあります。
• 00 緊急 — 緊急のエラーのみログに記録します。
• 01 エラー — すべてのエラーをログに記録します。
• 02 警告 — エラーと警告をログに記録します。
• 03 情報 — エラー、警告、追加情報をログに記録します。
• 04 デバッグ 1 ...013 デバッグ 9 — URL フィルタリング アクティビティをデバッグするのに必要
なログ情報。
ログされた情報量はレベルがデバッグ 1 から デバッグ 9 に増加します。
• 14 追跡 — URL フィルタリング アクティビティを追跡するのに必要なログ情報。
• 15 すべて — すべての URL フィルタリング アクティビティをログ
(ログ領
域)
URL フィルタリング アクティビティのさまざまな領域をログに含めるためのオプション セットを提供
します。
• [LOG_AREA_ALL] — 選択すると、すべての URL フィルタリング アクティビティがログに記録され
ます。
• [LOG_AREA_NETWORK] — 選択すると、URL フィルタリングに使用するネットワーク接続に関す
るアクティビティがログに記録されます。
• [LOG_AREA_DATABASE_SEARCH] — 選択すると、内部データベースからの URL フィルタリング
のデータ取得に関するアクティビティがログに記録されます。
• [LOG_AREA_DNS] — 選択すると、URL フィルタリングのために実行される DNS 参照に関するア
クティビティがログに記録されます。
• [LOG_AREA_URL] — 選択すると、解析など URL 処理のアクティビティがログに記録されます。
• [LOG_AREA_CLOUD] — 選択すると、 Global Threat Intelligence システムからの情報取得に関
するアクティビティがログに記録されます。
262
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
ベスト プラクティス - URL プロパティを使用して Web オブジェクトをホワ
イトリストに追加する
ルールの条件に URL プロパティ (URL、URL.Host、URL.Host.BelongsToDomains など) を使用して、Web
オブジェクトをホワイトリストに追加することができます。
Web オブジェクトをホワイトリストに追加すると、このオブジェクトにアクセスして、ページの表示やファイルの
ダウンロードを行うことができます。ホワイトリスト ルールは、Web Gateway のルール セット システム内の適切
なルール セットに挿入します。他のルールがアクセスをブロックしないように、このルールが適用されると、この
Web オブジェクトの要求に対して残りのルール処理は実行されません。
異なる URL プロパティを使用して、異なるホワイトリストを作成することもできます。個々の Web オブジェクト
に対するアクセスを許可するには (たとえば、特定のファイルのダウンロードなど)、このファイルの完全な URL を
含むリストに URL プロパティを使用します。
以下の例では、ホワイトリストに最適な URL プロパティを選択して使用する方法について説明します。
この他に、ヒントや次の情報も提供します。
•
URL に設定される値 (サンプルの URL が処理されたときに、Web アクセス要求で Web Gateway に送信され
る値)
•
ルールの条件で is in list と matches in list の 2 つの演算子を使用する方法
•
URL プロパティと一緒に使用するリストで適切な項目と不適切な項目
個々の Web オブジェクトをホワイトリストに追加する - URL
目的 個々の Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/
Stinger.exe から Stinger.exe をダウンロードします。
手順 ルールの条件で、完全な URL のリストと一緒に URL 文字列プロパティを使用します。
たとえば、次のようにルールを設定します。
URL is in list URLWhiteList –> Stop Rule Set
URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe をリスト
URLWhiteList に追加すると、このルールが処理されたときにファイル Stinger.exe がホワイト リストに追加さ
れます。
同様に、デフォルトの URL フィルタリング ルール セットの次のルールを使用すると、ファイルに対す
るアクセスをブロックできます。
URL matches in list URLBlockList –> Block
問題の URL をリスト URLBlockList に追加すると、ルールが処理されたときにファイルがブロックさ
れます。
is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む
式を入力できます。このプロパティを使用して、複数の Web オブジェクトをホワイトリストに追加することができ
ます。
ただし、特定のホストが提供するすべての Web オブジェクトをホワイトリストに追加する必要がある場合、
URL.Host プロパティを使用すると、この操作を簡単に行うことができます。
McAfee Web Gateway 7.5.0
製品ガイド
263
9
Web フィルタリング
URL フィルタリング
ホストをホワイトリストに追加する - URL.Host
目的 特定のホストが提供する Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、ホスト download.mcafee.com にある Stinger.exe や他のファイルをダウンロードします。
手順 ルールの条件で、ホスト名のリストと一緒に URL.Host 文字列プロパティを使用します。
たとえば、クラウドで URL.Host プロパティを使用するルールを次のように設定します。
URL.Host is in list HostWhiteList –> Stop Rule Set
ホスト download.mcafee.com をリスト HostWhiteList に追加すると、ルールが処理されたときに、このホ
ストが提供するすべてのオブジェクトがホワイトリストに追加されます。
is in list ではなく matches in list 演算子を使用すると、プロパティが使用するリストにワイルドカードを含む
式を入力できます。このプロパティを使用して、複数のホストをホワイトリストに追加することができます。
ただし、特定のドメイン内のすべてのホストをホワイトリストに追加する必要がある場合、
URL.Host.BelongsToDomains プロパティを使用すると、この操作を簡単に行うことができます。
ドメインをホワイトリストに追加する - URL.Host.BelongsToDomains
目的 特定のドメインが提供する Web オブジェクトに対するアクセスをユーザーに許可します。
たとえば、ホスト download.mcafee.com が提供する Stinger.exe と他のファイルをダウンロードし、
ドメイン mcafee.com 内の他のホストが提供するダウンロード可能なファイルをダウンロードします。
手順 ルールの条件で、ドメイン名のリストと一緒に URL.Host:BelongsToDomains ブール型プロパティを使
用します。
たとえば、次のようにルールを設定します。
URL.Host.BelongsToDomains("Domain List") equals true –> Stop Rule Set
ドメイン mcafee.com をリスト Domain List に追加すると、ルールが処理されたときに、このドメイン内のす
べての Web オブジェクトがホワイトリストに追加されます。
リスト Domain List は、URL.Host:BelongsToDomains プロパティのパラメーターで設定します。このプロ
パティはブール型です。
たとえば、URL http://download.mcafee.com/products/mcafee-avert/Stinger/Stinger.exe が処
理されると、ドメイン mcafee.com がリストに Domain List に入力されているかどうかによってプロパティの
値 (true または false) が変わります。
以下の例では、ホワイトリストの設定にプロパティが使用されるときに、比較に使用される Domain List リストの
項目を表します。
mcafee.com
dell.com
k12.ga.us
twitter.com
xxx
条件:
URL.Host.BelongsToDomains("Domain List") equals true
264
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
比較される URL:
https://contentsecurity.mcafee.com
https://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
http://twitter.com
http://www.twitter.com
any.site.xxx
比較されない URL:
https://www.mymcafee.com
http://www.treasury.ga.us
http://malicioustwitter.com
URL.Host.BelongsToDomains プロパティを使用すると、複雑な条件を作成しなくても同じ結果を得ることが
できます。例:
•
ワイルカードを含む式のリストに 2 つの項目を使用する場合:
twitter.com
*twitter.com
•
ワイルドカードを含む式に複雑な項目を使用する場合:
regex((.*\.|.?)twitter\.com)
サンプル URL のプロパティ値
サンプル URL http://www.mcafee.com/us/products/web-gateway.aspx が処理されると、以下の
URL プロパティに異なる値が設定されます。
プロパティ
サンプル URL の値
URL
http://www.mcafee.com/us/products/web-gateway.aspx
URL.Host
www.mcafee.com
URL.Host.BelongsToDomain true または false
このプロパティのパラメーターとして設定されたリストで、ドメインに次の値
を入力する必要があります。mcafee.com
URL.FileName
web-gateway.aspx
URL.Path
/us/products/web-gateway.aspx
URL.Protocol
http
比較で使用する演算子
ルールの条件で使用する演算子 (is in list または matches in list) で処理の結果が異なります。
McAfee Web Gateway 7.5.0
製品ガイド
265
9
Web フィルタリング
URL フィルタリング
演算子
説明
is in list
文字列に完全に一致する必要があります。
リスト項目にワイルドカード文字がある場合、この文字はリテラル文字として解釈されます。
matches in list リスト項目でワイルドカードを使用し、評価できます。
URL プロパティに適切な項目と不適切な項目
URL プロパティで使用するリストの項目は、プロパティの使用目的によって適切になる場合も、不適切になる場合も
あります。以下では、適切な項目と不適切な項目の例について説明します。
URL プロパティ
適切または不適切なリスト項目
URL と is in list 演算子
適切
http://www.mcafee.com/us/products/web-gateway.aspx
このプロパティでは完全な URL が必要です。ワイルドカードは指定されて
いません。is in list 演算子を使用した場合、ワイルドカードは評価されませ
ん。
不適切
www.mcafee.com/us/products/web-gateway.aspx
この項目には完全な URL が指定されていません。プロトコル情報 http://
が含まれていません。
URL と matches in list 演算子
適切
http://www.mcafee.com/*
この項目にはワイルドカードが含まれています。matches in list 演算子
を使用する場合、ホスト www.mcafee.com が提供する Web オブジェク
トにアクセスが許可されます。
この項目は http://mcafee.com/ に一致しません。
regex(htt(p|ps)://(.*\.|\.?)mcafee.com(\/.*|\/?))
この項目には複雑な正規表現が含まれています。一致すると、HTTP または
HTTPS プロトコルでドメイン mcafee.com とそのサブドメイン内のすべ
ての Web オブジェクトに対するアクセスが許可されます。
regex(htt(p|ps)://(.*\.|\.?)mcafee.(com|co.us)(\/.*|\/?))
この項目は前の例と同じですが、.com や .co.us などのトップレベル ドメ
インもホワイトリストに追加しています。
不適切
*.mcafee.com*
この項目は不要な一致を除外していません。例: URL http://
malicious-download-site.cc/malicious-file.exe?url=
www.mcafee.com
266
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
URL プロパティ
適切または不適切なリスト項目
URL.Host と is in list 演算子
適切
9
www.mcafee.com
ホスト名が入力されています。これは、このプロパティの使用目的に一致し
ています。ワイルドカードは指定されていません。is in list 演算子を使用
する場合、ワイルドカードは評価されません。
不適切
mcafee.com
この項目では、ドメイン名 (mcafee.com) が指定されています。プロパテ
ィの値はホスト名です (URL http://www.mcafee.com/us/
products/web-gateway.aspx が処理される場合、
www.mcafee.com になります)。
一致する項目はありません。
*.mcafee.com
ワイルドカードが含まれていますが、is in list 演算子を使用した場合、ワイ
ルドカードは評価されません。
*.mcafee.com/us*
この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用目
的には不適切です。
さらに、ワイルドカードが含まれています。is in list 演算子を使用した場
合、ワイルドカードは評価されません。
McAfee Web Gateway 7.5.0
製品ガイド
267
9
Web フィルタリング
URL フィルタリング
URL プロパティ
適切または不適切なリスト項目
URL.Host と matches in list
演算子
適切
*.mcafee.com
この項目は、ドメイン mcafee.com ないの任意のホストに一致しますが、
mcafee.com 自体には一致しません。
regex((.*\.|\.?)mcafee.com)
ドメイン mcafee.com とそのホストをホワイトリストに追加する正規表
現が記述されています。
不適切
*.mcafee.com*
http://www.mcafee.com .malicious-download-site.cc/ など、
不要な一致が除外されていません。
*.mcafee.com/us*
この項目にはパス情報 (/us) が含まれていますが、このプロパティの使用目
的には不適切です。
URL.HostBelongsToDomains
適切
リスト Domain List に入力された mcafee.com。プロパティのパラメ
ーターとして設定されています。
この項目は、mcafee.com ドメインとそのすべてのホストに一致します。
例: www.mcafee.com、secure.mcafee.com
www.mcafee.com
ドメイン名が指定されていませんが、有効です。ホスト
www.mcafee.com だけがホワイトリストに追加されます。
URL.Host プロパティを is in list 演算子と一緒に使用する場
合、リストに項目を追加しても同じ結果になります。
不適切
*.mcafee.com
この項目にはワイルドカードが含まれていますが、このプロパティの使用目
的には不適切です。
このプロパティは、リスト項目でのワイルドカードの使用を避けるために作
成されました。たとえば、mcafee.com に完全に一致する必要があります。
URL フィルタリング ルール セット
URL フィルタリング ルール セットは、URL フィルタリングのデフォルト ルール セットです。
デフォルト ルール セット— URL フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
URL ホワイトリストに一致する URL を許可する
URL matches in list URLWhiteList –> Stop Rule Set
268
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
URL フィルタリング
このルールは URL プロパティを使用し、特定の URL が指定されたホワイトリストに存在するかどうかを確認しま
す。存在する場合、ルール セットのプロセスが停止し、ホワイトリスト登録ルールに従うブロック ルールは処理さ
れません。
このルールを使用して、フィルタリングから URL を除外し、ネットワークのユーザーが使用できるようにし、次の
ブロック ルールによってブロックされないようにします。ホワイトリスト登録はまた、それぞれの URL について
の情報を取得する手間を省くため、パフォーマンスを向上させます。
URL ブラックリストに一致する URL をブロックする
URL matches in list URL BlockList –> Block<URLBlocked> — Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<Default>
ルールは URL プロパティを使用し、特定の URL が指定されたブロック リストに存在するかどうか確認します。
存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リクエストは適切な Web サーバーまで通
過しません。アクセスはこのようにブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、ウイルスおよびマルウェア感染に起因するブロックをカウントします。イベ
ント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュ
ールの設定を指定します。これによりカウントが実行されます。
SafeSearchEnforcer を有効にする
Always –> Continue — Enable SafeSearchEnforcer<Default>
このルールは成人向けコンテンツを含む Web サイトへのアクセスにフィルターをかける追加モジュールである
SafeSearchEnforcer を有効にします。
有効化はイベントを実行することで行えます。モジュールの設定はイベントで指定されます。
処理は次のルールで続行します。
未分類の URL を許可する
List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set
このルールはパラメーターとして URL.Categories プロパティをもつ List.OfCategory.IsEmpty を使用し、
URL を分類するためのカテゴリーが空であるかどうかをチェックします。これは、URL が未分類であり、既存カテ
ゴリーに割り当てられないことを意味します。URL.Categories プロパティをパラメーターとして指定すること
で、特定のカテゴリー リストが確認されるようにします。これはこのプロパティの値となるリストです。
URL.Categories プロパティの値としてカテゴリー リストを提供するために、URL フィルター モジュールが呼び
出されます。このモジュールはこのリストを Global Threat Intelligence システムから取得します。このモジュ
ールは指定されたデフォルト設定で実行されます。
URL が未分類である場合、ルール セットのプロセスが停止し、このルールに従ったブロック ルールは処理されま
せん。URL へのリクエストは適切な Web サーバーへ転送され、URL へのアクセスが応答または埋め込みオブジェ
クト サイクルでブロックされない限り、ユーザーは、URL の送信によってリクエストされた Web オブジェクトへ
のアクセスを許可されます。
URL カテゴリー ブラックリストにカテゴリーがある URL をブロックする
URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> —
Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default>
このルールは URL.Categories プロパティを使用し、特定の URL が属するカテゴリーのどれかが指定したブロ
ック リストに存在するかどうかを確認します。これらのカテゴリーに関する情報を取得するために呼び出される
URL フィルター モジュールが、プロパティで指定されるとおり、デフォルト設定で実行されます。
URL のカテゴリーのいずれかがリストに存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リ
クエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
McAfee Web Gateway 7.5.0
製品ガイド
269
9
Web フィルタリング
URL フィルタリング
悪い評価を持つ URL をブロックする
URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<default>
このルールは URL.IsHighRisk プロパティを使用し、URL が、アクセスを許可するとリスクが高くなるという評
価を持つかどうかを調べます。このプロパティの値が True である場合、すべてのルール プロセスが停止し、URL
へのアクセス リクエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
レピュテーション スコアは URL フィルターー モジュールによって取得されます。このモジュールはプロパティ
の後で指定する設定で実行されます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
Dynamic Content Classifier を使用する URL フィルタリング
URL は Dynamic Content Classifier によりフィルタリングするためにカテゴリ化できます。
DCC(Dynamic Content Classifier)が、ローカル データベースと Global Threat Intelligence サービスに加え
て、URL に関するカテゴリ情報の別のソースとして提供されます。
ほかの 2 つのソースを含む URL カテゴリ情報を参照した時に結果が示されなかった場合に、この Dynamic
Content Classifier の使用を設定できます。
Dynamic Content Classifier の使用を構成する
その他の検出メソッドで何も見つからない場合に、URL カテゴリを検出するために Dynamic Content Classifier
の使用を構成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリングのためのルールにルール セットを選択します。
デフォルト ルール セット システムで、これは、たとえば[URL フィルタリング]ルールセットです。
設定パネルにルールが表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
Dynamic content Classifier の使用を構成する URL カテゴリを扱うためのルールを選択します。
URL フィルタリング ルール セットで、これはたとえば、[カテゴリ ブロックリストに存在するカテゴリを持つ
URL をブロックする]ルールです。
5
ルール条件の URL フィルター モジュールの設定をクリックします。
サンプル ルールで、これらは、条件[URL.Categories <Default> at least one in list Category BlockList]の
[Default]設定です。
[設定の編集]ウィンドウが開きます。これは URL フィルター モジュールの設定を提供します。
6
270
[評価設定]で、[Enable the Dynamic Content Classifier if GTI web categorization yields no results(GTI
Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする)]が選択さ
れていることを確認します。
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
7 [オプション]Dynamic Content Classifier が検出する URL カテゴリのリストを編集します。
a
リスト[Categories that will be dynamically detected(動的に検出されるカテゴリ)]の上で、[編集]アイ
コンをクリックします。
[編集]ウィンドウが表示されます。
b
[DCC カテゴリ]の下で、[サポートされるカテゴリ]フォルダーを展開します。
c
必要に応じて、URL カテゴリを選択および選択解除します。
d
[OK]をクリックします。
[編集]ウィンドウが閉じると、選択したカテゴリがリストに表示されます。
[削除]記号をクリックしてリストから URL カテゴリを削除し、開いたウィンドウを確認します。
8
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
9
[変更を保存]をクリックします。
Dynamic Content Classifier には、Web アクセスのリクエストで送信される URL が構成された URL カテゴリの
1 つに分類されるかどうかを検出することが含まるようになりました。
固有の URL フィルター データベースの使用
URL フィルタリングは、固有のデータベースから取得される情報を使用して実行されます。
Web Gateway アプライアンスの URL フィルタリングは、URL が該当するカテゴリとそれらに割り当てる Web レ
ピュテーション スコアに関する情報を使用します。この情報は URL フィルタリングのモジュールの設定が構成さ
れる方法に応じて、ローカルの URL フィルター データベース、Global Threat Intelligence システム、または
Dynamic Content Classifier から取得されます。
ローカル データベースの情報は、Global Threat Intelligence システムにより特定の URL に対してカテゴリと
Web レピュテーション スコアが判別された後で、それらを保管した結果です。ローカル データベースの参照で結果
がえられない場合、2 つの情報ソースは追加で使用できます。
ローカル データベースの代わりに、URL カテゴリと Web レピュテーション スコアの情報を含む固有のデータベー
スを使用できます。ローカル データベースを置換するには、集中管理設定を構成するときに自分のデータベースが常
駐するサーバーの URL を指定する必要があります。
URL フィルタリング情報を取得するために最初に検索されるソースとして自分のデータベースを使用できますが、ほ
かの 2 つのソースを無効にして、データベースに保管された情報を使用するフィルタリング プロセスを制限できま
す。
固有の URL フィルター データベースの使用を構成する
固有のデータベースから URL フィルタリング情報を取得するためには、集中構成設定の一部として、このデータベ
ースの使用を構成します。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、データベース情報を使用するアプライアンスを選択して、[集中管理]をクリックしま
す。
3
[詳細な更新設定]まで下にスクロールします。
McAfee Web Gateway 7.5.0
製品ガイド
271
9
Web フィルタリング
URL フィルタリング
4
[アップデート サーバーの特別なカスタマー パラメーターを入力する]フィールドで、データベースが常駐するサ
ーバーの URL を入力します。
5
[変更を保存]をクリックします。
アプライアンスの URL をフィルタリングするためにデータベースが使用されるときには、ローカル データベースか
らではなく、自分のデータベースから取得されます。
フィルタリング プロセスを自分のデータベースに保管された情報に制限するために、URL フィルタリング情報のほ
かのソースを追加で無効にすることができます。
URL フィルタリングをデータベース情報に制限する
URL フィルタリングのデータベース情報のみを使用するには、Global Threat Intelligence システムと Dynamic
Content Classifier の使用を無効にします。
自分の URL フィルター データベースの使用を構成する場合、フィルタリング情報がこのデータベースからのみ取得
されます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
[エンジン] 、 [URL フィルター]の下で、情報ソースを無効にする URL フィルター設定を選択します。
3
[評価設定]の下で、次の 2 つのチェックボックスの選択を順に解除します。
4
•
[GTI Web カテゴライゼーションで結果が得られない場合は Dynamic Content Classifier を有効にする]
•
[ローカルの評価に結果がない場合、オンラインの GTI Web レピュテーションとカテゴライゼーション サー
ビスを使用する]
[変更を保存]をクリックします。
IFP プロキシを使用した URL フィルタリング
IFP プロトコルの下で送信される Web アクセスに対するリクエストで、URL フィルタリングを実行できます。
このようなリクエストで URL フィルタリングを実行するには、以下の手順が必要です。
•
IFP プロキシをセットアップします。
•
適したフィルタリング ルールを実装します。
IFP リクエストのフィルタリング アクティビティは、ユーザー インターフェースのダッシュボードで表示されます。
接続追跡はこれらのアクティビティにも実施できます。
IFP プロキシをセットアップする
IFP プロトコルの下でユーザーがクライアント システムから送信する Web アクセスのリクエストを処理およびフ
ィルタリングするには、アプライアンスのプロキシ機能を適切に構成する必要があります。IFP プロキシは、これら
のリクエストをインターセプトして URL フィルタリングで使用できるようにセットアップする必要があります。
272
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
URL フィルタリング
9
プロキシをセットアップするには、[構成] 、 [プロキシ]で、ユーザー インターフェースの設定数を指定する必要が
あります。これらの設定には、以下が含まれます。
•
プロキシの有効化または無効化
•
プロキシ ポートのリスト、各プロキシの指定:
•
•
IP アドレスおよびポート番号
•
メッセージ モード(ブロック メッセージが IFP プロトコルの下で、リダイレクトとして送信されるか、通常
のメッセージとして送信されるかを示します)
同時の IFP リクエストの最大数
この設定を使用すると、IFP プロキシの過負荷を回避できます。
IFP リクエストのフィルタリングのルール
IFP リクエストのフィルタリング プロセスを制御するためのデフォルトまたはライブラリのルール セットはありま
せん。ただし、独自のルール セットを作成することはできます。また、既存のルール セットで IFP プロキシ機能を
使用できるようにすることも可能です。
IFP リクエストのルール セットを作成する場合、IFP プロトコルの使用をルール セット条件として指定し、このプ
ロトコルの下で送信されるリクエストにルール セットが確実に適用されるようにする必要があります。これは、
Connection.Protocol プロパティを条件に含めて、IFP プロトコルを演算子として構成することによって、実現
します。
IFP プロトコルはリクエストのみを取り扱うので、ルール セットを適用する必要のあるアクティビティとして、フィ
ルタリング応答および埋め込みオブジェクトを除外できます。
ルール セットのルールは、デフォルトの URL フィルタリングのルール セットのルールと同じである可能性がありま
す。
IFP プロトコルの下で送信されるリクエストのみで URL フィルタリングを実行する場合は、デフォルトの URL フィ
ルタリング ルール セットを削除して、ここで説明されている方法で作成した IFP フィルタリング ルール セットのみ
を使用することをお勧めします。
既存のルール セットで IFP プロキシ機能を使用することも 1 つの選択肢として可能です。たとえば、さまざまな他
のプロトコルの下で送信されるリクエスト用に実装された認証があり、IFP リクエスト用の認証を追加する場合など
です。
認証サーバー(時間/IP ベース セッション)のライブラリ ルール セットには、リクエストの送信先のクライアント
に対してすでに認証済みのセッションがあるかどうかをチェックするルールを持つ埋め込みルール セットが含まれ
ています。それ以外の場合、ルールはリクエストを認証サーバーにリダイレクトします。
埋め込みルール セットは HTTP や HTTPS などのプロトコルに対応しています。Connection.Protocol プロパ
ティを使用すると、条件を拡張し、IFP プロトコルを含めることができます。
IFP フィルタリングのリダイレクト
URL のフィルタリングのために IFP プロキシを使用する場合、次の制限に注意する必要っがあります。
McAfee Web Gateway 7.5.0
製品ガイド
273
9
Web フィルタリング
URL フィルタリング
•
SafeSearch Enforcer の制限使用
IFP フィルタリングを実行すると、SafeSearch Enforcer は、Google を使用して実行される検索リクエストの
フィルタリングのみで動作します。
これは、他の検索プロバイダーはすべてクッキーを使用していますが、Google のみは検索条件を送信するため
に URL を使用しているからです。ただし、アプライアンスの IFP プロキシによってクッキーは処理できません。
•
一部の機能に必要な IFP プロキシ
以下を実行する場合には、IFP プロキシだけでなく、HTTP プロキシをセットアップする必要があります。
•
フィルタリング ルールのためにブロックされた IFP リクエストをブロッキング ページにリダイレクトして、
リクエストを送信したユーザーのクライアントにブロック メッセージを表示する。
•
内部認証サーバーで検証された証明書を持つことにより、アプライアンスのユーザーを認証する。
•
時間のクォータ ライブラリ ルール セットを実装して、ユーザーの Web 利用を制限する。
ダッシュボード上の IFP フィルタリング アクティビティ
ユーザー インターフェースのダッシュボードは、いくつかの IFP フィルタリング アクティビティに関する情報を提
供します。
•
処理される IFP リクエストの数
この情報は、[Web トラフィック サマリー] 、 [プロトコル別の要求]の下に表示されます。
•
最も頻繁にリクエストされるアクセス先のドメイン(リクエスト数のカウント)
これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。
この情報は、[Web トラフィック] 、 [要求の数別のトップレベル ドメイン]の下に表示されます。
•
最も頻繁にリクエストの宛先となる Web サイト(リクエスト数のカウント)
これらのリクエスト間では、IFP プロトコルの下で送信されたものである可能性があります。
この情報は、[Web トラフィック] 、 [要求の数別の宛先]の下に表示されます。
IFP フィルタリング アクティビティの追跡接続
IFP リクエストのフィルタリングでは、追跡接続を実行できます。
接続追跡を有効にすると、接続追跡ファイルが作成され、格納されます。[トラブルシューティング]のトップレベル
メニューの下にあるユーザー インターフェースからアクセスできます。
IFP プロキシ設定を構成する
IFP プロキシ設定を構成し、このプロトコルで送信された Web アクセスに対するリクエストの処理を有効にするプ
ロキシを設定できます。
タスク
274
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、IFP プロキシ設定を構成するアプライアンスを展開し、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
3
設定パネルで、[IFP プロキシ]セクションまで下にスクロールします。
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
URL フィルタリング
4
必要に応じてこのセクションの設定を構成します。
5
[変更を保存]をクリックします。
IFP プロキシ設定
IFP プロキシ設定は、IFP プロトコルで送信された Web アクセスのリクエストをインターセプトして、URL フィル
タリングで使用できるようにするプロキシを構成するために使用されます。
IFP プロキシ
IFP プロキシを構成するための設定
表 9-18 IFP プロキシ
オプション
定義
[IFP プロキシを有効にする]
選択すると、IFP プロキシがアプライアンス上で有効になります。
[IFP ポート定義リスト]
IFP リクエストをリスンするポートのリストを作成できます。
[同時に許可される IFP リクエストの最大数]
同時に処理される IFP リクエストの数を指定値に制限します。
この設定を使用すると、IFP プロキシの過負荷を回避できます。
次の表では、IFP ポート定義リストのエントリについて説明しています。
表 9-19 IFP ポート定義
オプション
定義
[リスナー アドレス]
IFP リクエストをリスンするポートの IP アドレスおよびポート番号を指定します。
[リダイレクトとしてエ
ラー メッセージを送信
する]
true に設定する場合、リクエストを送信したユーザは、たとえば、リクエストがブロッ
クされたことなどを、エラー メッセージ ページにリクエストをリダイレクトすることに
よって通知されます。
そうではない場合、関連情報は IFP プロトコルで通常のメッセージとして送信されます。
[コメント]
IFP リクエストにリスンするポートの平文コメントを提供します。
IFP リクエストをフィルタリングするルール セットを作成する
IFP プロトコルで送信された Web アクセスのリクエストをフィルタリングするルールを使用して、ルール セットを
作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
2
[名前]フィールドで、Filter IFP Requests などのルール セットに適した名前を入力します。
3
[適用先]で、[応答]および[埋め込みオブジェクト]を選択解除します。
4
[このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。
5
ルール セット条件を設定します。
a
[条件]の下で、[追加]をクリックして、[詳細条件]を選択します。
[条件の追加]ウィンドウが開きます。
b
プロパティ リストから、[Connection.Protocol]を選択します。
McAfee Web Gateway 7.5.0
製品ガイド
275
9
Web フィルタリング
URL フィルタリング
c
演算子リストから、[等しい]を選択します。
d
オペランドの入力フィールドで、IFP と入力します。
e
[OK]をクリックします。
[条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。
6
[OK]をクリックします。
[新しいルール セットの追加]ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
ルール セットが作成された場合、URL フィルタリング ルールを挿入する必要があります。たとえば、デフォルト
の URL フィルタリング ルール セットからルールをコピーし、必要に応じてルールを微調整することができます。
認証ルール セットを修正して IFP プロトコルを含める
認証ルール セットの条件に IFP プロトコルを含めると、そのプロトコルで送信されるリクエストの認証を有効にす
ることができます。
タスク
1
ライブラリから認証ルール セットをインポートします。
a
[ポリシー] 、 [ルール セット]を選択し、[追加]をクリックして、[最上位レベル ルール セット]を選択しま
す。
[最上位レベル ルール セットの追加]ウィンドウが開きます。
b
[ライブラリ ルール セットからのルール セットのインポート]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが開きます。
c
[ルール セット ライブラリ]リストから、[認証(時間/IP ベース セッション)]ルール セットを選択します。
d
[競合のインポート]領域で、リストに表示されている競合を選択し、[競合の解決]で競合解決方法を選択しま
す。
e
[OK]をクリックします。
[ルール セット ライブラリから追加]ウィンドウが閉じ、ルール セットがルール セット ツリーに表示されま
す。
2
ルール セットを展開し、埋め込まれた[有効な認証セッションのチェック]ルール セットを選択します。
埋め込まれたルール セットの条件およびルールは設定ペインに表示されます。
276
3
[編集]をクリックします。[ルール セットの編集]ウィンドウが開きます。
4
ルール セット条件を修正します。
a
[条件]の下で、[追加]をクリックして、[詳細条件]を選択します。
b
プロパティ リストから、[Connection.Protocol]を選択します。
c
演算子リストから、[等しい]を選択します。
d
オペランドの入力フィールドで、IFP と入力します。
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
メディア タイプ フィルタリング
e
9
[OK]をクリックします。
[条件の追加]ウィンドウが閉じると、[条件]フィールドに条件が表示されます。
f
5
[条件の組み合わせ]で、文字 e の後の閉じ括弧を削除し、d の後に挿入します。
[OK]をクリックします。
[ルール セットの編集]ウィンドウが閉じます。
6
[変更を保存]をクリックします。
メディア タイプ フィルタリング
メディア タイプ フィルタリングを使用すると、特定のメディア タイプに対するアクセスを禁止することができま
す。たとえば、組織の Web セキュリティ ポリシーで画像、オーディオ、ストリーミング メディアが許可されてい
ない場合、これらのメディアに対するアクセスをブロックできます。
このようにして、ユーザーが多くのリソースを消費しないようにできます。
メディア フィルタリング プロセスには複数のプロセスが存在します。これらの要素は様々な方法で実行されます。
•
フィルタリング ルールがプロセスを制御します。
•
ルールでブロック リストを使用し、特定のメディア タイプへのアクセスをブロックできます。
初期セットアップ後、Web Gateway にはメディア タイプ フィルタリングのデフォルト プロセスが実装されていま
す。このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。
メディア タイプ フィルタリングを設定する場合、次の操作を行うことができます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトのメディア タイプ フィルタリング ルール
セットをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を
行うことができます。
•
完全なルール - キー要素ビューで [ビューのロックを解除] をクリックし、ルール セット ツリーで
メディア タイプ フィルタリング ルール セットを展開すると、ネストされている「メディア タイプの
アップロード」と「メディア タイプのダウンロード」のルール セットを表示できます。
いずれかをクリックすると、完了したフィルタリング プロセスのデフォルト ルールを確認できます。
また、キー要素など、すべての要素を設定できるだけなく、新しいルールの作成やルールの削除も実
行できます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
フィルタリング ルール
メディア タイプ フィルタリング プロセスを制御するルールは、通常、1 つのメディア タイプ フィルタリング ルー
ル セットに含まれています。Web にアップロードしたり、Web からダウンロードするメディア タイプのフィルタ
リング ルールには 2 つのルール セットをネストできます。
デフォルトのプロセスを実装すると、2 つのルール セットがネストされたメディア タイプ フィルタリング ルール
セットが追加されます。ネスト側のルール セットの名前は、「メディア タイプ フィルタリング」で、ネストされる
ルールセットは「メディア タイプのアップロード」と「メディア タイプのダウンロード」です。
McAfee Web Gateway 7.5.0
製品ガイド
277
9
Web フィルタリング
メディア タイプ フィルタリング
メディア タイプ フィルタリング ルールでは、メディア タイプのリストを使用できます。また、
MediaType.IsAudio や MediaType.IsVideo プロパティなど、適切なプロパティを使用する必要があります。
ブロック リスト
ブロック リストは、特定のメディア タイプへのアクセスをブロックするルールで使用されます。ネットワーク内か
ら Web へのメディアのアップロードを禁止するブロック リストもあります。また、Web からネットワークへのメ
ディアのダウンロードを禁止するブロック リストもあります。
メディア タイプ フィルタリングでキー要素を設定する
メディア タイプ フィルタリングでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要なフィルタ
リング プロセスを適用します。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、[メディア タイプ フィルタリング] ルール セットを選択します。
フィルタリング プロセス ルールのキー要素が設定ペインに表示されます。
3
必要に応じて、キー要素を設定します。
4
[変更の保存] をクリックします。
メディア タイプ フィルタリングのキー要素
メディア タイプ フィルタリングのキー要素は、このフィルタリング プロセスで重要な処理を行います。
アップロードでメディア タイプをブロック
Web にアップロードされるメディアをフィルタリングするキー要素
表 9-20 アップロードでメディア タイプをブロック
オプション
定義
[ブロックするメディア タイプ] [編集] をクリックすると、ウィンドウが開き、ルールが使用するアップロード メ
ディア タイプのブロック リストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
ダウンロードでメディア タイプをブロック
Web からダウンロードされるメディアをフィルタリングするキー要素
表 9-21 ダウンロードでメディア タイプをブロック
オプション
定義
[ブロックするメディア タイプ]
[編集] をクリックすると、ウィンドウが開き、ルールが使用するダウンロー
ド メディア タイプのブロック リストを編集できます。
リストに項目を追加したり、項目の変更や削除を実行できます。
278
[検出不能なメディア タイプをブ
ロック]
選択すると、検出不能なタイプのメディアがブロックされます。
[非対応のメディア タイプをブロ
ック]
選択すると、Web Gateway で処理できないタイプのメディアがブロックされ
ます。
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
メディア タイプ フィルタリング
表 9-21 ダウンロードでメディア タイプをブロック (続き)
オプション
定義
[マルチメディアをブロック]
選択すると、マルチメディア タイプのメディアがブロックされます。
[ストリーミング メディアをブロ
ック]
選択すると、ストリーミング タイプのメディアがブロックされます。
完全なルール ビューでメディア タイプ フィルタリングを設定する
ネットワークの要件に合わせてメディア タイプ フィルタリングを設定し、このプロセスに適用できます。
URL フィルタリングは、キー要素ビューまたはルール ビューで設定できます。
タスク
1
ルール セットで、URL フィルタリングのルールを確認します。
デフォルトでは、URL Filtering ルール セットになります。
2
必要に応じて、これらのルールを設定します。
たとえば、次の変更を行います。
•
ブロックルールやホワイトリスト ルールを有効または無効にします。
•
これらのルールで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態で、入力の必要があることを示しています。
•
3
URL フィルター モジュールの設定を変更します。
変更を保存します。
メディア タイプ フィルタリングのプロパティ
デフォルト ルール セットのメディア タイプ フィルタリング ルールの多くは、条件に
MediaType.EnsuredTypes プロパティを使用しています。その他のプロパティを使用すると、メディア タイプ
フィルタリングが別の方法で実行されるようにします。
たとえば、 MediaType.NotEnsuredTypes プロパティがあります。ブロック ルールの条件でこのプロパティを
使用する場合、ルールは、実際にこのタイプである可能性が 50% 未満であっても、メディア タイプがブロック リ
ストに存在するメディアをブロックします。
メディア タイプがすべての状況で確実にブロックしたい場合これを行うことができます。
次の表に、メディア タイプ フィルタリングのルールにあるルールのプロパティを示します。
表 9-22 メディア タイプ フィルタリング プロパティ
プロパティ
説明
MediaType.EnsuredTypes
50% 以上の可能性で確認されるメディア タイプを持つメディアのプロパ
ティ
アプライアンスの内部リストからのメディア タイプ シグネチャがメディア
のオブジェクト コードに存在する場合、このレベルの可能性が想定されま
す。
MediaType.NotEnsuredTypes
McAfee Web Gateway 7.5.0
実際にメディアの各タイプである可能性が 50% 未満であるメディアのプ
ロパティ
製品ガイド
279
9
Web フィルタリング
メディア タイプ フィルタリング
表 9-22 メディア タイプ フィルタリング プロパティ (続き)
プロパティ
説明
MediaType.FromFileExtension メディア タイプがメディア タイプ ファイル名の拡張子に基づいて推測さ
れるメディアのプロパティ
拡張子およびそれに関連するメディア タイプは、アプライアンスの内部カタ
ログで検索されます。ただし、複数のメディア タイプによって使用される拡
張子があります。
MediaType.FromHeader
メディアと共に送信されるヘッダーのコンテンツ タイプ フィールドによっ
て推測されるタイプのメディアのプロパティ
ヘッダーは標準形式で読み込み、評価します。元の形式でヘッダーをフィル
タリングするには、Header.Get プロパティを使用できます。
MediaType.IsSupported
アプライアンスのオープナー モジュールによって展開できる埋め込みメデ
ィアまたはアーカイブ メディアのプロパティ
List.OfMediaType.IsEmpty
内部リストにないタイプを持つメディアのプロパティ
メディア タイプ フィルタリング ルールの変更
ルールの条件のプロパティを変更することで、メディア タイプ フィルタリング ルールを別の種類のメディア タイプ
をフィルターするように変更できます。変更したルールで使用できるよう新しいフィルター リストを作成すること
も必要です。
タスク
•
280 ページの「変更したルールにフィルター リストを作成」
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成で
きます。
•
281 ページの「メディア タイプ フィルタリングのルールでプロパティを置換する」
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディ
ア タイプ フィルタリング ルールの条件のプロパティを置換できます。
変更したルールにフィルター リストを作成
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの[リストのカスタマイズ] ブランチで、[メディア タイプ]を選択し、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
[名前]フィールドに新しいリストの名前(Not Ensured Download Media Type Blocklist など)を入力し
ます。
4 [オプション][コメント] フィールドで、新しいリストの平文コメントを入力します。
5 [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストが[メディア タイプ]の下のリスト ツリーに表示されます。
新しいリストのエントリを記入して、メディア フィルタリング ルールにブロックするものと許可するものを設定で
きます。
280
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
メディア タイプ フィルタリング
メディア タイプ フィルタリングのルールでプロパティを置換する
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディア タイプ フ
ィルタリング ルールの条件のプロパティを置換できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2 [ルール セット]ツリーで、メディア タイプ フィルタリングのルール セット(たとえば、[メディア タイプ フ
ィルタリング] ルール セットでネストされた[ダウンロード メディア タイプ]など)を選択します。
3
ルール([ダウンロード メディア タイプのブラックリストからタイプをブロック]など)を選択し、[編集]をクリ
ックします。
[ルールの編集]ウィンドウが選択した[名前]ステップとともに開きます。
4
[ルールの条件]をクリックし、[条件]下でルールを選択します。そこで[編集]をクリックします。
[条件の編集]ウィンドウが開きます。
5
6
以下のとおり、ルール条件を構成します。
a
左の列のプロパティのリストから、たとえば、MediaType.EnsuredTypes の代わりに
[MediaType.NotEnsuredTypes ]などの新しいプロパティを選択します。
b
右側の列のオペランドのリストから、[確認されていないダウンロード メディア タイプのブラックリスト]を
選択します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
7
[完了]をクリックします。
[ルールの編集]ウィンドウが閉じ、変更したルールが選択したネスト済みのルール セット内に表示されます。
8
[変更の保存]をクリックします。
メディア タイプ フィルタリングのルール セット
メディア タイプ フィルタリング ルール セットは、メディア タイプ フィルタリングのデフォルト ルール セットで
す。
ライブラリ ルール セット — メディア タイプ フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
以下のルール セットは、このルール セット内にネストされています。
• アップロード メディア タイプ
このルール セットは、デフォルトでは有効になっていません。
• ダウンロード メディア タイプ
アップロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのアップロードをブロックします。こ
れは、ユーザーが Web にメディアのアップロードをリクエストした際にリクエスト サイクルで、また、オブジェ
クトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
McAfee Web Gateway 7.5.0
製品ガイド
281
9
Web フィルタリング
アプリケーション フィルタリング
ネストされたライブラリ ルール セット — メディア タイプ アップロード
条件 — Always
サイクル — Requests (and IM) and embedded objects
ルール セットは、以下のルールを含みます。
アップロード メディア タイプ ブラックリストからタイプをブロック
Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベン
ト パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュー
ルの設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
ダウンロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのダウンロードをブロックします。こ
れは、Web サーバーがユーザーのダウンロード リクエストに応答してメディアを送信する際に応答サイクルで、
また、オブジェクトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
ネストされたライブラリ ルール セット — ダウンロード メディア タイプ
条件 — Always
サイクル — Responses and embedded objects
ルール セットには、以下のルールが含まれます。
Block types from list Download Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベン
ト パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュー
ルの設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
アプリケーション フィルタリング
アプリケーション フィルタリングは、ネットワークを使用して不審なアプリケーションにアクセスできないことを保
証します。たとえば、Facebook、Xing、その他などが該当する可能性があります。フィルタリング プロセスのアプ
282
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
アプリケーション フィルタリング
9
リケーション名とレピュテーション スコアを確認し、それにしたがってアクセスをブロックします。フィルタリング
はアプリケーションの各機能にも適用できます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
アプリケーションをブロックするルールで使用するアプリケーション リスト
•
間隔に更新するアプリケーション システム リスト
フィルタリング プロセスの状態および統計の更新は、ダッシュボードに表示されます。
アプリケーション フィルタリングのルール
アプリケーション フィルタリングをコントロールするルールは、通常 1 つのルール セットに含まれます。これら
は、次の 2 つの方法を使用して、アプリケーションおよびアプリケーションの各機能へのアクセスをブロックしま
す。
•
リストにあるアプリケーションおよび各機能をブロックする
•
特定のリスクの重大度に割り当てられたアプリケーションをブロックする
リストに従ってアプリケーションおよび各機能をブロックするには、Application.Name プロパティが使用されま
す。
このプロパティの値は、アプリケーションおよび各機能にアクセスするユーザーによって送信された、リクエストに
表示されるアプリケーションおよび各機能の名前です。この名前がブラックリストにある場合、アクセスがブロック
されます。例として、以下のルールが該当します。
名前
リストに従ってアプリケーションをブロックする
条件
Application.Name is in list Unwanted Applications
アクション
–> Block<Application Blocked>
リスクの重大度にしたがってアプリケーションをブロックするには、Application.IsMediumRisk または
Application.IsHighRisk などが使用され、これには値として true または false があります。
リスク評価は、Global Threat Intelligence システムによって割り当てられた、アプリケーションのレピュテーショ
ン スコアに基づいています。アプリケーションへのアクセスを許容するリスクが高いと考えられる場合、これは悪い
評価になります。
アプリケーションがこのレベルに達する、または超える場合、以下のルールのようにアクセスがブロックされます。
名前
高リスク アプリケーションをブロックする
条件
Application.IsMediumRisk equals true OR
Application.isHighRisk equals true
アクション
–> Block<Application Blocked>
両方の方法はアプリケーション システム リストを使用します。これらのリストにあるアプリケーションおよびアプ
リケーション機能のみ、アプリケーションのフィルタリング ルールに使用されるリストにも表示できます。
アプリケーションおよびアプリケーション機能のリスクの重大度も、アプリケーション システム リストに表示され
ます。
ログ用に、Application.To String および Application.Reputation があります。これは、それぞれレピュテ
ーション スコアのため文字列と数値に変換された、リクエストされたアプリケーション名です。
McAfee Web Gateway 7.5.0
製品ガイド
283
9
Web フィルタリング
アプリケーション フィルタリング
ログ ファイル エントリで情報を記録するルールで、これらのプロパティを使用できます。
アプリケーション フィルタリングは、アプライアンスのデフォルトで実行されません。しかし、ライブラリから
Application Control ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
ブロッキング リスト
ブラックリストはルールによって使用され、ユーザーによってリクエストされたアプリケーションへのアクセスをブ
ロックします。ライブラリ ルール セットは、すでにいくつかのアプリケーション名があるリストが含まれています。
ライブラリ ルール セットからアプリケーション名をリストに追加するか、削除するか、独自のリストを作成できま
す。アプリケーション名を追加する場合、アプリケーション システム リストから取得する必要があります。
同じ方法で、アプリケーション機能名を使用してリストを作成および編集できます。
アプリケーション システム リスト
リストに表示されるアプリケーション フィルタリング ルールによって、ブロックできるアプリケーションおよびア
プリケーション機能です。これは、アプライアンス システムおよび間隔で更新されたことで提供されます。
[リスト]タブのリスト ツリーにあるシステム リストのアプリケーション名フォルダーを展開してこれらのリストを
表示できます。このフォルダーには、ファイル共有またはインスタント メッセージングなどの、異なるタイプのアプ
リケーションのたくさんのサブフォルダーが含まれています。
サブフォルダーにはアプリケーションのリストが含まれており、各々について次の情報が提供されます。
•
アプリケーション名(またはアプリケーション機能を持つアプリケーション名)
•
コメント
•
リスク レベル
•
アプリケーションの説明(またはアプリケーション機能)
アプリケーションの機能は、Orkut(Orkut Chat)のように、アプリケーション名の後の括弧内に表示されます。ブ
ロック ルールのリスト内にアプリケーション機能が含まれている場合、この機能はブロックされるだけで、アプリケ
ーションを終了するわけではありません。
以下は、システム リスト内にあるアプリケーションのエントリーの一例です。
MessengerFX | Risk:Minimal:A web-based instant messaging service
次の例は、アプリケーション機能のエントリを示します。
Orkut(Orkut Chat) | Risk:High:Allows users to send instant messages.
ダッシュボードのアプリケーション フィルタリング情報
ダッシュボードは、アプリケーション フィルタリングの以下の情報を提供します。
•
アプリケーション リストの状態を更新する
•
実際はブロックされたアプリケーションおよびアプリケーション機能の統計
アプリケーション フィルタリングの構成
アプリケーション フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
284
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
アプリケーション フィルタリング
9
タスク
1
Application Control ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ブロック ルールの有効化または無効化
•
アプリケーションを追加または削除して、ルールで使用されたリストを編集します。
•
独自のリストを作成し、既存のリストの代わりで使用するか、既存のリストに追加して使用する
•
Application.IsMediumRisk の Application.IsHighRisk に置き換えるなど、関連プロパティに置き
換えることで、ルールで使用されるレピュテーション レベルを変更します。
独自のブロック ルールを作成することも可能です。
3
変更を保存します。
アプリケーション フィルタリングのリストを作成する
アプリケーション フィルタリング ルールで使用するためのリストを作成し、ブロックする必要のあるアプリケーシ
ョンまたはアプリケーションの各機能のエントリを入力します。
タスク
1
[ポリシー] 、 [リスト]を選択し、[Add]アイコンをクリックします。
[リストの追加]ウィンドウが開きます。
2
一般リスト設定を構成します。
a
[名前]フィールドで、Unwanted Applications のようなリストの名前を入力します。
b
[タイプ] リストで、[アプリケーション名]を選択します。
c [オプション][権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
d [オプション][コメント] フィールドで、リストの平文コメントを入力します。
3
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、リスト ツリーの [カスタム リスト] 、 [アプリケーション名] の下にあるリ
スト ツリーにリストが表示されます。
4
設定ペインの上のリストを選択し、[編集]アイコンをクリックします。
[編集]ウィンドウは、アプリケーション名を含むフォルダーのコレクションと一緒に開きます。
McAfee Web Gateway 7.5.0
製品ガイド
285
9
Web フィルタリング
アプリケーション フィルタリング
5
アプリケーションまたはアプリケーションの各機能のエントリを入力します。
a
ユーザーに名前を付けるアプリケーションまたはアプリケーションの各機能を含むフォルダーを展開し、
[Instant Messaging Web Applications] などをリストを追加します。
b
[MessengerFX] または [Orkut(Orkut Chat)]のように、アプリケーションまたはアプリケーション機能を
設定します。
複数のアプリケーションまたはアプリケーション機能を同時に選択したり、複数のフォルダーから同時にアイ
テムを選択したり、完全なフォルダーを選択したりすることができます。
[OK]をクリックします。
c
[編集]ウィンドウが閉じると、選択したアプリケーションおよびアプリケーション機能はリストに表示されま
す。
また、完全なフォルダーを追加して、含めたくないプリケーションおよびアプリケーション機能のエントリを
後で削除することもできます。
6
[変更を保存]をクリックします。
アプリケーション フィルタリング ルールの条件で作成したリストを使用できます。たとえば、アクセスするアプリ
ケーションまたはアプリケーション機能の名前がリストに表示されるように要求される場合に条件を満たします。
アプリケーション フィルタリング ルールのリスク レベルを修正する
高から中など、Web セキュリティに示すリスクに従って、アプリケーションをフィルタリングするルール内のリス
ク レベルを修正できます。これにより、アプリケーションが中程度のリスクであっても、ブロック アクションをト
リガーできるため、Web セキュリティが向上します。
開始する前に
次の手順は、ライブラリからアプリケーション コントロール ルール セットをインポートしていること
を前提としています。
タスク
1
[ポリシー ] 、 [ルール セット ]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
2
[アプリケーション コントロール]ルール セットを展開し、[リクエスト サイクルのアプリケーションをブロック
する]ルール セットを展開します。
一般的な設定とネストされているルール セットのルールは、設定パネルで表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
[危険度高で Web アプリケーションをブロックする]ルールを選択し、[編集]をクリックします。
[ルールの編集]ウィンドウが開きます。
5
[Steps]で、[Rule Criteria]を選択し、[Criteria]セクションで、複雑な条件(いずれかは
[Application.IsHighRisk] プロパティを使用します)の上部分を選択して、[編集]をクリックします。
[条件の編集]ウィンドウ、およびプロパティ リストで選択した [Application.IsHighRisk] プロパティが開かれ
ます。
6
286
プロパティ リストから、[Application.IsMediumRisk] を選択します。
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
アプリケーション フィルタリング
7
[OK]をクリックします。
[条件の編集]ウィンドウが閉じると、修正された条件が[条件]セクションに条件が表示されます。
8
[完了]をクリックします。
[ルールの編集]ウィンドウが閉じ、設定ペインには修正された条件と一緒にルールが表示されます。
9
[変更を保存]をクリックします。
アプリケーション コントロール ルール セット
アプリケーション コントロール ルール セットは、アプリケーション フィルタリングのライブラリ ルール セットで
す。
ライブラリ ルール セット – アプリケーション コントロール
条件 — Always
サイクル - 要求 (および IM)、応答
以下のルール セットは、このルール セット内にネストされています。
•
要求サイクルのアプリケーションをブロックする
•
応答サイクルのアプリケーションをブロックする
要求サイクルのアプリケーションをブロックする
このネストされたルール セットは、要求サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット - 要求サイクルのアプリケーションをブロックする
条件 — Always
サイクル - 要求 (および IM)
ルール セットは、以下のルールを含みます。
インスタント メッセージング アプリケーションをブロックする
Application.Name is in list Instant Messaging –> Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
McAfee Web Gateway 7.5.0
製品ガイド
287
9
Web フィルタリング
ストリーミング メディア フィルタリング
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確
認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文
字列と同じ場合、アプリケーションの要求がブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
応答サイクルのアプリケーションをブロックする
このネストされたルール セットは、応答サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット – 応答サイクルでアプリケーションをブロックする
条件 — Always
サイクル – 応答
ルール セットは、以下のルールを含みます。
応答サイクルで検索するアプリケーション
Application.Name is in list of Applications to Search for in Response Cycle –>
Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションの要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを確
認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した文
字列と同じ場合、アプリケーションの要求がブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
ストリーミング メディア フィルタリング
Web Gateway が Web オブジェクを受信したときに、ストリーミング メディア フィルタリングがこのタイプのオ
ブジェクトを検出し、設定済みのルールに従ってオブジェクトを処理します。
Web Gateway でウイルスとマルウェアのフィルタリングが実装されていると、受信した Web オブジェクトがスキ
ャンされ、感染の有無が確認されます。総合的なスキャン結果を得るには、完全な Web オブジェクトをスキャンす
る必要があります。
288
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ストリーミング メディア フィルタリング
ただし、ストリーミング メディアの場合、完全な状態でスキャンすることはできません。ストリーミング メディア
以外を扱う通常のスキャンでは正確な結果を得ることはできません。
ストリーミング メディアを処理すると、スキャン プロセスが完了しないため、処理の遅延が延々と続くことになり
ます。
Web オブジェクトがストリーミング メディアであることが判明した場合にオブジェクトをブロックすると、スキャ
ンが完了していない Web オブジェクトに対するアクセスを禁止できます。
あるいは、ストリーミング メディアをウイルス/マルウェア スキャンの対象外にし、スキャンが完了していないメデ
ィアに対するアクセスをユーザーに許可することもできます。
Web Gateway では、フィルタリング プロセスで次の要素を使用します。
•
プロセスを制御するフィルタリング ルール
•
Web オブジェクトがストリーミング メディアである可能性を計算するモジュール
Web オブジェクトがストリーミング メディアである可能性が設定値に達するか、設定値を超えた場合、このモジ
ュールが該当するプロパティの値を true に設定します。
ストリーミング メディア フィルタリングは、フィルタリング プロセスの応答サイクルに適用され、ユーザーの要求
に応答して Web サーバーが送信したストリーミング メディアを処理します。
ストリーミング メディア検出のルール
ストリーミング メディアの可能性が特定の値に一致する Web オブジェクトをブロックまたは許可するには、
StreamDetector.IsMediaStream プロパティを使用するルールを設定します。
このプロパティの値が true になると、Web オブジェクトに対するアクセスが次のルールによってブロックされま
す。
名前
ストリーミング メディアへのアクセスをブロックする
条件
StreamDetector.IsMediaStream<Streaming Detection> equals
true
アクション
–> Block<Streaming Media
Blocked>
次のルールによって許可されます。
名前
ストリーミング メディアに対するアクセスを許可する
条件
StreamDetector.IsMediaStream<Streaming Detection> equals true
アクション
–> Continue
StreamDetector.IsMediaStream プロパティの値はストリーム ディテクター モジュールにより指定されま
す。
Web Gateway のデフォルトでは、ストリーミング メディア フィルタリングは実行されません。使用する場合には、
前述のようなルールを作成する必要があります。
このルールをそれ自身のルール セットで使用せずに、メディア タイプ フィルタリング ルール セットなど、別の適
切なルール セットに挿入することをお勧めします。
McAfee Web Gateway 7.5.0
製品ガイド
289
9
Web フィルタリング
ストリーミング メディア フィルタリング
デフォルトの「ゲートウェイ マルウェア対策」ルール セットには、ウイルスとマルウェアのフィルタリングからス
トリーミング メディアを除外するルールが含まれています。このルール セットでは、マルウェア対策スキャン モジ
ュールで Web オブジェクトをスキャンするルールの前に、スキップ ルールが配置されています。
ストリーミング メディア フィルタリングの他のプロパティ
StreamDetector.IsMediaStream プロパティが true に設定されると、関連する値が他の 2 つのプロパティも
設定されます。StreamDetector.Probability プロパティには、Web オブジェクトに対して実際に計算された可
能性 (パーセント) が設定されます。たとえば、60、70 などの値が設定されます。
StreamDetector.IMatchedRule プロパティの値は一致するルールの名前です。
これらの追加プロパティは、ログ ファイル エントリーの情報を記録するルールで使用できます。
ストリーミング メディア検出のモジュール
Web オブジェクトがストリーミング メディアである可能性は、ストリーム ディテクター モジュール (フィルター、
エンジンともいいます) が計算します。このモジュールは、URL カテゴリ、content-type ヘッダー、送信元 IP ア
ドレスなどの項目を使用して可能性を計算します。計算の結果はパーセントで表されます。
このように検出できるストリーミング メディアの種類には、次のものがあります。
•
Flash ベースのビデオ
•
RealMedia
•
IC9 ストリーム
•
MP3 ストリーム
•
MS-WMSP
このモジュールの設定を行い、Streaming Media Detection などの名前を付けることができます。また、Web
オブジェクトがストリーミング メディアとして見なされる最小の可能性も設定します。
ストリーミング メディア フィルタリングの構成
ストリーミング メディア フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
ストリーミング メディアが構成されたレベルに届くまたは超える可能性がある場合、Web オブジェクトをブロッ
クするストリーミング メディア フィルタリング ルールを作成します。
2
たとえば、メディア タイプ ルール セットで、適合するルール セットにこのルールを挿入します。
可能性のレベルを上げるまたは下げることで、ルールを後で変更できます。これは、ストリーム検出モジュール
の設定を構成することで完了します。
3
変更を保存します。
ストリーミング メディア検出モジュールを設定する
ネットワーク要件に応じて、Web オブジェクトのストリーミング メディアの可能性を計算するモジュールを設定す
ることができます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
[ストリーム ディテクター] を選択して [追加] をクリックします。
[設定の追加] ウィンドウが開きます。
290
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ストリーミング メディア フィルタリング
3
[名前] フィールドに設定名を入力します。
4
(オプション) [コメント] 入力フィールドに、設定のコメントを入力します。
5
(オプション) [権限] タブをクリックして、設定へのアクセスを許可するユーザーを設定します。
6
必要に応じて、[ストリーム ディテクター] でモジュールの設定を行います。
7
[変更を保存] をクリックします。
ベスト プラクティス - ストリーム ディテクターの設定
ストリーム ディテクターを設定すると、ストリーム メディアの処理方法を設定できます。ストリーム ディテクター
がストリーム メディアの Web オブジェクトを検出したときに、特別なスキャンを実行するようにしてください。
通常、Web Gateway でウイルスとマルウェアのフィルタリングを行うには、Web オブジェクトが完全にダウンロ
ードされ、マルウェア対策モジュール (エンジンまたはフィルターともいいます) がスキャンする必要があります。
ストリーミング メディアの場合、メディアのダウンロードが完了するのを待ってスキャンを行うことはできません。
通常のスキャン方法では、処理の遅延が延々と続くことになります。
ストリーミング メディアの場合には、特別な処理が必要になります。このため、Web Gateway には次の 2 つのコ
ンポーネントが用意されています。
•
ストリーム ディテクター - Web オブジェクトがストリーミング メディアかどうかを判断します。
•
メディア ストリーム スキャナー - ストリーミング メディアをチャンク単位でスキャンします。
通常の方法と比べても、メディア ストリーム スキャナーは負荷のかからない方法でスキャンを実行します。
メディア ストリーム スキャナーの処理状況に合わせて、ダウンロード要求を送信したクライアントにストリーミン
グ メディアがチャンク単位で配信されます。チャンク内で感染が検出されると、ダウンロードが停止します。感染チ
ャンクと残りのストリーミング メディアは配信されません。
ストリーム ディテクターは Web Gateway の独立したモジュールです。メディア ストリーム スキャナーのよう
に、マルウェア対策モジュールの一部ではありません。
該当するルールが両方のコンポーネントを呼び出し、処理を実行します。デフォルトでは、このルールはゲートウェ
イ マルウェア対策ルール セットに含まれています。
ただし、McAfee Web Gateway の古いバージョンでは、このルールが使用できません。次の操作を行ってくださ
い。
•
ルール セット システムを検査します。
•
デフォルトのゲートウェイ マルウェア対策ルール セットあるいはウイルスとマルウェアのフィルタリングに使
用しているルール セットにルールが含まれていない場合には、このいずれかのルール セットにルールを設定しま
す。
このルールは、通常のマルウェア対策スキャンを開始するルールの直前に配置する必要があります。
ストリーミング メディア フィルタリングのルール
ストリーミング メディア フィルタリングのデフォルトのルールは次のようになります。
名前
ストリーミング メディアでマルウェア対策スキャンをスキップしてメディア ス
トリーム スキャナーを開始する
条件
McAfee Web Gateway 7.5.0
アクショ
ン
イベント
製品ガイド
291
9
Web フィルタリング
ストリーミング メディア フィルタリング
Cycle.Name equals "Response" AND
StreamDetector.IsMediaStream<Default Streaming Detection>
equals true
–> ルール セ – メディア ス
ットの停
トリーム ス
止
キャナーを有
効にする
デフォルトの「ゲートウェイ マルウェア対策」ルール セットで、このルールは、通常のマルウェア対策スキャンを
開始するルールの直前にあります。
Web オブジェクトがストリーミング メディアであることをストリーム ディテクターが確認すると、このルール セ
ットの処理を停止してメディア ストリーム スキャナーを開始します。ストリーミング メディアのスキャンを実行
して、通常のスキャンを実行するルールをスキップします。
Cycle.Name プロパティの条件部分により、転送された要求に応答して Web Gateway が Web から Web オブジ
ェクトを受信したときにのみ、このルールが適用されます。
ストリーム ディテクターの設定
ストリーム ディテクター モジュールの設定は、設定ツリーの [ストリーム ディテクター] で行います。デフォルト
の設定名は [デフォルトのストリーミング検出] です。
デフォルトでは、次のオプションだけが設定されています。
[最小の可能性] - ストリーミング メディアの可能性が設定されています。この可能性を満たすと、Web オブジェク
トがストリーミング メディアとして処理されます。
•
可能性はパーセントで表され、1 から 100 までの数字で設定されます。
•
この可能性はストリーム ディテクターが使用します。最小の可能性に達すると、
StreamDetector.IsMediaStream プロパティが true に設定されます。このプロパティは、ストリーミン
グ メディア フィルタリングのデフォルトのルールで使用されています。
•
最小の可能性のデフォルト値は 60 です。この値は変更しないようにしてください。
ストリーム ディテクターの設定
ストリーム ディテクターの設定は、ストリーミング メディアである Web オブジェクトの確率を計算するモジュー
ルを設定するために使用されます。
ストリーミング ディテクター
ストリーミング メディアの確率を計算するモジュールの設定
表 9-23 ストリーミング ディテクター
オプション
定義
[最小の可能性] Web オブジェクトがストリーミング メディアとして処理される可能性がパーセントで表示され
ます。この値は 0 から 100 の数字で設定します。
292
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
グローバル ホワイトリスト登録
9
グローバル ホワイトリスト登録
グローバル ホワイトリストを使用すると、ホワイトリストに登録された Web オブジェクトのフィルタリングをスキ
ップし、オブジェクトに対するアクセスを許可できます。
グローバル ホワイトリストのプロセスでは、機能の異なる複数の要素が実行されます。
•
フィルタリング ルールがプロセスを制御します。
•
ルールは、ホワイトリストを使用して Web オブジェクトのフィルタリングをスキップします。
初期セットアップ後、Web Gateway には グローバル ホワイトリストのデフォルト プロセスが実装されています。
このプロセスは、環境の Web セキュリティ ポリシー要件に合わせて変更できます。
グローバル ホワイトリストを設定する場合、次のものを使用できます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトの グローバル ホワイトリスト ルール セッ
トをクリックすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行う
ことができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、フィルタリング プロセ
スのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルール
の作成やルールの削除を行うことができます。
変更をすべて破棄するか、ルール セットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
フィルタリング ルール
グローバル ホワイトリスト登録を管理するルールは、1 つのルール セットに含まれます。
ホワイトリスト ルールは、このルールセットに配置され実行されます。これらのいずれかが適用されると、以下のル
ール セットがスキップされ、ホワイトリストに登録された オブジェクトに対してさらにフィルタリングは行われま
せん。
これらのルールは確認、変更、削除が可能で、独自のルールを作成することもできます。
デフォルト ルール セット システムが実施されると、グローバル ホワイトリスト登録のルール セットが含まれます。
その名前は、グローバル ホワイトリストです。
ホワイトリスト
特定の Web オブジェクトをさらなるフィルタリングから除外するホワイトリスト登録ルールに使用されるホワイト
リスト URL 、メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、ホワイト
リスト登録ルールに使用させることも可能です。
グローバル ホワイトリストの構成
グローバル ホワイトリストを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
グローバル ホワイトリストのためルール セットのルールを確認します。
デフォルトでは、これはグローバル ホワイトリスト ルール セットです。
McAfee Web Gateway 7.5.0
製品ガイド
293
9
Web フィルタリング
グローバル ホワイトリスト登録
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ホワイトリスト ルールの有効化または無効化
•
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
変更を保存します。
グローバル ホワイトリストのルール セット
グローバル ホワイトリスト ルール セットは、グローバル ホワイトリスト登録のためのデフォルト ルール セットで
す。
デフォルト ルール セット — グローバル ホワイトリスト
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
許可されたクライアントのリストにあるクライアント IP
Client.IP is in list Allowed Clients –> Stop Cycle
ルールは Client.IP プロパティを使用し、リクエストを送信したクライアントの IP アドレスが指定のホワイトリ
ストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。そこでリクエストが適切
な Web サーバーに転送されます。
URL.Host matches in list Global Whitelist
URL.Host matches in list Global Whitelist –> Stop Cycle
ルールは URL.Host プロパティを使用して、リクエストで送信された URL がアクセスを与えるホストが指定のホ
ワイトリストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。リクエストはそこで、リ
クエストされたホストである Web サーバーに転送されます。
294
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
SSL スキャン
9
SSL スキャン
SSL スキャンは SSL セキュア Web トラフィックが処理でき、その他のフィルタリング機能で使用できるようにな
っていることを確認します。
SSL s キャン プロセスでは、機能の異なる複数の要素が実行されます。
•
SSL スキャン ルールがプロセスを制御します。
•
ルールがホワイトリストと他のリストを使用して、Web オブジェクトに対する SSL スキャンをスキップしたり、
プロセス内の他の機能を実行します。
•
ルールによって呼び出された SSL スキャン モジュールが証明書の検証とプロセス内の他の機能を実行します。
SSL スキャンを設定するときに、次のルールを使用できます。
•
ルールのキー要素 - ルール セット ツリーでデフォルトの SSL Scanner ルール セットをクリッ
クすると、フィルタリング プロセスのデフォルト ルールでキー要素を表示し、設定を行うことができ
ます。
•
完全なルール - キー要素ビューで [Unlock View] (ビューのロック解除) をクリックすると、フィル
タリング プロセスのデフォルト ルールをすべて表示できます。キー要素を含むすべての要素を設定
し、新しいルールの作成やルールの削除を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
SSL スキャン ルール
SSL スキャニングを制御するルールは、いくつかのネストされたルール セットをもつ 1 つのルール セットに通常含
まれます。ネストされた ルール セットのそれぞれは、SSL スキャニング プロセスの特定の機能を制御します。
•
CONNECT 呼び出しの処理 ― CONNECT 呼び出しを処理するためのルールをもつルールセットがあります。
これは SSL セキュア通信の先頭で HTTPS プロトコルの下で送信されます。
•
証明書の検証 ― たとえば、これらの証明書の共通名を検証するなど、SSL セキュア通信でクライアントとサー
バーにより送信された証明書を検証するためのルール セットがあります。
プロセスのこの部分は、明示的なプロキシと透過型のセットアップの両方に対する検証を許可します。
•
コンテンツの検査の有効化 ― 別のルール セットには、SSL セキュア通信で転送されたコンテンツの検査を有効
にするためのルールが含まれます。
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
SSL スキャニングについてアプライアンスで施行されているルールを見直し、それらを変更または削除し、固有のル
ールを作成することもできます。
デフォルト ルール セット システムが実施されると、SSL スキャニングのルール セットが含まれます。その名前は、
SSL スキャナーです。ただし、このルール セットは、初期状態では有効になっていません。
McAfee Web Gateway 7.5.0
製品ガイド
295
9
Web フィルタリング
SSL スキャン
SSL スキャニングのためのホワイトリストとその他のリスト
ホワイトリストは、Web オブジェクトにプロセスの一部を除外させるための SSL スキャニング ルールにより使用さ
れます。たとえば、証明書のホワイトリストは、証明書の検査の実行を免除します。
SSL スキャニングで使用されるその他のリストには、受け付けられる場合は CONNECT 呼び出しで許可されるポー
ト番号と特定の交換キーを適用できないために証明書の特別な種類の検証を必要とするサーバーを含みます。
このリストにエントリを追加したり、エントリを削除することが可能です。また、独自のリストを作成し、SSL スキ
ャニング ルールに使用させることも可能です。
SSL スキャン モジュール
以下のモジュール (エンジンとも呼ばれます) は、SSL スキャニング プロセスの異なる部分を実行するために、SSL
スキャニング ルールにより呼び出されます。
•
SSL スキャナー — 実行する際の設定に応じて、明書の検証を扱うか、コンテンツ検査を有効化します。
適宜、モジュールは異なる設定での証明書検証とコンテンツの検査のためのルールにより呼び出されます。
•
クライアント コンテキスト設定のためのモジュール ― SSL セキュア通信で要求を送信するクライアントへのア
プライアンスの証明書の送信を処理します。
この証明書が送信されると、証明書を発行する証明書機関 (CA) はそれと共に、またはそれなしで送信できます。
適宜、証明書機関と共に証明書を送信するモジュールと、証明書機関なしで証明書を送信する別のモジュールが
あります。
デフォルト システムの SSL スキャナー ルール セットは、証明書機関と共に証明書を送信する方法を使用しま
す。
デフォルトの証明書機関は、初期セットアップの後で使用できます。しかし、さらに使用するために固有の証明
書権限を提供することをお勧めします。
•
証明書チェーン — 証明書の追加元のリストを使用して、チェーンを形成する証明機関の追加を処理します。
チェーンを形成する際、モジュールはチェーンに含まれる証明書に証明機関のリストを使用します。既存のリス
トに証明機関および新しいリストを追加することができます。
SSL スキャンの構成
SSL スキャンを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
SSL スキャンのルール セットを有効にし、このルール セット内のルールを確認します。
デフォルトでは、これは SSL スキャナー ルール セットです。
2
296
必要に応じて、これらのルールを設定します。
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
SSL スキャン
9
たとえば、次の変更を行います。
•
アプリケーションがクライアントに送信する証明書に署名するデフォルトのルート証明機関を独自の証明書
で置換します。
これは、ユーザー インターフェースで作成する、またはファイル システムからインポートする証明機関によ
って可能です。
•
•
ホワイトリスト ルールを有効または無効にします。例:
•
クライアントによって提出された証明書がホワイトリストにある場合、証明書の検証をスキップするデフ
ォルトのルールです。
•
要求された URL のホストがホワイトリストにある場合、コンテンツの検査をスキップするデフォルトで
す。
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
3
•
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
•
SSL スキャンに関連するモジュールの設定を変更します。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
変更を保存します。
SSL スキャン モジュールの構成
SSL スキャン モジュールを構成し、SSL セキュア Web トラフィックが処理される方法を変更できます。
以下のモジュールは SSL スキャンに関連し、構成可能です。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、SSL スキャンのためにルール セットを検索します。
デフォルトでは、これは SSL スキャナー ルール セットです。
3
ルール セットを展開し、構成するモジュールの設定があるルールを含むネストされたルール セットを選択しま
す。
たとえば、SSL スキャナー モジュールを構成するには、ネストされた接続呼び出しの処理ルール セットを展開
します。これは、SSL スキャナー モジュールのデフォルトの証明書の検証設定を持つデフォルトのルール証明書
の検証を有効にするによって含まれます。
ネストされたルール セットのルールが設定パネルに表示されます。
4
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.5.0
製品ガイド
297
9
Web フィルタリング
SSL スキャン
5
構成するモジュールの設定を持つルールを検索します。
これは、例えば上記の証明書の検証を有効にするルールである可能性があります。
6
ルール内で、設定名をクリックします。
たとえば、証明書の検証を有効にするルール イベントで、デフォルトの証明書の検証をクリックします。
[設定の編集]ウィンドウが開きます。SSL スキャナー モジュールなどモジュールの設定を提供します。
7
必要に応じて、これらの設定を構成します。
8
[OK]をクリックしてウィンドウを閉じます。
9
[変更の保存]をクリックします。
デフォルトのルート証明書権限の置換
アプリケーションがクライアントに送信する証明書に署名するデフォルトのルート証明機関を独自の証明機関に置換
することができます。デフォルトの証明機関は、初期セットアップ後に設定されます。
ユーザー インターフェースで新しいルート証明書権限を作成するか、ファイル システムからのものをインポートで
きます。
タスク
•
298 ページの「ルートの証明機関の作成」
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、
デフォルトの証明機関の代わりに使用できます。
•
299 ページの「ルート証明機関のインポート」
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名する
ために、ルート証明機関(CA)をインポートできます。
ルートの証明機関の作成
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関(CA)を作成し、デフォルトの
証明機関の代わりに使用できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーの[エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト]に進み、
3
[新しく作成]をクリックします。
[新しい証明機関の作成]ウィンドウが開きます。
4
[組織]および[ローカリティ] フィールドに、独自の証明機関に関する適切な情報を入力します。
5 [オプション][組織ユニット]および[ステート] フィールドに適切な情報を入力します。[国]リストから、国を選
択します。
6
[共通名]フィールドに、独自の証明機関の共通名を入力します。
7 [オプション][電子メール] フィールドに、組織で使用している電子メール アドレスを入力します。
8
[有効]リストから、証明機関が有効になる時間を選択します。
9 (オプション) [コメント]フィールドに、証明機関に関する平文コメントを入力します。
298
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
SSL スキャン
10 [OK]をクリックします。
新しい証明機関が作成されます。
11 [変更の保存]をクリックします。
ルート証明機関のインポート
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名するために、ルー
ト証明機関(CA)をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA を持つ SSL クライアント コンテキスト] を選択し、インポートされた証明書を使用する設
定をクリックします。
3
[インポート]をクリックします。
[証明機関のインポート]ウィンドウが開きます。
4
[参照]をクリックして適切なファイルを参照することにより、[証明書]フィールドに証明認証ファイルの名前を入
力します。
ファイルは PEM (Privacy-enhanced mail) 形式でエンコードされている必要があります。
5
[参照]をクリックして適切なファイルを参照することにより、[秘密鍵]鍵フィールドに証明書の鍵ファイルの名前
を入力します。
ファイルは PEM 形式でエンコードされている必要があります。キーは少なくとも 2048 ビットの長さである必
要があります。
6
[条件付き] 秘密鍵がパスワードで保護されている場合、[パスワード]フィールドにパスワードを入力します。
ここでは、暗号化されていない鍵と AES 128 ビットの暗号化鍵のみを使用できます。
7
[条件付き] 証明機関が証明書チェーンに関連し、アプライアンスがクライアントに証明書を送信するよう、この
チェーンの情報を取得したい場合、[参照]をクリックし、適切なファイルを参照することにより、[証明書チェー
ン]フィールドの情報を含むファイル名を入力します。
ファイルは PEM 形式でエンコードされている必要があります。
8
[OK]をクリックします。
証明機関がインポートされます。
9
[変更の保存]をクリックします。
クライアント証明書リスト
クライアント証明書リストは、SSL セキュア通信でクライアント リクエストをアプライアンスで受信し、適切な
Web サーバーでパスする場合の、Web サーバーの送信される証明書のリストです。
SSL 再交渉が行なわれるため、Web サーバーが最初と後の握手で求める場合、証明書が送信されます。
ルール イベントはアプライアンスに伝達され、Web サーバーの通信にクライアント証明書を使用します。証明書は
クライアント証明書リストから選択できます。
この場合、証明書のプライベート キーは、リクエストに送信されるクライアントによって提供されることが必要で
す。
代わりに、常に Web サーバーに送信される事前設定された証明書を使用することもできます。
McAfee Web Gateway 7.5.0
製品ガイド
299
9
Web フィルタリング
SSL スキャン
クライアント証明書リストから証明書の使用をトリガーするルール イベントは、CONNECT 要求に適用するルール、
または条件の Command.Name プロパティの値として CERTVERIFY を持つ証明書の検証に対するルール セッ
トのルールに属することができます。
クライアント証明書リストおよび手順を含むルール イベントの設定を構成し、使用できます。また設定は、アプライ
アンスが提供するクライアントの証明書のプライベート キーが、暗号化されていない状態で保管されるように指定で
きます。
クライアント証明書リストの作成
SSL セキュア通信で Web サーバーに送信可能なクライアント証明書のリストを作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[SSL クライアント証明書の取り扱い]を選択し、[追加]をクリックします。
[設定の追加]タブが選択されている状態で、[設定の追加]ウィンドウが開きます。
3
全般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント] フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[クライアント証明書の取り扱い]で、オプション[クライアントの所有権が証明された場合、既知のクライアント
証明書リストからクライアント証明書を使用する]が選択されていることを確認します。
5
[既知のクライアント証明書]リストのツールバーで、[追加]をクリックします。
[クライアント証明書の追加]ウィンドウが開きます。
6
[インポート]をクリックして、クライアント証明書をインポートします。
[クライアント証明書のインポート] ウィンドウが開きます。
7
クライアント証明書をインポートする
a
[証明書]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
ファイルを参照して選択します。
ファイル マネージャーが閉じ、証明書ファイルの名前がフィールドに表示されます。
b
[秘密鍵]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
鍵ファイルを参照して選択します。
ファイル マネージャーが閉じ、鍵のファイル名とパスワードが[秘密鍵]および[パスワード]に表示されます。
c
[OK]をクリックします。
ウィンドウが閉じ、証明書ファイルの情報が[クライアント証明書のインポート]ウィンドウに表示されます。
d [オプション][コメント] フィールドで、証明書の平文コメントを入力します。
8
[OK]をクリックします。
[クライアント証明書の追加]ウィンドウが閉じ、証明書ファイル名とコメント(提供された場合)が[既知のクラ
イアント証明書]リストに表示されます。
リストに追加する他の証明書に対してステップ 5 から 6 を繰り返します。
300
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
SSL スキャン
9
9
[設定の追加]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
SSL クライアント証明書処理の設定
SSL クライアント証明書処理の設定は、SSL セキュア通信で Web サーバーに送信されるクライアント証明書を設定
するために使用されます。
SSL クライアント証明書処理
SSL クライアント証明書の設定
表 9-24 SSL クライアント証明書処理
オプション
定義
[クライアントが所有権を証明 これが選択されると、SSL セキュア通信で Web サーバーに送信されるクライアン
した場合、既知のクライアント ト証明書は、既知のクライアント証明書のリストから取り出されます。
証明書リストのクライアント
しかし、サーバーへのアプライアンスの転送をリクエストをもつクライアントがこ
証明書を使用する]
の証明書の所有者である場合に、証明書はこのリストからのみ取り出されます。
このラジオ ボタンを選択した後で、[既知のクライアント証明書]セクションが表示
され、証明書のリストを構成するための設定を示します。
[常に事前定義されたクライア
ント証明書を使用する]
これを選択すると、同じクライアント証明書が常に SSL セキュア通信で Web サ
ーバーに送信されます。
このラジオ ボタンを選択した後で、[事前定義されたクライアント証明書]セクショ
ンが表示され、1 つの証明書のリストを構成するための設定を示します。
既知のクライアント証明書
Web サーバーに送信できる既知のクライアント証明書のリストの構成の設定
表 9-25 既知のクライアント証明書
オプション
定義
既知のクライアント証明書リスト SSL セキュア通信で Web サーバーに送信できるクライアント証明書のリスト
を提供します。
次の表は既知のクライアント証明書のリストのエントリーの要素を説明しています。
表 9-26 既知のクライアント証明書 - リスト入力
オプション
定義
[証明書]
クライアント証明書の名前を指定します。
[コメント]
証明書の平文テキストのコメントを提供します。
事前定義されたクライアント証明書
Web サーバーに常に送信されるクライアント証明書の構成の設定
McAfee Web Gateway 7.5.0
製品ガイド
301
9
Web フィルタリング
SSL スキャン
表 9-27 事前定義されたクライアント証明書
オプション
定義
[件名]、[発行者]、[有効 Web サーバーに送信するために現在使用されているクライアント証明書の情報を提供し
性]、[延長]
ます。
[インポート]
クライアント証明書をインポートするために、[クライアント証明書のインポート]ウィン
ドウを開きます。
インポート後に、クライアント証明書の情報が、[件名]、[発行者]の下、およびその他の
情報フィールドに表示されます。
[エクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書を保管しま
す。
[キーをエクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書のプライベー
ト キーを保管します。
[証明書チェーン]
クライアント証明書とともにインポートされる証明書チェーンを表示します。
SSL スキャナー設定
SSL スキャナー設定は証明書が検証されコンテンツの検査が SSL セキュア Web トラフィックに対して有効に設定
される方法を構成するために使用されます。
SSL スキャナーを有効にする
証明書の検証の構成やコンテンツ検査の有効化のための設定
表 9-28 SSL スキャナーを有効にする
オプション
定義
[SSL スキャナー モ
ジュール]
SSL スキャナー モジュールによって実行される機能を選択します。
• [証明書の検証] — 選択すると、モジュールは、SSL セキュア通信で送信される証明書を
検証します。
• [SSL 検査] — 選択すると、モジュールは SSL セキュア通信で送信される Web オブジ
ェクトのコンテンツを検査します。
[SSL プロトコル バ
ージョン]
選択すると、モジュールは SSL セキュア通信で送信される Web オブジェクトのコンテン
ツを検査します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用さ
れます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
[サーバー暗号化リス
ト]
サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。
[SSL セッション キ
ャッシュ TTL]
キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を
保持する時間 (秒)を指定値に制限します。
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証およ
び EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書の検
証を行います。
[RFC 5746 を実装し 選択すると、SSL スキャナー モジュールは、指定された基準への準拠に失敗した Web サ
ないサーバーとのハ
ーバーとの通信においても、これらのアクティビティを実行します。
ンドシェイクと再ネ
ゴシエーションを許
可する]
302
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
SSL スキャン
9
代わりのハンドシェイクを許可する
代わりのパラメーター値を使う SSL で保護された通信のハンドシェイク設定
表 9-29 代わりのハンドシェイクを許可する
オプション
定義
[ハンドシェイクの失敗 選択すると、SSL で保護された通信で最初のハンドシェイク試行が失敗した後、SSL ス
後、代わりのハンドシェ キャナー モジュールは代わりのパラメーター値を使用します。
イク設定を使用する]
[SSL プロトコル バー
ジョン]
SSL スキャナー モジュールが代替のハンドシェイクを実行する際に従うプロトコルのバ
ージョンを選択します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用
されます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
[サーバー暗号化リスト] サーバー データの復号化に使用される Open SSL 記号の文字列を指定します。
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証お
よび EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書
の検証を行います。
SSL クライアント コンテキストの設定
SSL クライアント コンテキスト設定は、アプライアンスがクライアントに送信する証明書を処理するモジュールに
使用されます。
SSL クライアント コンテキストを定義する
アプライアンスがクライアントに送信する証明書の設定
表 9-30 SSL スキャナーを有効にする
オプション
定義
(現在のルート証明 アプライアンスで現在使用されているルート証明書権限(ルート CA)の情報を提供します。
書の権限)
初期設定後に、デフォルトのルート CA がアプライアンスに実装されています。しっかり管理
するために、独自のルート CA を作成することをお奨めします。[新しく作成]ボタンを使用し
て、この証明機関を作成します。
[証明書チェーンの これを選択すると、アプライアンスは、アプライアンスがクライアントへ送信する証明書の検
送信]
証プロセスに関わる証明書チェーンの情報を送信します。
アプライアンスがサーバーとしてクライアントに送信する証明書はレベル 0 に存在すると考
えられます。証明機関(CA)がこのサーバー証明書に署名をして検証する際、これはレベル 1
で行われます。
追加の証明機関が最初の証明機関を検証する際、これはレベル 2 で行われます。それぞれ関わ
る証明機関が追加されるごとに、レベルは 1 つずつ増えていきます。
[証明書チェーン]
証明書チェーンの情報を提供します。
証明書チェーンに関わる既存の証明機関(CA)をインポートした後、この証明書チェーンの情
報がフィールドに表示されます。
[安全でないネゴシ これを選択すると、モジュールは、SSL で保護された通信のパラメーターを、これが安全でな
エーションを実行 い場合でもネゴシエートします。
する]
[クライアント暗号 クライアント データの復号化に使用される Open SSL 記号の文字列を指定します。
リスト]
McAfee Web Gateway 7.5.0
製品ガイド
303
9
Web フィルタリング
SSL スキャン
表 9-30 SSL スキャナーを有効にする (続き)
オプション
定義
[SSL セッション
キャッシュ TTL]
キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を保持
する時間 (秒)を指定値に制限します。
[SSL プロトコル
バージョン]
SSL スキャナー モジュールがハンドシェイクを実行する際に従うプロトコルのバージョンを
選択します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用され
ます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
証明書チェーン設定
証明書チェーン設定は、証明書チェーンの構築を処理するモジュールの構成に使用されます。
証明書の検証
証明書チェーンの構築の設定
表 9-31 証明書の検証
オプション
定義
[証明機関のリスト] 証明書チェーンの証明書に署名する証明機関(CAs)のリストを選択するためのリストを提供
します。
以下の表はリスト エントリの要素を説明しています
表 9-32 証明機関のリスト
オプション
定義
[証明機関]
証明機関名を指定します。
[証明書失効リスト] この証明機関に署名された証明書が無効になる際の情報、およびリストにアクセスするために
使用される URL の情報のリストを指定します。
[信用]
選択されている場合、証明機関がアプライアンスで信頼済みです。
[コメント]
証明機関の標準テキスト形式のコメント
SSL スキャナー ルール セット
SSL スキャナー ルール セットは、SSL すきゃ人のためのデフォルト ルール セットです。
デフォルト ルール セット — SSL スキャナー
条件 — Always
サイクル - 要求 (および IM)
以下のルール セットは、このルール セット内にネストされています。
• 接続呼び出しの処理
• 証明書の検証
• 共通名検証 (プロキシ設定)
• コンテンツの検査
• 共通名検証 (透過型設定)
304
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
SSL スキャン
9
接続呼び出しの処理
このネストされたルール セットは、SSL セキュア通信の CONNECT 呼び出しを処理し、証明書の検証を有効にしま
す。
ネストされたライブラリ ルール セット — CONNECT 呼び出し処理
条件 — Command.Name equals “CONNECT”
サイクル - 要求 (および IM)
このルールの条件は、要求が接続コマンドを含むアプライアンスで受信された場合、ルールが適用されるよう指定し
ます。CONNECT コマンドは、SSL で保護された接続のオープニング フェーズで送信されます。
ルール セットは、以下のルールを含みます。
クライアント コンテキストの設定
Always –> Continue – Enable SSL Client Context with CA <Default CA>
このルールは、クライアントに送信されたサーバー証明書の使用を有効にします。
イベント設定は、この証明書のデフォルトの発行者として、初期設定後、アプライアンスに実装される McAfee Web
Gateway ルートの証明機関 (CA) を指定します。
Continue アクションは次のルールで処理を続行します。
トンネリング ホスト
URL.Host is in list SSL Host Tunnel List –> Stop Cycle
このルールは、指定されたホワイトリストにある URL を持つホストへのアクセスの要求で SSL スキャンをスキッ
プさせます。
送信先ポートを許可された CONNECT ポートに限定する
URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed>
このルールは、許可された CONNECT ポートのリストにない送信先ポートを使った要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
EDH 以外のサーバー リストにあるホストの場合、EDH がなくても証明書の検証を有効にする
URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL
Scanner<Certificate Verification without edh>
このルールは、EDH (Ephemeral Diffie-Hellman) 以外のサーバー リストにあるホストから送信された要求で証
明書の検証を有効にします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
イベント設定は、SSL スキャン モジュールの検証モードで実行、および EDH 以外のホストでデータ暗号化の特定
の暗号文字列を指定しています。
証明書の検証を有効にする
Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification>
このルールは証明書の検証を有効にします。
イベント設定は、SSL スキャン モジュールが検証モードで実行することを指定します。
証明書の検証
このネストされたルール セットは、SSL セキュア通信で CERTVERIFY 呼び出しを処理します。ホワイトリストに
登録された証明書に検証をスキップさせ、特定の条件に従って、それ以外をブロックします。
McAfee Web Gateway 7.5.0
製品ガイド
305
9
Web フィルタリング
SSL スキャン
ネストされたライブラリ ルール セット — 証明書の検証
条件 – Command.Name equals “CERTVERIFY*
サイクル - 要求 (および IM)
このルールの条件は、要求が CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用される
よう指定します。CERTVERIFY コマンドは、証明書の検証を要求するために送信されます。
以下のルール セットは、このルール セットでネストされています。
•
共通名検証 (プロキシ設定)
ルール セットは、以下のルールを含みます。
証明書ホワイトリストで見つかった証明書の検証をスキップする
SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録された証明書の検証をスキップさせます。
自己署名証明書をブロックする
SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident>
このルールは、自己署名証明書を持つ要求をブロックします。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
期限切れのサーバー (7 日間許容) および期限切れ CA 証明書をブロックする
SSL.Server.Certificate.DaysExpired greater than 7 OR
SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate
incident>
このルールは、期限切れのサーバーと CA 証明書を使った要求をブロックします
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
長すぎる証明書チェーンをブロックする
SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate
incident>
このルールは、証明書チェーンがパスの長さを超えた場合にブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
破棄された証明書をブロックする
SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate
incident>
このルールは、含まれている証明書のうちいずれかが失効した場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
未知の証明機関をブロックする
SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate
incident>
このルールは、含まれている証明書を発行する証明機関 (CA) がいずれも既知の CA ではない場合、証明書チェー
ンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
306
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
SSL スキャン
信頼しない証明機関をブロックする
SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident>
このルールは、最初に見つかった既知の CA が信用されない場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
共通名検証 (プロキシ設定)
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信された要求に適用さ
れます。
ネストされたライブラリ ルール セット — 共通名検証 (プロキシ設定)
条件 – Connection.SSL.TransparentCNHandling equals false
サイクル - 要求 (および IM)
このルールの条件は、要求が SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透過型モ
ードで実行されない場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、要求されたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへの要求を許可
します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書のコモン ネームに一致するホストへの要求を許可します。
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、要求は、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
コンテンツの検査
このネストされたルール セットは CERTVERIFY 呼び出しの処理を実行します。特定の条件に従って、一部の要求で
コンテンツの検証をスキップさせ、その他すべての検査を有効にします。
ネストされたライブラリ ルール セット — コンテンツ検査
条件 – Command.Name equals “CERTVERIFY*
サイクル - 要求 (および IM)
McAfee Web Gateway 7.5.0
製品ガイド
307
9
Web フィルタリング
SSL スキャン
このルールの条件は、要求が CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用される
よう指定します。CERTVERIFY コマンドは、証明書の検証を要求するために送信されます。
ルール セットは、以下のルールを含みます。
SSL 検査ホワイトリストで見つかったホストのコンテンツ検査をスキップする
Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection
Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録されたホストに送信された要求でコンテンツの検査をスキップさせます。透
過型モード以外でのみ適用されます。
SSL 検査ホワイトリストで見つかった共通名のコンテンツをスキップする
Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL
Inspection Whitelist –> Stop Rule Set
このルールは、証明書にホワイトリストに登録された共通名を持つ要求で、コンテンツの検査をスキップさせます。
透過型モードでのみ適用されます。
このルールは、初期状態では有効になっていません。
クライアント証明書を持つ接続を検査しない
Connection.Client.CertificateIsRequested equals true –> Stop Rule Set
このルールは、クライアント証明書の使用が必要な場合、要求に検査をスキップさせます。
このルールは、初期状態では有効になっていません。
コンテンツ検査を有効にする
Always –> Continue – Enable SSL Scanner<Enable content inspection>
このルールはコンテンツ検査を有効にします。
イベント設定は、SSL スキャン モジュールが検査モードで実行することを指定します。
コンテンツの検査をスキップするルールのうちいずれかが適用される場合、ルール セットの処理は停止し、この最
後のルール (検査を有効にする) は処理されません。そうでない場合、コンテンツの検査はこのルールによって有効
になります。
共通名検証 (透過型設定)
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信された要求に適用さ
れます。透過型モードで送信された要求にのみ適用されています。
明示的プロキシ¥ モードで要求が送信されると、共通名と比較されたホスト名がクライアントが送信した
CONNECT 要求から取り出されます。
CONNECT 要求が送信されない透過型モードとして、干すつ名はクライアントが送信する Web アクセスの要求から
取り出されます。
ネストされたライブラリ ルール セット — 共通名検証 (透過型セットアップ)
条件 – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not
equal “CONNECT” AND Command.Name does not equal “CERTVERIFY”
サイクル - 要求 (および IM)
このルールの条件は、要求が SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透過型モ
ードで実行される場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
308
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ハードウェア セキュリティ モジュール
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、要求されたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへの要求を許可
します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書のコモン ネームに一致するホストへの要求を許可します。
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、要求は、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定で要求を行っているユーザーへのメッセージを指定します。
ハードウェア セキュリティ モジュール
ハードウェア セキュリティ モジュール (HSM) は、秘密鍵を SSL セキュア通信でサーバーとクライアントに送信
し、セキュリティを強化します。
SSL セキュア通信で使用する証明書には、公開鍵または秘密鍵を使用できます。 秘密鍵を使用している場合、Web
Gateway アプライアンスに装着されたハードウェア セキュリティ モジュールに秘密鍵を保存すると、キーの漏えい
を防ぐことができます。
証明書を設定して有効にするときに秘密鍵が必要になると、これらのキーは ID (キー名) で参照されます。キー自体
はハードウェア コンポーネントで保護されています。
ハードウェア セキュリティ モジュールでのキーの処理
秘密鍵で証明書を有効にするときに必要になるすべての暗号操作はハードウェア セキュリティ モジュールで実行さ
れます。 キーをファイルからインポートする場合、ファイルを開いて読み込む必要がありますが、このような方法と
比べると、別のハードウェア コンポーネントを使用する処理方法は安全性が高くなります。
キーは、モジュールで生成されるか、モジュールにインポートされます。 証明書を設定して使用するときに、Web
Gateway アプライアンスのの一部である HSM エージェントが Web Gateway に秘密鍵を読み込みます。
HSM エージェントが秘密鍵を読み込む前に、Web Gateway のユーザー インターフェースのリストにキーを文字列
形式で追加し、エージェントにキー ID を通知する必要があります。
HSM エージェントとの通信を行うには、ハードウェア セキュリティ モジュールが装着されたアプライアンスで
HSM サーバーをセットアップします。 このセットアップは、Web Gateway のユーザー インターフェースで ハー
ドウェア セキュリティ モジュール の設定時に行います。
McAfee Web Gateway 7.5.0
製品ガイド
309
9
Web フィルタリング
ハードウェア セキュリティ モジュール
証明書キーを生成する場合、通常、パスワードまたはオペレーター カード システム (OCS) を使用してキーのセキュ
リティを追加します。 ただし、このようなオプションを使用しなくてもキーを生成できます。 キーがパスワードま
たは OCS で保護されている場合には、ハードウェア セキュリティ モジュールでキーのロックを解除する必要があ
ります。
証明書キーのインポート
Web Gateway のユーザー インターフェースに証明書をインポートするには、インポート ウィンドウを使用してオ
プションを設定し、証明書でのキーの使用を有効にします。
ファイルに保存されたキーをインポートすることも、キー ID を使用してハードウェア セキュリティ モジュールの
キーを参照することもできます。 キーを参照するには、作成したキー リストから文字列を選択します。
ハードウェア セキュリティ モジュールのリモート使用
ハードウェア セキュリティ モジュールを使用すると、このモジュールが装着された Web Gateway アプライアンス
にキーを保存し、読み込むことができます。 また、ネットワーク内でモジュールが装着されていない他の Web
Gateway アプライアンスから使用することもできます。
ハードウェア セキュリティ モジュールが存在するアプライアンスは、HSM サーバーとして設定します。 モジュー
ルが装着されていないアプライアンスは、このサーバーのクライアントとして設定します。これにより、サーバーに
接続し、証明書キーを読み込むことができます。
Web Gateway のユーザー インターフェースでハードウェア セキュリティ モジュール を設定するときに、アプラ
イアンスを HSM サーバーまたはクライアントとして設定します。
ハードウェア セキュリティ モジュールのインストールとアクセス
ハードウェア セキュリティ モジュールは PCI カードで提供されます。このカードを Web Gateway が実行されて
いるアプライアンスに装着し、必要なドライバーをインストールします。
モジュール カードをインストールしたら、システム コンソールからアプライアンスにログオンすると、モジュール
にアクセスすることができます。 キーの生成やロックの解除など、モジュール上で操作を行うには、コマンドライン
からコマンドを入力します。
ハードウェア セキュリティ モジュールの取り付け方法と操作方法については、モジュール提供元の マカフィー パー
トナー (Thales) のマニュアルを参照してください。
キー処理における管理者の責任
キー処理のセキュリティを強化するため、管理者で責任を分担することができます。
たとえば、1 人の管理者がハードウェア セキュリティ モジュールでの証明書キーの生成を担当し、Web Gateway
の管理者が Web Gateway のユーザー インターフェースでキーを使用して証明書を設定します。
Web Gateway の管理者は生成されたキー ID を知っている必要があります。また、追加の保護機能が使用されてい
る場合には、キーのパスワードも確認しておく必要があります。
キー操作の記録
ハードウェア セキュリティ モジュールに関連するキー操作は Web Gateway で記録され、ユーザー インターフェ
ースのダッシュボードに表示されます ([SSL スキャナー統計] の下の [リモートからの秘密鍵の操作]) に表示され
ます。
310
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
ハードウェア セキュリティ モジュール
9
ハードウェア セキュリティ モジュールで証明書キーを処理する
ハードウェア セキュリティ モジュールを使用すると、SSL セキュア通信で使用する証明書の秘密鍵の保護を強化で
きます。 モジュールでキーを作成して保存し、他のアクティビティを実行できます。
以下の手順は、異なる管理者で実行できます。
タスク
1
ハードウェア セキュリティ モジュールを実行する Web Gateway アプライアンスを準備します。
a
アプライアンスにハードウェア セキュリティ モジュール カードを取り付けます。
b
システム コンソールで、ハードウェア セキュリティ モジュールのドライバーをインストールします。
PCI カードにハードウェア セキュリティ モジュールを取り付ける方法については、McAfee Web Gateway
インストール ガイドを参照してください。
モジュール ドライバーのインストール方法については、モジュールの提供元である マカフィー パートナー
(Thales) のドキュメントを参照してください。
2
システム コンソールで、ハードウェア セキュリティ モジュールのキーに Security World と Operator Card
Set (オプション) を作成します。 次に、キーを生成するかインポートし、キーの ID を記憶します。
これらの項目の作成方法については、モジュールの提供元である マカフィー パートナー (Thales) のドキュメン
トを参照してください。
3
Web Gateway のユーザー インタフェースで、次のいずれかのオプションを設定します。
•
モジュールのローカル使用
ハードウェア セキュリティ モジュールが装着されたアプライアンスで使用されるように HSM サーバーをセ
ットアップします。
•
4
モジュールのリモート使用
•
ハードウェア セキュリティ モジュールが装着されたアプライアンスで使用されるように HSM サーバー
をセットアップします。 次に、このサーバーのクライアントにモジュールの使用を許可します。
•
リモートから使用できるように、モジュールが装着されていないアプライアンスを HSM クライアントと
して設定します。
システム コンソールで、パスワードまたは Operator Card Set で保護されているハードウェア セキュリティ
モジュールでキーのロックを解除します。
キーのロックを解除する方法については、モジュールの提供元である マカフィー パートナー (Thales) のドキュ
メントを参照してください。
5
Web Gateway のユーザー インターフェースで、キーを使用して証明書を生成します。
ハードウェア セキュリティ モジュールのローカル使用を設定する
ハードウェア セキュリティ モジュールのローカル使用を設定すると、モジュールを取り付けたアプライアンスでの
みモジュールを使用することができます。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、モジュールのローカル使用を設定するアプライアンスを選択して [ハードウェア セキ
ュリティ モジュール] をクリックします。
3
[HSM サーバー] で、[ローカル HSM サーバーの開始] を選択します。
McAfee Web Gateway 7.5.0
製品ガイド
311
9
Web フィルタリング
ハードウェア セキュリティ モジュール
4
[読み込まれるキー] リストで、読み込むキーの項目を追加します。
各キーの ID を文字列形式で入力します。
5
[変更の保存] をクリックします。
関連トピック:
313 ページの「ハードウェア セキュリティ モジュールの設定」
ハードウェア セキュリティ モジュールのリモート使用を設定する
ネットワーク内でハードウェア セキュリティ モジュールが装着されていないアプライアンスでモジュールを使用可
能にするには、モジュールのリモート使用を設定します。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、モジュールのリモート使用を設定するアプライアンスを選択して [ハードウェア セキ
ュリティ モジュール] をクリックします。
3
このアプライアンスで HSM サーバーを設定します。
a
[HSM サーバー] で、[ローカル HSM サーバーの開始] を選択します。
b
[読み込まれるキー] リストで、読み込むキーの項目を追加します。
各キーの ID を文字列形式で入力します。
4
c
[リモート接続を許可する] をクリックします。
d
[HSM サーバー ポートの定義] リストで、クライアント要求を待機するポートを追加します。
e
[サーバー ID] で、サーバーの証明書を生成またはインポートします。 クライアントの設定時にインポート可
能な場所に証明書をエクスポートします。
HSM クライアントとして設定するアプライアンスごとに次の操作を行います。
a
アプライアンス ツリーで、モジュールが装着されていないアプライアンスを選択し、[ハードウェア セキュリ
ティ モジュール] をクリックします。
b
[HSM クライアント] で、[リモート HSM サーバーの使用] を選択します。
c
[リモート サーバー] リストで、HSM サーバーの項目を追加します。
ホスト名とリスナー ポートを入力して、サーバーの証明書をインポートします。
d
5
[クライアント ID] で、クライアントの証明書を生成またはインポートします。 許可クライアント リストの
設定時にインポート可能な場所に証明書をエクスポートします。
[HSM サーバー] で、HSM クライアントの項目を [許可されているクライアント] リストに追加します。
ホスト名を入力して、クライアント証明書をインポートします。
6
[変更の保存] をクリックします。
関連トピック:
313 ページの「ハードウェア セキュリティ モジュールの設定」
312
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
ハードウェア セキュリティ モジュール
9
証明書の設定にキー ID を使用する
SSL セキュア通信で送信される証明書の設定で、ハードウェア セキュリティ モジュールの秘密鍵の ID を使用しま
す。
SSL クライアント証明書の処理、CA を持つ SSL クライアント コンテキスト、CA 以外の SSL クライアント コン
テキストで証明書を設定する場合に、HSM 秘密鍵を使用できます。
以下では、CA を持つ SSL クライアント コンテキストで証明書を設定する場合にキーを使用しています。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト] を展開して [デフォルトの
CA] を選択します。
3
[SSL クライアント コンテキストの定義] で、[証明機関] の横にある [インポート] をクリックします。
[証明機関のインポート] ウィンドウが開きます。
4
[証明書] の横にある [参照] をクリックし、証明書ファイルを選択してインポートします。
5
[秘密鍵のソース] の横にある [HSM] を選択します。
使用可能な HSM キーの ID を選択できるドロップダウン リストが開きます。
6
キー ID を選択して [インポート] をクリックし、キーの証明書をインポートします。
7
[変更の保存] をクリックします。
ハードウェア セキュリティ モジュールの設定
ハードウェア セキュリティ モジュールの設定では、ローカルまたはリモートのハードウェア セキュリティ モジュー
ルの証明書キーの処理方法を設定します。
HSM サーバー
現在設定中の Web Gateway アプライアンスのハードウェア セキュリティ モジュールの設定
表 9-33 HSM サーバー
オプション
定義
[ローカル HSM 選択すると、このアプライアンスのハードウェア セキュリティ モジュールがキーの格納と読み
サーバーの開始] 込みを行います。
ネットワーク内の他の Web Gateway アプライアンスは、このモジュールが装着されたサーバー
にクライアントとして接続し、キーを読み込みます。
[読み込まれるキ ハードウェア セキュリティ モジュールに保管され、証明書と一緒に使用されるキーの ID リスト
ー]
が表示されます。
このリストに、Web Gateway で使用する各キーの ID を文字列形式で追加する必要があります。
ハードウェア セキュリティ モジュールでキーが生成またはインポートされると、キー ID が認識
されます。
以下の表では、キー リストの項目について説明します。
McAfee Web Gateway 7.5.0
製品ガイド
313
9
Web フィルタリング
ハードウェア セキュリティ モジュール
表 9-34 読み込まれるキー - リスト項目
オプション
定義
[文字列]
ハードウェア セキュリティ モジュールに保存されているキーの ID を表します。
[コメント]
キーのコメントがテキスト形式で表示されます。
オプション
定義
[ローカル接続を許可
する]
選択すると、このハードウェア セキュリティ モジュールに保存されているキーが、このア
プライアンスで設定されている接続に使用されます。
[リモート接続を許可
する]
選択すると、このハードウェア セキュリティ モジュールに保存されているキーが、ネット
ワーク内の他の Web Gateway アプライアンスで設定されている接続に使用されます。
このオプションを選択する場合には、このアプリアンスの HSM サーバーでリモート接続に
使用するポートを指定する必要があります。
[HSM サーバー ポー
ト定義リスト]
HSM サーバーのポート リストが表示されます。
[許可されているクラ
イアント]
ネットワーク内で HSM サーバーのクライアントとして実行可能で、キーの読み込みにハー
ドウェア セキュリティ モジュールを使用するアプライアンスのリストが表示されます。
以下の表では、HSM サーバー ポートと許可されているクライアントのリスト項目について説明します。
表 9-35 HSM サーバー ポート定義リスト - リスト エントリ
オプション
定義
[リスナー アドレス]
リモート接続の確立で要求を待機している HSM サーバーの IP アドレスとポート番号。
[コメント]
ポートのコメントがテキスト形式で表示されます。
表 9-36 許可されているクライアント - リスト項目
オプション 定義
[ホスト]
ネットワーク内で、このアプライアンスに装着されたハードウェア セキュリティ モジュールのキー読
み込みが許可されている Web Gateway アプライアンスのホスト名または IP アドレスが表示されま
す。
[証明書]
HSM サーバーとの接続時にクライアントが送信する証明書が表示されます。
[コメント] 許可されたクライアントのコメントがテキスト形式で表示されます。
サーバー ID
クライアントとの接続で HSM サーバーが送信する証明書の設定
HSM サーバーのデフォルトでは、Web Gateway アプライアンスの初期セットアップの後に マカフィ
ー ルート CA 発行の証明書が発行されます。
この証明書を独自の証明書で置換することをお勧めします。
314
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
ハードウェア セキュリティ モジュール
表 9-37
サーバー ID
オプション
定義
[件名、発行者、有効性、延長、秘密鍵]
現在使用中の証明書に関する情報が表示されます。
[サーバー証明書]
様々なサーバー証明書関連の操作を実行するボタンが表示されます。
• 証明書を生成しています
• 証明書をインポートしています
• 証明書をエクスポートしています
• 証明書キーをエクスポートしています
HSM クライアント
ネットワーク内の別の Web Gateway アプライアンスに装着されているハードウェア セキュリティ モジュールの
使用を設定します
表 9-38 HSM サーバー
オプション
定義
[リモート HSM このアプライアンスは、ネットワーク内の他の Web Gateway アプライアンスに装着されてい
サーバーを使用] るハードウェア セキュリティ モジュールのキーを使用します。
このモジュールは、このアプライアンスがクライアントとして接続するサーバーに存在します。
このオプションを選択するには、サーバーを指定する必要があります。複数のサーバーを指定す
る場合にはリストを使用します。
[リモート サー
バー]
ネットワーク内の他の Web Gateway アプライアンスのリストが表示されます。このアプライ
アンスのハードウェア セキュリティ モジュールには、クライアントとして接続できます。
以下の表では、リモート サーバー リストについて説明します。
表 9-39 リモート サーバー - リスト項目
オプション 定義
[ホスト]
ネットワーク内に存在し、サーバーでハードウェア セキュリティ モジュールを実行する Web
Gateway アプライアンスのホスト名または IP アドレスが表示されます。
[証明書]
クライアントとの接続にサーバーが送信する証明書。
[コメント] リモート サーバーのコメントがテキスト形式で表示されます。
クライアント ID
HSM サーバーにクライアントとして接続するときに、このアプライアンスが送信する証明書の設定
このクライアントのデフォルトでは、Web Gateway アプライアンスの初期セットアップの後に マカフ
ィー ルート CA 発行の証明書が発行されます。
この証明書を独自の証明書で置換することをお勧めします。
McAfee Web Gateway 7.5.0
製品ガイド
315
9
Web フィルタリング
Advanced Threat Defense
表 9-40
サーバー ID
オプション
定義
[件名、発行者、有効性、延長、秘密鍵] 現在使用中の証明書に関する情報が表示されます。
[クライアント証明書]
様々なクライアント証明書関連の操作を実行するボタンが表示されます。
• 証明書を生成しています
• 証明書をインポートしています
• 証明書をエクスポートしています
• 証明書キーをエクスポートしています
Advanced Threat Defense
Web Gateway が Web オブジェクトをスキャンし、ウイルスなどのマルウェアの感染を検査した後で、同じオブジ
ェクトを McAfee Advanced Threat Defense (Advanced Threat Defense) Web セキュリティ製品でスキャン
できます。
®
Advanced Threat Defense は、スキャンにサンドボックスを利用しています。特定の Web オブジェクトの動作を
サンドボックス環境で分析します。スキャン結果がレポートに記録され、Web Gateway に配信されます。
Advanced Threat Defense による追加のスキャンは、オフライン スキャンまたはバックグラウンド スキャンとも
いいます。
Advanced Threat Defense の使用を有効にするには、適切なルールを Web Gateway に実装する必要があります。
このようなルールを含むルール セットは、ルール セット ライブラリからインポートできます。
Web Gateway で Advanced Threat Defense の使用を設定する場合、次のものを使用できます。
•
ルールのキー要素 - Advanced Threat Defense 用のライブラリ ルール セットをインポートして、
このセットをルール セット ツリーでクリックすると、追加スキャン プロセスのルールのキー要素を
表示し、設定することができます。
•
完全なルール - キー要素ビューで [ビューのロック解除] をクリックすると、追加スキャン プロセス
のルールをすべて表示できます。キー要素を含むすべての要素を設定し、新しいルールの作成やルー
ルの削除を行うことができます。
変更をすべて破棄するか、ルールセットを再度インポートするまで、このビューをキー要素ビューに
戻すことはできません。
316
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Advanced Threat Defense
9
Advanced Threat Defense の使用を設定する場合のオプション
異なるオプションを設定して、Advanced Threat Defense による追加のスキャンを実装できます。
•
追加のスキャン結果に応じて Web オブジェクトを転送する - このオプションでは、Advanced Threat
Defense の追加スキャンの結果に応じて、Web オブジェクトを要求元のユーザーに転送するかどうかを判断し
ます。
Web オブジェクトの安全性が確認されると転送されますが、確認できない場合には転送されません。
•
追加のスキャンを実行する前に Web オブジェクトを転送する - このオプションでは、Advanced Threat
Defense の追加スキャンを実行する前に、Web オブジェクトを要求元のユーザーに転送します。
Web オブジェクトで脅威が検出されると、ユーザーから要求を受信したネットワーク管理者に警告メッセージを
送信します。
Web オブジェクトがスキャン済みの場合、Advanced Threat Defense が再度スキャンを実行しないように設定す
ることもできます。この場合、最初のスキャン後に生成されたレポートが再度評価されます。
Advanced Threat Defense の可用性
Web Gateway と一緒に使用するために、Advanced Threat Defense Web セキュリティ ソフトウェアが同じハー
ドウェア プラットフォームにプリインストールされています。このソフトウェアは、別のサーバー上のアプライアン
スとして実行されます。
製品の複数のインスタンスを異なるサーバーで実行し、Web Gateway をサポートすることができます。製品のイン
スタンスは、固有のハードウェア プラットフォームにインストールする必要があります。
Advanced Threat Defense を使用する場合のワークフロー
Advanced Threat Defense を使用して Web オブジェクトの追加のスキャンを実行する場合、異なるワークフロー
を設定できます。
追加スキャンの結果に基づく Web オブジェクトの転送
以下の図は、Advanced Threat Defense のスキャン結果に基づいて Web オブジェクトを転送する場合のワークフ
ローを表します。
図 9-1 追加スキャンの結果に基づいて Web オブジェクトを転送する場合
McAfee Web Gateway 7.5.0
製品ガイド
317
9
Web フィルタリング
Advanced Threat Defense
1
ユーザーがネットワーク内のシステム (Web Gateway のクライアント) から Web オブジェクト (ファイルな
ど) に対するアクセス要求を送信します。
2
設定したルールに従って要求がフィルタリングされます。処理を通過すると、Web Gateway が要求を Web サ
ーバーに転送します。
進行状況ページがクライアントに送信されます。要求の処理中であることをユーザーに通知します。
3
Web サーバーが Web Gateway にオブジェクトを送信します。
4
Advanced Threat Defense の使用条件を満たすと、Web Gateway がスキャン対象のオブジェクトを転送しま
す。
スキャン状況に関する情報を取得するため、Web Gateway が Advanced Threat Defense に状況を定期的に照
会します。
5
Advanced Threat Defense がスキャンを完了すると、Web Gateway にオブジェクトのスキャン結果が通知さ
れます。
6
この情報に従って、Web Gateway は、要求されたオブジェクトに対するアクセスをユーザーに許可したり、ブ
ロック ページを送信します。ブロック ページでは、アクセスがブロックされた理由も通知されます。
Advanced Threat Defense 追加スキャンの条件
Web Gateway は、Web Gateway のマルウェア対策エンジンでスキャンを実行した後に、Advanced Threat
Defense の機能を使用して Web オブジェクトをスキャンします。
Advanced Threat Defense ライブラリ ルール セットは、この可能性を条件として使用します。デフォルトでは、
60 に達すると条件を満たしたものと見なされます。Web Gateway で Web オブジェクトをスキャンした結果、マ
ルウェアの可能性が 60% 以上になった場合にだけ、オブジェクトが Advanced Threat Defense に送信されます。
Advanced Threat Defense の使用を設定するときに、この値を変更できます。これにより、この製品が Web
Gateway をサポートする頻度を調整することができます。
ルール セット ツリーで、Advanced Threat Defense のルールセットは、Web Gateway の通常のマルウェア対策
機能のルール セット (通常は Gateway Anti-Malware デフォルト ルール セット) の後に配置してください。
Web Gateway と Advanced Threat Defense を併用した場合、マルウェア対策モジュール (またはエンジン) は 2
つの設定で実行されます。1 つは Web Gateway の設定、もう 1 つはサポート製品の設定です。
この 2 つの設定のデフォルト名は、ゲートウェイ マルウェア対策とゲートウェイ ATD です。
この設定の違いで重要なポイントは、ゲートウェイ ATD の設定では Advanced Threat Defense を使用するオプシ
ョンが選択されていますが、他の設定ではオプションが選択されていない点です。
318
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
Advanced Threat Defense
Advanced Threat Defense を使用する場合の設定要素
Advanced Threat Defense による Web オブジェクトの追加スキャンを有効にするには、適切なルールを Web
Gateway に実装する必要があります。このようなルールを含むルール セットは、ルール セット ライブラリからイ
ンポートできます。このルール セットをインポートすると、リストと設定も実装されます。
追加スキャンのルール セット
追加スキャンの結果に応じて Web オブジェクトを転送するルール セットと、追加スキャンの前に Web オブジェク
トを転送し、スキャン後に警告を通知するルール セットがあります。
•
Advanced Threat Defense ライブラリ ルール セット - このルール セットでは、Advanced Threat
Defense による追加スキャンを有効にし、スキャン結果によって Web オブジェクトの転送を判断するワークフ
ローを実装します。
このルール セットをインポートすると、リストと設定も実装されます。
•
ATD - オフライン スキャンを開始するライブラリ ルール セット - このルール セットには、追加スキャンの
結果に応じて Web オブジェクトをユーザーに転送するルール セットと同じ条件が設定されています。
このルール セットは、Web Gateway によるスキャン結果が所定の感染可能性に達し、Web オブジェクトがス
キャン可能オブジェクトのリストにあり、特定のサイズを超えていない場合に適用されます。
このルールセットには、条件で Antimalware.MATD.InitBackgroundScan プロパティを使用するルール
だけが含まれています。このプロパティのデフォルト値は true です。
この場合、現在のトランザクションのデータが記録されます。Web アクセス要求と Web サーバーからの応答に
関するすべてのデータが記録されます。たとえば、クライアントの IP アドレス、認証情報、Web サーバーの
URL、応答メッセージで送信された Web オブジェクトなどが記録されます。
Advanced Threat Defense でのスキャンを開始するため、内部要求が送信されます。この処理が完了すると、
要求された Web オブジェクトがユーザーに転送されます。スキャンは、記録したデータを使用して後で実行され
ます。
Antimalware.MATD.InitBackgroundScan プロパティの値が false の場合、Advanced Threat
Defense のスキャンが開始できず、ルール イベントによってエラー メッセージを表示します。
•
ATD -オフライン スキャンを処理するライブラリ ルール セット - このルール セットでは、条件として
Antimalware.MATD.IsBackgroundScan プロパティが設定されています。この条件のデフォルト値は
true です。
この場合、Advanced Threat Defense が「ATD - オフライン スキャンの開始」ルール セットで記録したデ
ータを使用し、指定された Web オブジェクトをスキャンします。
このルール セットのルールでは、スキャン中のオブジェクトで感染が検出されると、イベントを使用してカウン
ターの値を増やします。また、別のイベントを使用して、Web オブジェクトの感染を通知するメッセージを作成
し、管理者に送信します。最後に、処理サイクルを停止します。
追加スキャンが使用するリストと設定
Advanced Threat Defense ライブラリ ルール セットには、Web Gateway での Advanced Threat Defense
の使用を有効にするルールと、スキャン結果に応じてユーザーに Web オブジェクトを転送するルールが含まれてい
ます。
McAfee Web Gateway 7.5.0
製品ガイド
319
9
Web フィルタリング
Advanced Threat Defense
このルール セットをインポートすると、リストと設定も実装されます。
•
Advanced Threat Defense サポート タイプ リスト - このリストは、ライブラリ ルール セットの条件で使
用されます。このリストにあるメディア タイプの Web オブジェクトだけが Advanced Threat Defense に渡
され、スキャンされます。
デフォルトでは、複数のメディア タイプがリストに記述されています。リストにメディア タイプを追加したり、
リストから削除することもできます。
•
ゲートウェイ ATD の設定 - Web Gateway のマルウェア対策モジュール (またはエンジン) の設定です。ウ
イルスとマルウェアのフィルタリングや Advanced Threat Defense の実行時に使用されます。
この設定には、次の設定を行うオプションが含まれています。
•
Advanced Threat Defense が実行されているサーバーと Web Gateway との通信
•
ファイルなどの Web オブジェクトを不正なオブジェクトと分類する重大度
Advanced Threat Defense がオブジェクトをスキャンすると、スキャン結果に 0 から 5 (最大) の重大度が
設定されます。
たとえば、重大度の値を 3 に設定すると、スキャン結果が 3 以上のオブジェクトが不正なオブジェクトと見
なされます。
オブジェクトが不正と見なされると、Antimalware.Infected プロパティが true に設定されます。このプロ
パティを条件で使用するルールはこの Web オブジェクトをブロックし、アクセスを要求したユーザーに送信
しません。
Advanced Threat Defense の使用状況のモニタリング
Web Gateway と一緒に使用する Advanced Threat Defense のスキャン活動は、いくつかの方法でモニタリング
することができます。
•
ログ ハンドラー - ルール セット ライブラリのロギング グループから「ATD スキャン ログ」ルール セットを
インポートします。
このルール セットに含まれるログ ルールは、Web Gateway から渡された Web オブジェクトに Advanced
Threat Defense が実行したスキャン ジョブに関する情報を記録します。
次のような情報を記録します。
•
スキャン結果の重大度
•
Advanced Threat Defense が実行されているサーバー
•
スキャン ジョブのタスク ID
•
スキャン ジョブのハッシュ値
このルール セットは、適切なプロパティを使用して、この情報を提供するログ エントリを作成します。
320
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Advanced Threat Defense
•
9
エラー ハンドラー - ルール セット ライブラリのエラー処理グループから「ATD エラー時にブロック」ルール
セットをインポートします。
このセットのブロック ルールは、Advanced Threat Defense がスキャン ジョブを実行しているときに発生し
たエラーを処理します。
このルールは、適切なエラー ID を条件として使用します。エラー ID の範囲は 14010 から 14012 までです。
「マルウェア対策エンジン エラーでのブロック」ルール セットのルールは、14002 から 14050 までのエラーに
対応します。したがって、
「ATD エラー時のブロック」ルール セットは、このマルウェア対策ルール セットの前
に配置する必要があります。
それ以外の場合に、
「ATD エラー時のブロック」ルール セットのブロック ルールは処理されません。マルウェア
対策エラーに関連するテキストを含む一般的なブロック メッセージがユーザーに送信されます。
•
マルウェア対策プロパティ - Advanced Threat Defense のモニタリングで使用可能なプロパティがいくつか
あります。これらのプロパティの名前は Antimalware.MATD で始まります (例:
Antimalware.MATD.Server、Antimalware.MATD.Report)。
これらのプロパティは、「ATD スキャン ログ」ルール セットのログ ルールで使用されます。
Advanced Threat Defense がスキャン ジョブを実行すると、ジョブの結果が Antimalware.MATD.Report
プロパティの値に保存されます。このレポートは、JavaScript Object Notation (JSON) オブジェクトのデータ
構造を表す文字列として提供されます。
Antimalware.MATD.Report プロパティと一緒に JSON プロパティを使用すると、レポート情報を抽出でき
ます。
•
ダッシュボード - ダッシュボードのグラフと表に、特定の期間中に生成されたデータが表示されます。
•
[エグゼクティブ サマリー]:Advanced Threat Defense のスキャン結果によってブロックされた Web オ
ブジェクトの要求数
•
[マルウェア統計]:スキャンを実行するために Advanced Threat Defense に渡された Web オブジェクト
の数、スキャン結果によってブロックされた要求の数、スキャン時間
既存の Advanced Threat Defense スキャン レポートの使用
Web オブジェクトのスキャン後に Advanced Threat Defense が生成したレポートを Web Gateway で使用する
と、このオブジェクトを評価し、アクセスを処理することができます。
既存のレポートを使用すると、Web Gateway は Advanced Threat Defense で新しいスキャンをトリガーしませ
ん。複数のレポートが存在する場合、最新のレポートが評価に使用されます。Web Gateway 内部でハッシュ値が計
算され、Web オブジェクトの識別を行います。これにより、同じレポートが使用できます。
Web Gateway の既存のスキャン レポートを使用するには、Antimalware.ATD.GetReport プロパティでルー
ルを実装する必要があります。このブール値プロパティの値が true の場合、特定の Web オブジェクトが
Advanced Threat Defense のスキャンで検出され、このスキャンのレポートが取得されています。
このレポートは他のルールでも使用できます。たとえば、Antimalware.Infected プロパティのルールで使用す
ると、オブジェクトの感染を確認できます。
既存のスキャン レポートのオプション
既存のスキャン レポートを使用して Web オブジェクトへのアクセスを処理する場合、いくつかのオプションを使用
できます。
•
スキャン レポートで感染していないことを確認した場合にファイルを許可する - ファイルを手動で Advanced
Threat Defense にアップロードし、スキャンとレポートの生成を行います。レポートが存在し、ファイルが感
染していないことが確認されると、Web Gateway はファイルのダウンロードを許可します。
McAfee Web Gateway 7.5.0
製品ガイド
321
9
Web フィルタリング
Advanced Threat Defense
Web オブジェクトにスキャン レポートが存在しない場合には、適切なルールで Antimalware.ATD.GetReport
プロパティを使用できます。これらのルールでは、スキャン レポートが取得されていないため、このプロパティの値
は false になります。
•
スキャン レポートが使用不能な場合にファイルを許可し、このファイルをオフラインでスキャンする - ダウン
ロードを要求したファイルにスキャン レポートが存在しない場合、ユーザーにファイルのダウンロードが許可さ
れ、ファイルがオフラインでスキャンが実行されます。スキャン後、レポートが生成され、ユーザーのネットワ
ーク管理者に転送されます。
•
スキャン レポートが使用不能な場合にファイルをブロックし、このファイルをオフラインでスキャンする - ダ
ウンロードを要求したファイルにスキャン レポートが存在しない場合、ファイルに対するアクセスがブロックさ
れ、ファイルがオフラインでスキャンが実行されます。スキャン後、レポートが生成され、ユーザーのネットワ
ーク管理者に転送されます。
既存のスキャン レポートを使用する場合のサンプル ファイル
デフォルトのルール セット システムまたはルール セット ライブラリには、既存の Advanced Threat Defense ス
キャン レポートの使用に必要なルール セットは事前に定義されていません。ただし、独自のルールとルール セット
を作成できます。
次のサンプル ルールは、ファイルを手動で Advanced Threat Defense にアップロードします。Advanced Threat
Defense が生成したレポートでファイルが感染していないことが確認されると、ファイルのダウンロードが許可され
ます。
ルール セットの名前は「既存の Advanced Threat Defense スキャン レポートを使用する」のようにします。
メディア タイプの条件は、Advanced Threat Defense ライブラリ ルール セットと同じ条件にし、すべてのプ
ロセス サイクルに適用する必要があります。
ルール セットには、次のルールが含まれている必要があります。
•
Antimalware.ATD.GetReport プロパティを使用して既存のスキャン レポートを取得するルール
•
このレポートを使用してファイルを比較し、レポートでファイルの感染が確認された場合にアクセスをブロック
するルール
レポートを取得するルールは次のようになります。
名前
スキャン済みのファイルを許可する
条件
Antimalware.ATD.GetReport
equals false
アクション
–> Block
<BlockedByMATD>
イベント
– Statistics.Counter.Increment"
(BlockedByMATD",1)<Default>
このルールは、レポートが存在しない場合にファイルへのアクセスをブロックします。この場合は、次のルールは処
理されません。このルールはレポートを評価します。次のようになります。
名前
感染ファイルをブロックする
条件
Antimalware.Infected
<Gateway ATD> equals true
アクション
–> Block
<BlockedByMATD>
イベント
– Statistics.Counter.Increment
("BlockedByMATD",1)<Default>
両方のルールにより、Advanced Threat Defense 機能の使用時にファイルがブロックされた回数がカウンターに記
録されます。
322
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Advanced Threat Defense
9
実行中の Advanced Threat Defense スキャン結果の使用
Advanced Threat Defense がスキャンを実行している場合、この実行結果を開始済みの要求の処理だけでなく、同
じ Web オブジェクトに対する他のアクセス要求にも使用できます。
同じスキャン結果を複数の要求の処理で使用するには、スキャンの実行中に Web Gateway が要求を受信する必要
があります。Web Gateway 内部でハッシュ値が計算され、Web オブジェクトの識別を行います。これにより、受
信した要求が同じオブジェクトに対するものかどうかを判断します。
同じオブジェクトに対する複数のアクセス要求に同じスキャン結果を使用するには、マルウェア対策 (またはエンジ
ン) のゲートウェイ ATD 設定で、オプションを有効にする必要があります。このオプションの名前は、[同じサンプ
ルを分析する場合に実行中のタスクを再利用する] になります。
デフォルトのルール セットまたはルール セット ライブラリに、同じオブジェクトに対する複数の要求に同じスキャ
ン結果を使用するためのルール セットは事前に定義されていません。ただし、独自のルールとルール セットを作成
できます。
Advanced Threat Defense の使用を設定する
Web Gateway がスキャンした Web オブジェクトを Advanced Threat Defense でもスキャンするように設定で
きます。Advanced Threat Defense が Web オブジェクトに生成したスキャン レポートを Web Gateway で評
価し、このオブジェクトに対するアクセスを制御することもできます。
Web オブジェクトの既存のスキャン レポートを評価した場合、Web Gateway は、このオブジェクトに対して
Advanced Threat Defense による追加スキャンを実行しません。
タスク
•
323 ページの「Advanced Threat Defense によるスキャンを設定する」
Web Gateway によるスキャンの完了後に Advanced Threat Defense によるスキャンを実行するよ
うに設定できます。
•
324 ページの「既存の Advanced Threat Defense スキャン レポートの使用を設定する」
Web オブジェクトに新しいスキャンを実行しない場合には、Web オブジェクトの評価に既存の
Advanced Threat Defense スキャン レポートを使用できます。
Advanced Threat Defense によるスキャンを設定する
Web Gateway によるスキャンの完了後に Advanced Threat Defense によるスキャンを実行するように設定でき
ます。
タスク
1
Advanced Threat Defense を設定して、ネットワークに統合します。
詳細については、『McAfee Advanced Threat Defense 製品ガイド』を参照してください。
2
Web Gateway のユーザー インターフェースで、次の操作を行います。
a
ルール セット ライブラリからいずれかのスキャン ワークフローのルール セットをインポートします。
これらのルール セットは、Gateway Anti-Malware ルール セット グループにあります。
•
Advanced Threat Defense - 追加スキャンの結果に応じて Web オブジェクトを転送します。
ルール セット ツリーで、Web Gateway がスキャンに使用するルール セットの後にこのルール セットを
置きます。デフォルトでは、Gateway Anti-Malware ルール セットになります。
•
ATD - ファイルをすぐに使用可能にするオフライン スキャン - 追加スキャンの前に Web オブジェク
トを転送します。
McAfee Web Gateway 7.5.0
製品ガイド
323
9
Web フィルタリング
Advanced Threat Defense
このルール セットをインポートすると、次の 2 つのルール セットがルール セット ツリーに表示されま
す。
•
ATD - オフライン スキャンの開始 - 追加スキャンを開始します。
ルール セット ツリーで、Web Gateway がスキャンに使用するルール セットの後にこのルール セッ
トを置きます。デフォルトでは、Gateway Anti-Malware ルール セットになります。
•
ATD - オフライン スキャンの処理 - 開始後に追加スキャンを処理します。
ルール セット ツリーで、グローバルまたは共通の処理を実行するルール セットと特定のフィルタリン
グを実行するルール セットの間にこのルール セットを配置します。
たとえば、デフォルトのルール セット ツリーでは、このルール セットを 共通ルール ルール セット
と メディア タイプ フィルタリング ルール セットの間に置きます。
b
Web Gateway で Advanced Threat Defense のスキャンをモニタリングするには、ルール セット ライブ
ラリーから「ADT スキャン ログ」ルール セットと「ATD エラー時のブロック」ルール セットをインポー
トし、既存のログ ハンドラー ルール セットとエラー ハンドラー ルール セットにそれぞれ追加します。
c
必要に応じて、サポート メディア タイプのリストにメディア タイプを追加したり、リストからメディア タ
イプを削除します。ライブラリ ルール セットのいずれかをインポートすると、このリストの名前が
「Advanced Threat Defense サポート タイプ」になります。
ルール セットをインポートすると、ルール セットのキー要素ビューでリストを操作できます。
d
Web Gateway のスキャンを設定します。
デフォルトでは、これらの設定の名前は Gateway Anti-Malware になります。
ルール セットをインポートすると、ルール セットのキー要素ビューで設定を操作できます。
e
Advanced Threat Defense のスキャンを設定します。
ライブラリ ルール セットのいずれかをインポートすると、これらの設定の名前が ゲートウェイ ATD になり
ます。
ルール セットをインポートすると、ルール セットのキー要素ビューで設定を操作できます。
f
変更を保存します。
既存の Advanced Threat Defense スキャン レポートの使用を設定する
Web オブジェクトに新しいスキャンを実行しない場合には、Web オブジェクトの評価に既存の Advanced Threat
Defense スキャン レポートを使用できます。
既存のスキャン レポートを使用する場合、いくつかのオプションがあります。以下の説明は、次のことが前提となっ
ています。
•
Advanced Threat Defense に手動でアップロードしてスキャンした Web オブジェクトにスキャン レポート
が生成されている。
•
レポートで Web オブジェクトが感染していないことが確認された場合に Web Gateway がアクセスを許可し、
レポートが存在しない場合にはアクセスをブロックする。
次の手順に従います。
324
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Advanced Threat Defense
9
タスク
1
既存の Advanced Threat Defense スキャン レポートを処理するルールを含むルール セットを作成します。
2
このルール セットで、次のルールを作成します。
3
4
•
ファイルのスキャン レポートを取得し、レポートが存在していない場合にファイルへのアクセスをブロック
するルール
•
スキャン レポートを評価し、レポートで感染が報告されている場合にファイルをブロックするルール
マルウェア対策モジュールのゲートウェイ ATD を設定します。
a
[前の検出結果を再利用...] が選択されていることを確認します。
b
(オプション) [最大検出期間] で、古いレポートを除外する時間制限を変更します。デフォルトの制限は 30
分です。
変更を保存します。
Advanced Threat Defense のキー要素を設定する
Advanced Threat Defense の追加スキャンでキー要素を設定し、組織の Web セキュリティ ポリシーの要件に重要
なフィルタリング プロセスを適用します。
タスク
1
ルール セット ライブラリから [Advanced Threat Defense] または [ATD - ファイルをすぐに使用可能にす
るオフライン スキャン] ルール セットをインポートします。
2
ルール セット ツリーで、インポートしたルール セットを選択します。
スキャン プロセス ルールのキー要素が設定ペインに表示されます。
3
必要に応じて、キー要素を設定します。
4
[変更の保存] をクリックします。
関連トピック:
325 ページの「Advanced Threat Defense を使用する場合のキー要素」
Advanced Threat Defense を使用する場合のキー要素
Advanced Threat Defense で Web オブジェクトの追加スキャンを実行するルールのキー要素は、このプロセスで
重要な部分を処理します。
追加スキャン用に実装されたルール セットのルールには異なるキー要素を設定できます。
•
•
Advanced Threat Defense - このルール セットを実装すると、以下のキー要素グループを設定できます。
•
次のサポート メディア タイプで Advanced Threat Defense を有効にする
•
Gateway Anti-Malware の設定
•
Gateway Advanced Threat Defense の設定
ATD - オフライン スキャンの開始 - このルール セットを実装すると、以下のキー要素グループを設定できま
す。
•
次のサポート メディア タイプで Advanced Threat Defense を有効にする
•
Gateway Anti-Malware の設定
McAfee Web Gateway 7.5.0
製品ガイド
325
9
Web フィルタリング
Advanced Threat Defense
•
ATD - オフライン スキャンの処理 - このルール セットを実装すると、以下のキー要素グループを設定できま
す。
•
Gateway Advanced Threat Defense の設定
以下では、これらのルール セットのキー要素について説明します。
次のサポート メディア タイプで Advanced Threat Defense を有効にする
Advanced Threat Defense の追加スキャンの対象になる Web オブジェクトを選択する場合のキー要素
表 9-41 次のサポート メディア タイプで Advanced Threat Defense を有効にする
オプション
定義
[挿入するメディア タイ [編集] をクリックすると、ウィンドウが開き、ルールが使用する Advanced Threat
プ]
Defense のサポート メディア タイプ リストを編集できます。
他の条件も満たした場合、このリストのメディア タイプに該当する Web オブジェクト
だけが Advanced Threat Defense でスキャンされます。
リストに項目を追加したり、項目の変更や削除を実行できます。
Gateway Anti-Malware の設定
Advanced Threat Defense の追加スキャンの前に実行するマルウェア対策モジュールのスキャンを設定する場合
のキー要素
表 9-42 Gateway Anti-Malware の設定
オプション 定義
[設定]
[編集] をクリックすると、ウィンドウが開き、Web Gateway で使用可能なモジュール コンポーネン
トと併用される場合のマルウェア対策モジュールの設定を編集できます。
このスキャンは、Advanced Threat Defense のスキャンよりも前に実行されます。このスキャン結
果に応じて、Advanced Threat Defense による追加スキャンが実行されます。
Gateway Advanced Threat Defense の設定
Advanced Threat Defense の追加スキャンを設定する場合のキー要素
表 9-43 次のエージェントとホストでのスキャン回避
オプション 定義
[設定]
[編集] をクリックすると、ウィンドウが開き、Advanced Threat Defense でスキャンが実行される
場合の Web Gateway マルウェア対策モジュールの設定を編集できます。
Advanced Threat Defense の使用に必要な設定を行う
Web オブジェクトのスキャンに Advanced Threat Defense を使用するように、Web Gateway のマルウェア対策
モジュール (またはエンジン) を設定できます。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで [マルウェア対策] を展開し、Advanced Threat Defense の設定を選択し
ます。
Advanced Threat Defense ライブラリ ルール セットをインポートすると、これらの設定の名前が「ゲートウ
ェイ ATD」になります。
326
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
Advanced Threat Defense
3
必要に応じて、これらの項目を設定します。
4
[変更の保存] をクリックします。
関連トピック:
327 ページの「ゲートウェイ ATD の設定」
ゲートウェイ ATD の設定
ゲートウェイ ATD の設定は、Web Gateway が受信した Web オブジェクトを Advanced Threat Defense でスキ
ャンする場合に使用します。
スキャン エンジンと動作を選択する
スキャン エンジンと感染を検出した場合の動作を選択します。
表 9-44 スキャン エンジンを選択する
オプション
定義
[両方の McAfee エンジン: 高性能
な構成に推奨]
選択すると、McAfee Gateway Anti-Malware エンジンと McAfee マルウェ
ア対策エンジンがアクティブになります。
Web オブジェクトは次の組み合せでスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ
このオプションはデフォルトで選択されています。
[段階的な対応: McAfee の両方の 選択すると、McAfee Gateway Anti-Malware エンジンと McAfee マルウェ
エンジンと特定の Avira エンジン ア対策エンジンがアクティブになります。また、一部の Web オブジェクトで
機能 (パフォーマンスに対する影響 は、サードパーティの Avira エンジンもアクティブになります。
を最小にする)]
Web オブジェクトは次の組み合せでスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュー
ルの機能 (一部の Web オブジェクト)
[重複対応: McAfee の両方のエン
ジンと Avira エンジン (パフォー
マンスに対する影響は最も少ない
が、誤検知が多くなる)]
選択すると、McAfee Gateway Anti-Malware エンジン、McAfee マルウェ
ア対策エンジン、サードパーティの Avira エンジンがアクティブになります。
Web オブジェクトは次の組み合せでスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ + サードパーティ モジュー
ル機能
[Avira のみ: Avira エンジンのみ
を使用 (非推奨) ]
選択すると、Avira エンジンのみがアクティブになります。
Web オブジェクトは次の組み合せでスキャンされます。
サードパーティ モジュールの機能
[McAfee Advanced Threat
Defense のみ: サンドボックスで
詳細な解析を行うために MATD ア
プライアンスにファイルを送信]
選択すると、Advanced Threat Defense のスキャンだけがアクティブにな
ります。
Web オブジェクトは次の組み合せでスキャンされます。
Advanced Threat Defense の機能
このオプションはデフォルトで選択されています。
[エンジンがウイルスを検出した直 選択すると、ウイルスまたはマルウェアに感染した項目を検出するとすぐに
後にウイルス スキャンを停止する] Web オブジェクトのスキャンを停止します。
MATD のセットアップ
Advanced Threat Defense の使用を設定する共通部分
McAfee Web Gateway 7.5.0
製品ガイド
327
9
Web フィルタリング
Advanced Threat Defense
表 9-45 MATD のセットアップ
オプション
定義
[ユーザー名]
Advanced Threat Defense との接続時に Web Gateway が送信するユーザー名で
す。
[パスワード]
Advanced Threat Defense との接続時に Web Gateway が送信するパスワードで
す。
[設定] をクリックすると、パスワードの設定ウィンドウが開きます。
[サーバー リスト]
Advanced Threat Defense が実行されているサーバーのリストです。
[証明機関のリスト]
ドロップダウン リストから既知の証明機関のリストを選択できます。
Web Gateway と Advanced Threat Defense との通信が HTTPS プロトコルの
SSL セキュア モードで行われる場合に、この証明機関が参照されます。
[不正なファイルを表す重
大度のしきい値]
Advanced Threat Defense によるスキャン時に Web オブジェクト (ファイルなど)
で検出された不正な特徴を示す重大度のしきい値が表示されます。
このしきい値に達すると、オブジェクトは不正として分類され、Antimalware.Infected
プロパティの値が true に設定されます。
スライダーを動かすと、しきい値を 0 から 5 (最大) までの間で設定できます。
[前の検出結果を再利用
選択すると、Advanced Threat Defense による前回のスキャン時に設定された重大度
し、McAfee Web
によって、Web オブジェクトが不正なオブジェクトかどうか判断されます。
Gateway がファイルのハ
ッシュで MATD から最新 このオプションを選択すると、次のオプションが使用可能になります。
のレポートを取得する]
[最大検出期間]
Web オブジェクトの重大度が設定されてからの最大経過時間 (分) が設定されます。
この時間が経過すると、この値が不正オブジェクトの評価に使用されません。
デフォルトの最大時間は 30 分です。
[同じサンプルを分析する
場合に実行中のタスクを
再利用する]
同じ Web オブジェクトを分析している場合、実行中のタスクが評価に使用されます。
[クライアント IP を
MATD サーバーに送信す
る]
Advanced Threat Defense が実行されているサーバーに、Web オブジェクトのダウ
ンロード要求を送信したクライアントの IP アドレスが送信されます。
以下の表では、サーバー リストの項目について説明します。
表 9-46 サーバー リスト - リスト項目
オプション
定義
[文字列]
Advanced Threat Defense が実行されているサーバーの名前を指定します。
[コメント]
サーバーのコメントがテキスト形式で表示されます。
ネットワーク設定
Advanced Threat Defense が実行されているサーバーとの接続の説明が表示されます。
328
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
Advanced Threat Defense
表 9-47 ネットワーク設定
オプション
定義
[接続タイムアウ
ト]
接続の待機時間 (秒) が表示されます。この時間が経過すると、サーバーとの接続が終了しま
す。
デフォルトの時間は 5 秒です。
[スキャン タイム
アウト]
Advanced Threat Defense が Web オブジェクトをスキャンできる時間 (分と秒) が表示さ
れます。
この時間が経過すると、Web Gateway がエラーとして記録します。
[分] - タイムアウトまでの時間 (分) を指定します。
[秒] - タイムアウトまでの時間 (秒) を指定します。
デフォルトは 10 分です。
[ポーリング間隔]
Web オブジェクトのスキャン状況に関する情報を Advanced Threat Defense から取得する
間隔 (秒) が表示されます。
デフォルトの時間は 20 秒です。
「Advanced Threat Defense」ルール セット
Advanced Threat Defense ルール セットは、Web オブジェクトのフィルタリング時に Web Gateway と
Advanced Threat Defense の併用を有効にするライブラリ ルール セットです。
ルール セット - Advanced Threat Defense
条件 - Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals
60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported
Types
サイクル - 応答、埋め込みオブジェクト
ルール セット条件では、次の条件を満たす場合にルール セットが適用されることを指定します。
•
Web Gateway のマルウェア対策エンジンの前のスキャン結果で、不正な Web オブジェクトの可能性が 60%
以上になっている場合。
•
オブジェクトのメディア タイプが Advanced Threat Defense のスキャンに対応しているタイプの場合
このルール セットには、以下のルールが含まれます。
進行状況ページを有効にする
Always –> Continue – Enable Progress Page<Default>
このルールは、Web オブジェクトがクライアントにダウンロードされるときに進行状況をページに表示するイベン
トを有効にします。
ファイルを ATD にアップロードしてスキャン結果を待機する
Antimalware.Infected<Gateway ATD> –> Block<Virus Found> –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
このルールは、Antimalware.Infected プロパティを使用して、Web オブジェクト (ファイルなど) がウイルス
やマルウェアに感染しているかどうかを確認します。
この検査で必要なスキャンがゲートウェイ ATD の設定で実行されます。このスキャンは Advanced Threat
Defense によって実行されます。
McAfee Web Gateway 7.5.0
製品ガイド
329
9
Web フィルタリング
Advanced Threat Defense
オブジェクトで感染が見つかると、要求側のクライアントへのオブジェクトの転送を中止し、オブジェクトへのア
クセスを要求したユーザーにブロック メッセージを表示します。
このブロック アクションは統計カウンターで記録されます。
ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ル
ール セット
ATD - ファイルをすぐに使用可能にするオフライン スキャンのライブラリ ルール セットは、Web オブジェクトの
フィルタリング時に Web Gateway と Advanced Threat Defense の併用を有効にするライブラリ ルール セット
です。
このルール セットを実装すると、Advanced Threat Defense のスキャンを実行する前に要求元のユーザーに Web
オブジェクトが転送されます。ユーザーは、このオブジェクトをすぐに使用することができます。
スキャンの結果、Web オブジェクトで脅威が検出されると、ユーザーから要求を受信したネットワーク管理者にメ
ッセージが送信されます。
このように Advanced Threat Defense を利用するスキャンをオフライン スキャンまたはバックグラウンド スキ
ャンといいます。
このルール セットをインポートすると、次の 2 つのルール セットが実装され、ルール セット ツリーに表示されま
す。
•
ATD - オフライン スキャンの開始
•
ATD - オフライン スキャンの処理
「ATD - ファイルをすぐに使用可能にするオフライン スキャン」という名前のルール セットは実装されません。
ATD - オフライン スキャンの開始
このルール セットは、Advanced Threat Defense による追加スキャンを開始します。
ライブラリ ルール セット - ATD - オフライン スキャンの開始
条件 – Antimalware.Proactive.Probability<Gateway Anti-Malware> greater than or equals
60 AND MediaType.EnsuredTypes at least one in list Advanced Threat Defense Supported
Types AND Body.Size less than 30000000
サイクル - 応答、埋め込みオブジェクト
ルール セット条件では、次の条件を満たす場合にルール セットが適用されることを指定します。
•
Web Gateway の前のスキャン結果で、不正な Web オブジェクトの可能性が 60% 以上になっている場合。
•
オブジェクトのメディア タイプが Advanced Threat Defense のスキャンに対応しているタイプの場合
•
Web オブジェクトが特定のサイズを超えていない場合
このルール セットには、以下のルールが含まれます。
ファイルをすぐに使用可能にするオフライン スキャン
Antimalware.MATD.InitBackgroundScan(5) equals false –> Block<ATD Communication Failed>
330
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Advanced Threat Defense
9
このルールが処理されると、Web Gateway に送信された Web オブジェクト要求に関連するすべてのデータが記
録されます。Web サーバーからの応答も記録されます。応答には、要求された Web オブジェクト (ファイルなど)
が含まれます。Web オブジェクトを含む応答は Web Gateway に保存されます。
Advanced Threat Defense でのスキャンを開始するため、Web Gateway で内部要求が作成されます。Web
Gateway は、内部要求に対する応答を待機し、要求が受け入れられ、スキャンが実行されるかどうかを確認しま
す。
Web Gateway の待機時間は、Antimalware.MATD.InitBackgroundScan プロパティのパラメーターに秒
単位で設定します。デフォルトは 5 秒です。この時間を変更数 r には、プロパティのパラメーターを編集します。
設定した時間内に内部応答に対する応答がない場合、プロパティが false に設定され、この条件に従ってルールが
適用されます。管理者にメッセージが送信され、Advanced Threat Defense の追加スキャンが実行できなかった
ことが通知されます。
時間内に応答を受信した場合、Web オブジェクトがユーザーに転送されます。
次のルール セットによって追加のスキャン処理が実行されます。
ライブラリ ルール セット - ATD - オフライン スキャンの処理
条件 – Antimalware.MATD.IsBackgroundScan equals true
サイクル - 応答、埋め込みオブジェクト
ルール セットの条件では、Antimalware.MATD.IsBackgroundScan の値が true の場合にルール セットが
適用されることを指定します。
前のルール セットのルールによって Advanced Threat Defense の追加スキャンが正常に開始した場合、true が設
定されます。この場合、Advanced Threat Defense がルールによって記録されているデータを使用して、要求され
た Web オブジェクトをスキャンします。
このルール セットには、以下のルールが含まれます。
ファイルを ATD にアップロードしてスキャン結果を待機する
Antimalware.Infected<Gateway ATD> equals true –> Continue –
Statistics.Counter.Increment("BlockedByMATD",1)<Default>
このルールは、Antimalware.Infected プロパティを使用して、Web オブジェクト (ファイルなど) がウイルス
やマルウェアに感染しているかどうかを確認します。この検査で必要なスキャンがゲートウェイ ATD の設定で実
行されます。このスキャンは Advanced Threat Defense によって実行されます。
保存済みの Web オブジェクトが Web Gateway から Advanced Threat Defense に転送されます。
スキャンの結果、Web オブジェクトで感染が検出されると、統計カウンターに感染が記録されます。
ファイルをすぐに使用可能にするオフライン スキャン
Antimalware.Infected<Gateway ATD> equals true –> Block<Virus Found> – Set
User-Defined.MessageText =
"Client.IP:"
+ IP.ToString(Client.IP)
+ "Requested URL:"
+ URL
+ "Virus name:"
+ ListOfString.ToString (Antimalware.VirusNames<Gateway.ATD>, ","
Email.Send ("Administrator@", "MATD offline scan detected a virus",
User-Defined.MessageText)<Default>
McAfee Web Gateway 7.5.0
製品ガイド
331
9
Web フィルタリング
Data Loss Prevention
このルールが処理されると、Antimalware.Infected プロパティの値が true かどうか確認されます。
true の場合、Advanced Threat Defense が実行したスキャンでウイルスなどのマルウェア感染が検出されていま
す。
警告メッセージが生成され、Web オブジェクトへのアクセスを要求したユーザーのネットワーク管理者に送信され
ます。このメッセージには、前のルール セットのルールで記録された要求に関する情報が含まれます。
サイクルの停止
常時 –> Stop Cycle
このルールは処理サイクルを終了します。このルールは、先行するルールが処理された後に実行されます。
Data Loss Prevention
Data loss prevention (DLP) は、機密情報がネットワークから流出しないようにします。防御のプロセスでは、こ
のコンテンツを検出し、Web へ流出するトラフィックを適宜にブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する Data loss prevention ルール
•
data loss prevention のエントリを記入したデフォルトの分類およびディクショナリ
•
機密情報の検索を処理するルールによって呼び出される Data loss prevention モジュール
また、data loss prevention ルールを使用して、ネットワークへ流入しないように不適切なコンテンツを保持でき
ます。しかし、これはパフォーマンスへ影響を与える可能性があります。
data loss prevention プロセスは、要求または応答とともに送信される本文に含まれるテキスト、または、URL パ
ラメーターまたはヘッダーなど、要求または応答に含まれるその他テキストにも適用できます。
フィルタリング プロセスに対して、ICAP サーバーを使用する DLP ソリューションと共にアプライアンスを実行中
の場合、アプライアンスと ICAP サーバーの間のデータのスムーズなフローを確認するためにルール セットを施行で
きます。
Data loss prevention ルール
Data loss prevention は、アプライアンスのデフォルトによって実行されませんが、ライブラリから Data Loss
Prevention ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
data loss prevention ルールは、たとえばテキストが機密コンテンツを含む本文として送信される要求などをブロ
ックします。要求本文を提供するのが「true」かどうか検索するため、ルールは本文を検査するモジュールを呼び出
します。何が機密と見なされるか知るには、構成されたものに従って、システム リストのモジュールがデフォルトの
分類、またはディクショナリ エントリを参照します。
要求または応答が処理されたとき、本文が Body.Text プロパティの値として保管されます。本文が保管され、検査
される前に、抽出する必要があります。コンポジット オープナー モジュールはオープニング ジョブを実行します。
共通ルール ルール セットのルール セットにおけるルールは、デフォルトでオープナーを有効にします。
要求本文は、たとえば、Web へのアップロードが要求されるテキスト ファイルに存在する可能性があります。ルー
ル条件の適合した本文関連プロパティの値は、適用するルールおよびブロックの実行に「true」になります。
以下のルールは、この方法で DLP.Classification.BodyText.Matched を使用します。要求が本文に機密コンテ
ンツを含む場合、これは、これは data loss prevention モジュールによって検出されます。プロパティの値は true
に設定され、要求がブロックされます。
332
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Data Loss Prevention
9
名前
SOX 情報でファイルをブロックする
条件
DLP.Classification.BodyText.Matched<SOX> equals true
アクション
–> Block<DLP.Classification.Block>
このルールが処理されるとき、data loss protection モジュールはその設定によって、企業の責任に対応する SOX
(サーベンス オクスリー法) 規制に関して機密コンテンツを検索する必要があることを知っています。
イベントをルールに追加し、data loss prevention の情報をログ記録するか、このルールによってブロックされた
要求が発生する頻度をカウントするカウンターをインクリメントできます。
デフォルトの分類およびディクショナリ エントリ
デフォルトの分類およびディクショナリ エントリは、data loss prevention で使用され、ネットワークからの流出
を防ぐ必要がある機密コンテンツを指定します。
システム リストとディクショナリの項目を使用して不適切なコンテンツ (差別的な表現や不快な表現など) を指定
し、ネットワークへの配信を防ぐことができます。このような方法で不適切なコンテンツを指定すると、要求に対す
る応答で Web サーバーから送信されたコンテンツをルールでブロックすることができます。
data loss prevention のライブラリ ルール セットは、応答サイクルの本文を処理するためにネストされたルール
セットを含みます。
デフォルトの分類およびディクショナリ エントリは以下の方法で異なります。
•
デフォルトの分類 — たとえば、クレジット カード番号、社会保険番号、医療診断データなど、異なる種類の機
密または不適切なコンテンツを検出するための情報を提供します。
デフォルトの分類は、システム リストのフォルダーおよびサブフォルダーに含まれており、アプライアンス シス
テムによって更新されます。リスト ツリーの [システム リスト] ブランチの [DLP 分類]の下で、システム リス
トを表示できますが、編集または削除はできません。
分類を処理するモジュールの設定を編集する場合、これらのリストのフォルダーから適合したサブフォルダーを
選択し、ネットワーク内の data loss prevention の分類とともにリストを作成できます。
•
ディクショナリ エントリ — たとえば、ネットワークから流出させるべきではないコンテンツを示唆する人物の
名前やキーワードなど、機密または不適切なコンテンツを指定します。
ディクショナリは、このリストを処理するモジュールの設定の一部として作成されます。
ディクショナリを作成し、機密または不適切なコンテンツに対してエントリを記入することは、システム リスト
のデフォルト分類を使用して何が可能かを超えて、data loss prevention プロセスの構成を意味します。この方
法でネットワークの要件に対してプロセスを合わせることができます。
Data Loss Prevention モジュール
data loss prevention モジュールのジョブ (エンジンとも呼ばれる) は、要求および応答の本文、および要求および
応答とともに送信される他のテキストで、機密または不適切なコンテンツを検出するためのものです。
アーカイブ ドキュメント、POST 要求の本文、およびその他など、複合オブジェクトが要求または応答とともに送信
される場合、data loss prevention プロセスにも含まれます。このようなオブジェクトを分析するため、data loss
prevention ルールは、埋め込みオブジェクト サイクルでも処理されます。
検出された data loss prevention モジュールによって、ルール条件の本文関連プロパティは、true または false
に設定されます。そのため、Web トラフィックは最終的にブロックまたは許可されます。
McAfee Web Gateway 7.5.0
製品ガイド
333
9
Web フィルタリング
Data Loss Prevention
関連コンテンツを検出するためのリストの使用で異なる、2 つのモジュールがあります。
•
Data Loss Prevention (分類) — data loss prevention のためにシステム リストのデフォルトの分類を使
用します。
•
Data Loss Prevention (ディクショナリ) — data loss prevention に対して提供する機密および不適切な
コンテンツに、エントリとともにディクショナリを使用します。
モジュールの設定を構成するとき、検索するべきコンテンツを指定します。コンテンツを指定するデフォルトの分類
およびディクショナリは、設定パラメーターの間にあります。
data loss prevention の検索方法
ネットワークからの流出や流入をふせぐべきコンテンツの検索には異なる方法があります。
•
検索は、機密又は不適切として指定されるコンテンツの一部を含む、要求または応答本文を提供するか否かの検
索を目的にできます。
•
検索は URL パラメーターまたはヘッダーコンテンツの一部で開始し、構成されたものに従って、機密または不適
切かどうかを検索できます。
最初の方法として、サンプル ルールで既に表示された DLP.Classification.BodyText.Matched プロパティを
使用できます。
2 つ目に、DLP.Classification.AnyText.Matched プロパティを使用できます。このプロパティは、システム
リストまたはディクショナリにあるため確認されるコンテンツの一部のため、文字列のパラメーターを取得します。
作業しているものによって、システムリストと DLP.Dictionaries.BodyText.Matched、ディクショナリを備え
た DLP.Dictionaries.AnyText.Matched とともに、すでに述べた 2 つを使用できます。
Data Loss Prevention のログ記録
追加プロパティが、data loss prevention プロセスの結果をログ記録するために提供されます。ルールのイベント
を使用するなど、このデータをログ記録できます。
DLP.Classification.BodyText.Matched の値が、処理された要求または応答の本文に対して true の場合、以
下が関連ログ記録プロパティに適用されます。
•
DLP.Classification.BodyText.MatchedTerms は、本文から一致する用語のリストを含みます。
•
DLP.Classification.BodyText.MatchedClassifications は、一致する分類のリストを含みます。
DLP.Dictionary.BodyText.Matched の値が true の場合、DLP.Dictionary.BodyText.MatchedTerms
は一致するすべての用語のリストを含みます。
同じく、一致する用語と分類は、提供されたテキスト文字列の一致を検索する検索方法のため、ログ記録できます。
DLP.Classification.AnyText.Matched の値が true の場合:
•
DLP.Classification.AnyText.MatchedTerms は、本文以外のテキストで見つかった一致する用語のリス
トを含みます。
•
DLP.Classification.AnyText.MatchedClassifications は、本文以外のテキストで見つかった一致する分
類のリストを含みます。
一致がディクショナリにある場合、DLP.Dictionary.AnyText.Matched が true であり、
DLP.Dictionary.AnyText.MatchedTerms は一致する用語のリストを含みます。
data loss prevention 結果の情報は、ダッシュボードにも表示されます。
334
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Data Loss Prevention
9
医療データの消失の防止
以下は、米国病院のネットワークから医療データの流出を防ぐことを保証する、data loss prevention の一例です。
医療データの消失を防ぐデフォルトの分類は、HIPAA (医療保険の携行性と責任に関する法律) フォルダーに含まれ
ています。このデフォルト情報に加えて、病院に勤務する医師の名前がディクショナリに入力され、ネットワークか
らデータが流出しないことを保証します。
この例で、data loss prevention を構成するために完了する必要があるアクティビティは以下です。
•
デフォルトの HIPAA 分類を含む Data Loss Prevention (分類) モジュールの設定を構成する
•
ディクショナリのエントリとして医師の名前を含む、Data Loss Prevention (ディクショナリ) モジュールの設
定を構成する
•
コンポジット オープナーを有効にするルールが有効になっていることを確認する
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
•
構成された設定に従って、コンテンツを確認するルールを作成する
ルールは、病院ネットワークから Web までデータをアップロードする要求のための、要求サイクルで適用される
ルール セットに含まれる必要があります。
ルール セットは、data loss prevention または自身で作成するルール セットの、デフォルトのルール セットの
ネストされたルール セットになる可能性があります。
この例として、ルールは要求本文に含まれたテキストのみを確認します。以下のようになります。
名前
HIPAA データと医師の名前の Prevent loss
条件
アクション
DLP.Classification.BodyText.Matched<HIPAA> equals
true AND
DLP.Dictionary.BodyText.Matched<Doctors'Names>
equals true
–
>
Block<DLP.Classification.Block>
Data Loss Prevention の構成
data loss prevention を構成して、ネットワークから流出しないように機密コンテンツを保持できます。不適切な
コンテンツが流入しないようにするためにも使用できます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから Data Loss Prevention ルール セットをインポートします。
2
ルールを確認し、必要に応じて変更します。
たとえば、以下のことが実行可能です。
•
デフォルトの分類を使用して data loss prevention の設定を構成する。
•
ディクショナリ エントリを使用して data loss prevention の設定を構成する。
•
その他の設定パラメーターを変更する。
•
独自のルールを作成する。
ライブラリ ルール セットを使用する代わりに、data loss prevention の独自のルール セットも作成できます。
McAfee Web Gateway 7.5.0
製品ガイド
335
9
Web フィルタリング
Data Loss Prevention
3
Composite Opener が有効になっていることを確認したため、リクエストおよび応答を送信した本文を検査でき
ます。
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
4
ICAP で data loss prevention を実行する場合、ライブラリから他のルール セットをインポートし、必要に応
じてルールを変更できます。
5
変更を保存します。
デフォルトの分類を使用して Data Loss Prevention を構成する
システム リストからデフォルトの分類選択することで、data loss prevention を構成し、分類処理のための data
loss prevention モジュールの設定に含まれているリストに入力できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention(分類)] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント]フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[DLP 分類]のツールバーで、[編集]アイコンをクリックします。
[編集]ウィンドウが、デフォルト分類のサブフォルダーを含むフォルダーのツリー構造とともに開きます。
5
たとえば [SOX コンプライアンス]などのフォルダーを展開し、[コンプライアンス レポート]などのサブフォル
ダーを選択します。次に、[OK]をクリックします。
また、フォルダーのいくつかのサブフォルダーを一度に選択、異なるサブフォルダーからフォルダーを選択、ま
たは個別サブフォルダーすべてとともに完全なフォルダーを選択できます。
[編集]ウィンドウが閉じ、サブフォルダーが[DLP 分類]インライン リストに表示されます。
6
[変更の保存]をクリックします。
ディクショナリ エントリを使用して data loss prevention を構成する
data loss prevention のディクショナリにエントリとして、機密または不適切なコンテンツを指定するテキストと
ワイルドカード式を入力できます。
ライブラリ Data Loss Prevention ルール セットをインポートした後、機密または不適切なコンテンツを指定した
エントリが入力されたディクショナリの使用は、まだ実行されません。適切な設定を作成し、実行して、ディクショ
ナリにエントリを入力する必要があります。
タスク
•
337 ページの「ディクショナリの設定の作成」
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作
成する必要があります。
•
337 ページの「辞書のエントリーの入力」
辞書の設定を作成した後で、辞書のエントリーを入力できます。
336
McAfee Web Gateway 7.5.0
製品ガイド
Web フィルタリング
Data Loss Prevention
9
ディクショナリの設定の作成
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作成する必要が
あります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention(ディクショナリ)] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b [オプション][コメント] フィールドで、設定の平文コメントを入力します。
c [オプション][権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
これで、ディクショナリにエントリを入力できます。
辞書のエントリーの入力
辞書の設定を作成した後で、辞書のエントリーを入力できます。
タスク
1
辞書エントリーを使用してデータ喪失防止のために作成した設定の中で、[辞書]インライン リストのツールバー
の[追加]アイコンをクリックします。
[DLP 辞書エントリーの追加]ウィンドウが開きます。
2
[検索するデータのタイプ]の下で、[テキスト]または[ワイルドカード式]を選択します。
3
[テキストまたはワイルドカード式]フィールドにテキスト文字列またはワイルドカード式を入力します。
4
[オプション] エントリーの追加情報を指定:
•
•
テキスト文字列を入力している場合、以下のオプションの 1 つまたはそれらの組み合わせを選択してくださ
い。
•
[大文字と小文字を区別]
•
[単語の先頭]
•
[単語の末尾]
ワイルドカード式を入力している場合は、[大文字小文字を区別]を選択するか、必要に応じてその選択を解除
します。
5 [オプション][コメント]フィールドで、エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[DLP 辞書エントリーの追加]ウィンドウが閉じて、辞書に新しいエントリーが表示されます。
エントリーを追加するには、ステップ 1 から 6 を繰り返します。
7
[設定の追加]で[OK]をクリックします。
このウィンドウは閉じ、新しい設定が[データ喪失防止(辞書)]の下の設定ツリーに表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
337
9
Web フィルタリング
Data Loss Prevention
Data Loss Prevention(分類)の設定
Data Loss Prevention(分類)設定は、機密またじゃ不適切なコンテンツを指定する分類 リストのエントリの構成
に使用されます。
DLP 分類パラメーター
機密または不適切なコンテンツを検索する場合、分類リストの使用を構成する設定
表 9-48 DLP 分類パラメーター
オプション
定義
[ポリシーの追
跡]
リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。
検索は選択したすべての分類に対して実行されます。ただし、以下の方法で構成することができ
ます。
• 最小 — 特定の分類で機密または不適切なコンテンツのインスタンスが検出された場合、または
インスタンスを検出できなかった場合に、検索を停止します。検索は次の分類に対して続行さ
れます。
これは、分類がすべて処理されるまで続行されます。
• 最大 — 検索では、特定の分類に対して機密または不適切なコンテンツのインスタンスをすべて
検索しようとします。1 つの分類に対して検索が完了したら、次で続行されます。
これは、分類がすべて処理されるまで続行されます。
[DLP 分類]
リスト ツリーの[DLP 分類]で提供されるシステム リストの分類リストでエントリを選択するた
めのリストを提供します。
次の表では、DLP 分類リストのエントリを説明しています。
表 9-49 DLP 分類パラメーター – リスト エントリ
オプション
定義
[DLP 分類]
機密または不適切なコンテンツの検出についての情報を提供するエントリを提供します。
[コメント]
エントリの平文テキストのコメントを提供します。
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 9-50 詳細パラメーター
オプション
定義
[報告されたコンテキストの
幅]
リストに一致する用語に関して表示される文字の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
[コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
Data Loss Prevention(ディクショナリ)の設定
Data Loss Prevention(ディクショナリ)設定は、機密または不適切なコンテンツを指定するテキストおよびワイ
ルドカード式の構成に使用されます。
DLP ディクショナリ パラメーター
密または不適切なコンテンツを指定するテキストおよびワイルドカード式の構成の設定
338
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
Data Loss Prevention
表 9-51 DLP ディクショナリ パラメーター
オプション
定義
[ポリシーの追
跡]
リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲を設定します。
検索は作成したすべてのディクショナリのエントリに対して実行されます。ただし、以下の方法
で構成することができます。
• 最小 — 特定のディクショナリのエントリで機密または不適切なコンテンツのインスタンスが
検出された場合、またはインスタンスを検出できなかった場合に、検索を停止します。検索は
次のエントリに対して続行されます。
これは、エントリがすべて処理されるまで続行されます。
• 最大 — 検索では、特定のディクショナリのエントリに対して機密または不適切なコンテンツ
のインスタンスをすべて検索しようとします。1 つのエントリに対して検索が完了したら、次
で続行されます。
これは、エントリがすべて処理されるまで続行されます。
[ディクショナ
リ]
機密または不適切なコンテンツ、またはそれに一致するテキスト文字列およびワイルドカード式
のリストを提供します。
次の表では、[ディクショナリ] リストのエントリを説明しています。
表 9-52 ディクショナリ – リスト エントリ
オプション
定義
[テキストまたはワイルドカード
式]
機密または不適切なコンテンツ、またはそれに一致するテキスト文字列および
ワイルドカード式を指定します。
[コメント]
テキスト文字列またはワイルドカード式の平文テキスト形式のコメントを提供
します。
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 9-53 詳細パラメーター
オプション
定義
[報告されたコンテキストの
幅]
リストに一致する用語に関して表示される文字の数を指定値に制限します。
一致する用語は、DLP.Dictionary.Matched.Terms プロパティの値です。
[コンテキスト リスト サイズ] リストに表示される一致する用語の数を指定値に制限します。
一致する用語は、DLP.Classification.Matched.Terms プロパティの値です。
Data Loss Prevention ルール セット
Data Loss Prevention (DLP) ルール セットは、ネットワークからの機密コンテンツの流出や不適切なコンテンツ
の流入を防ぐライブラリ ルール セットです。
デフォルト ルール セット – Data Loss Prevention (DLP)
条件 — Always
サイクル – Requests (and IM), responses, embedded objects
McAfee Web Gateway 7.5.0
製品ガイド
339
9
Web フィルタリング
Data Loss Prevention
以下のルール セットは、このルール セット内にネストされています。
•
要求サイクルの DLP
•
応答サイクルの DLP
このルール セットは、デフォルトでは有効になっていません。
要求サイクルの DLP
このネストされたルール セットは、機密情報が含まれていることが確認された場合、ネットワークのクライアントか
ら Web サーバーへ送信される要求をブロックします。たとえば、機密コンテンツを含むファイルの Web へのアッ
プロード要求をブロックします。
ネストされたライブラリ ルール セット - 要求サイクルの DLP
条件 – Cycle.TopName equals "Request"
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、要求がアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
HIPAA 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <HIPAA> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求
されるファイルに存在する可能性があります。
テキストは、、HIPAA ヘルスケア規制に従って、機密コンテンツであるとみなされます。関連情報の死湯は、モジ
ュール設定の一部として構成され、プロパティ名の後に指定されます。
要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定
は要求しているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
Payment Card Industry 情報によるファイルのブロック
DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求
されるファイルに存在する可能性があります。
テキストは、、ペイメント カードへ適用される規制に従って、機密コンテンツであるとみなされます。クレジット
カード番号は、たとえば、これらの規制のもとでコンテンツとなる可能性があります。テキスト内に機密コンテン
ツがあるか否かについては、HIPAA 関連ルールと同じ方法で、適切な情報を使用して検出されます。
要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定
は要求しているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
SOX 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理された要求の本文を確認します。このテキストは、たとえば、Web へのアップロードが要求
されるファイルに存在する可能性があります。
340
McAfee Web Gateway 7.5.0
製品ガイド
9
Web フィルタリング
Data Loss Prevention
株式公開企業の説明責任が規定されている SOX (Sarbanes-Oxley) 法により、機密コンテンツが定義されていま
す。たとえば、この法律では取締役会の議事録は機密コンテンツになります。機密コンテンツは、HIPAA 関連のル
ールと同じ方法で検出されます。
要求本文のテキストに機密コンテンツが含まれている場合、要求はブロックされます。ブロック アクションの設定
は要求しているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
DLP 応答サイクル
このネストされたルール セットは、差別的または攻撃的な言葉など、不適切なコンテンツを含んでいることがわかっ
た場合、Web サーバーからアプライアンスで受け取った応答をブロックします。
ネストされたライブラリ ルール セット – DLP 応答サイクル
条件 – Cycle.TopName equals "Response"
サイクル - 応答、埋め込みオブジェクト
ルール セット条件は、応答がアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
有効な使用
DLP.Classification.BodyText.Matched <Acceptable Use> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されている応答の本文を確認します。このテキストは、たとえば、ダウンロード要求に応答
するファイルに存在する可能性があります。
ルールによって、応答に不適切なコンテンツが含まれるかどうか検査するモジュールが呼び出され、分類リストか
ら適切な情報を使用します。これらのリストの使用は、モジュールの設定でプロパティ名の後に指定します。
応答本文のテキストに不適切なコンテンツが含まれている場合、応答はブロックされます。ブロック アクションの
設定は、応答が転送されるユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
ICAP サーバーを使用した Data Loss Prevention
フィルタリング プロセスを処理する ICAP サーバーで Data Loss Prevention を実施すると、アプライアンスと
ICAP サーバーの間のデータのスムーズなフローを確保するために、設定を構成し、ルール セットを施行することが
できます。
Data Loss Prevention のために、nDLP と呼ばれるソリューションを使用できます。このソリューションの中で、
ユーザーがネットワークから Web にアップロードするデータは、Data Loss Prevention のためにフィルタリング
されます。フィルタリングは ICAP サーバーで実行されます。データ フローは、以下のとおりです。
•
ユーザーのクライアント システムから送信されたデータは、アプライアンスに転送されます。
•
アプライアンスは、ユーザー データで REQMOD リクエストを ICAP サーバーに送信する ICAP クライアントを
備えています。
•
リクエストは ICAP プロトコルに従ってそれらを変換することでサーバーでフィルタリングされ、リクエストの
宛先となる Web サーバーに渡されます。
ライブラリから ICAP による Data Loss Prevention ルール セットをインポートした後で、アプライアンス上で
施行されるルールは ICAP サーバーへのリクエストの送信を制御します。
McAfee Web Gateway 7.5.0
製品ガイド
341
9
Web フィルタリング
Data Loss Prevention
これらのルールに従って、リクエストは以下のような場合は転送されません。
•
リクエストの本文にデータがなく、リクエストに URL パラメーターが含まれない。
•
リクエストの本文が指定されたサイズ(デフォルト: 50 MB)を超えている。
ルール セットと共に、構成する必要がある設定がインポートされます。これらには、アプライアンスがリクエストを
転送できる ICAP サーバーのリストが含まれます。
また、特定の ICAP サーバーが同時に処理できるよりも多くの接続をリクエスト送信のために開かないように、アプ
ライアンスの ICAP クライアントを構成することもできます。
data loss prevention の ICAP サーバー リストの作成
フィルタリング データの ICAP サーバーを使用する、data loss prevention の nDLP を実行する場合、これらの設
定のリストを構成する必要があります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ICAP クライアント]を選択し、[ReqMod] 設定をクリックします。
3
必要に応じて、これらの設定で指定された ICAP サーバー リストを構成します。
4
[変更の保存]をクリックします。
ICAP クライアントの設定
ICAP クライアントの設定は、アプライアンスの ICAP クライアントと ICAP サーバーの間で REQMOD モードの通
信を構成するために使用されます。
ICAP サービス
アプライアンスの ICAP クライアントがリクエストを送信する ICAP サーバーの設定
表 9-54 スキャン エンジンの選択
オプション
定義
[ICAP サーバーのリスト] ICAP 通信で使用するサーバーのリストが表示されます。
ICAP クライアントからの要求は、選択したリストのサーバーにラウンドロビン モード
で送信されます。 このため、このリストは 60 秒間隔でチェックされます。
次の表では、サーバー リストの ICAP サーバーのエントリーを説明しています。
表 9-55 ICAP サーバーのリストのエントリー
オプション
定義
[URI]
ICAP サーバーの URI が表示されます。
形式:ICAP://<IP アドレス>:<ポート番号>
[最大同時接続数制限を保持] 選択すると、アプライアンスの ICAP クライアントは要求送信時に、ICAP サーバー
が処理可能な数以上の接続を開かないようになります。
[コメント]
342
McAfee Web Gateway 7.5.0
ICAP サーバーの平文コメントを提供します。
製品ガイド
Web フィルタリング
Data Loss Prevention
9
ICAP ルール セットの Data Loss Prevention
ICAP ルール セットの Data Loss Prevention は、data loss prevention のソリューションで、アプライアンスと
ICAP サーバー間のデータ フローを構成するライブラリ ルール セットです。
ライブラリ ルール セット – ICAP の Data Loss Prevention
条件 — 条件 — URL.Host は “ ”と等しくありません
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、アプライアンスにリクエストで送信される URL のホスト名を見つけることができるときにル
ール セットが適用されることを指定します。
このルール セットは、以下のルールを含みます。
情報をもたないリクエストをスキップする
Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule
Set
このルールは、リクエストに空の本文があるかどうかをチェックする Body.Size プロパティを使用します。また、
ListOfString.IsEmpty プロパティを使用して、リクエストが URL パラメーターをもつかどうかチェックしま
す。
この条件の 2 つの部分の 1 つが一致する場合、ルール セットの処理が停止し、リクエストが ICAP サーバーに転
送されません。
50 MB を超える本文をスキップする
Body.Size greater than 52428800 –> Stop Rule Set
ルールは Body.Size プロパティを使用して、リクエストの本文が 50 MB を超えないかどうかを確認します。50
MB を超える場合、ルール セットの処理が停止し、リクエストは ICAP サーバー転送されません。
ルール セットの条件で、要求本文の上限サイズがバイト数で指定されています。
ReqMod サーバーのコール
ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle
ルール セットの最初の 2 つのルールに従ってリクエストがフィルタリングを通過するときに、ICAP サーバーに転
送されます。それが行われると、ICAP.ReqMod.Satisfaction プロパティが true になります。
ルールはこれがリクエストであるかどうか、現在のサイクルの処理を最終的に停止するかどうかをチェックします。
McAfee Web Gateway 7.5.0
製品ガイド
343
9
Web フィルタリング
Data Loss Prevention
344
McAfee Web Gateway 7.5.0
製品ガイド
10
サポート機能
アプライアンスの一部の機能は、Web オブジェクトをフィルタリングせずに、さまざまな方法でフィルター処理を
サポートします。
サポート機能を使用して、以下を実行することができます。
•
ダウンロード進行状況の表示 — Web オブジェクトのダウンロード中の進行状況をユーザーに表示する方法を設
定できます。
•
更新とダウンロード時の帯域幅の制限 - クライアントからアプライアンスにデータをアップロードしたり、
Wweb サーバーからアプライアンスにデータをダウンロードするときの通信速度を制限することができます。
•
Web オブジェクトを保管し、提供するために Web キャッシュを使用 — アプライアンスの Web キャッシュか
らオブジェクトを配布することにより、クライアント要求への応答をスピードアップできます。
•
ネクスト ホップ プロキシによるルーティング要求 - これらのプロキシを使用して要求を送信先までルーティン
グできます。
目次
進行状況の表示
帯域幅スロットル
Web キャッシング
ネクスト ホップ プロキシ
進行状況の表示
オブジェクトのダウンロードの進行状況を Web オブジェクトのダウンロードを開始したユーザーに示すプロセスで
す。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する進行状況表示ルール
•
進行状況の表示の様々な方法を扱うために、ルールによりコールされる進行状況表示モジュール
進行状況表示ルール
進行状況表示を制御するルールは、1 つのルール セットに含まれます。さまざまなルールが、進行状況表示のさまざ
まな方法の使用を制御します。適宜、これらの方法を扱うためのさまざまなモジュールをコールします。
McAfee Web Gateway 7.5.0
製品ガイド
345
10
サポート機能
進行状況の表示
アプライアンスでは、進行状況表示に 2 つの方法が利用可能です。ダウンロードに適した方法がどちらであるかは、
ユーザーがダウンロード リクエストを送信するブラウザーによります。
•
進行状況ページ — Mozilla ブラウザー。
この方法の下で、進行状況バーのある 1 つのページがダウンロードを開始するユーザーに示され、ダウンロード
の完了に対して別のページが示されます。
•
データ トリックル — ほかのすべてのブラウザーの場合
この方法の下で、Web オブジェクトがチャンクで、特定の転送率でユーザーに送信されます。
進行状況表示は、デフォルトのルール セット システムでは実施されません。ライブラリ ルール セットは、これらの
機能を提供します。その名前は、進行状況の表示です。
このルール セットを施行し、ルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
進行状況表示モジュール
2 つの進行状況表示モジュール(エンジンとも呼ばれる)は、以下のようなさまざまな方法の進行状況表示を扱うた
めに使用できます。
•
進行状況ページ モジュール — 進行状況ページ方法の場合
•
データ トリックル モジュール — データ トリックル方法の場合
これらの方法を扱う方法を変更するために、これらのモジュールの設定を構成できます。
進行状況ページ方法に使用される 2 ページを構成するためのテンプレートが提供されます。ユーザー メッセージの
テンプレートと同じ方法で設定できます。
進行状況の表示の構成
進行状況の表示を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから進行状況の表示ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
•
3
346
進行状況ページ モジュールの設定を構成します:
•
進行状況ページに特定の言語を選択します
•
進行状況ページのテキストを変更します
•
ダウンロード後にページが利用可能な時間のタイムアウトなど、ダウンロード ページのタイムアウトを指
定します。
データ トリックル モジュールの設定を構成します:
•
トリックル プロセスにおける最初のチャンクのサイズ
•
転送レート
変更を保存します。
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
進行状況の表示
10
進行状況の表示モジュールの構成
進行状況の表示モジュールを構成し、Web オブジェクトをダウンロードする進行情報がユーザーに表示される方法
を変更できます。
進行状況の表示に 2 つの異なるモジュールがあります。進行状況ページおよびデータ トリックル モジュール。
タスク
1
[ポリシー][ルール セット]を選択します。
2
ルール セット ツリーで、進行状況の表示のためにルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これは進行状況の表示です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
構成するものにしたがって、進行状況ページ モジュールを呼び出す、またはデータ トリックル モジュールを呼
び出すルールを検索します。
ライブラリ ルール セットで、ルール進行状況ページを有効にする および データ トリックルを有効にするがあり
ます。
5
適切なルールのルール イベントで、設定名をクリックします。
[設定の編集]ウィンドウが開きます。進行状況ページまたはデータ トリックル モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
348 ページの「データ トリックル設定」
349 ページの「進行状況の表示(ルール セット)」
進行状況ページ設定
進行状況ページ設定は、Web オブジェクトをダウンロードしているときに、ユーザーに示される進行状況ページを
設定するために使用されます。
進行状況ページ パラメーター
進行状況ページの設定
表 10-1 進行状況ページ パラメーター
オプション
定義
[テンプレート]
進行状況ページで使用されるテンプレートの設定を提供します。
[タイムアウト]
進行状況ページに関連するタイムアウトの設定を提供します。
テンプレート
進行状況ページで使用されるテンプレートの設定
McAfee Web Gateway 7.5.0
製品ガイド
347
10
サポート機能
進行状況の表示
表 10-2 テンプレート
オプション
定義
[言語]
進行状況ページの言語を選択する設定を提供します。
• [オート (ブラウザー)]— 選択すると、ブロックされた要求が送信されたブラウザーの言語でメッ
セージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示されます。
• [‘Message.Language’ プロパティの値] — 選択すると、 Message.Language プロパティの値
である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[コレクショ
ン]
テンプレート コレクションを選択するリストを提供します。
• [追加] — テンプレート コレクションを追加するための [テンプレート コレクションの追加] ウ
インドウを開きます。
• [編集] — [テンプレート エディター] を開き、テンプレート コレクションを編集します。
[進行状況バ
テンプレートを選択するリストを提供します。
ー ページのテ
• [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。
ンプレート
名]
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
[ダウンロー
ド終了ページ
のテンプレー
ト名]
テンプレートを選択するリストを提供します。
[ダウンロー
ド取り消しペ
ージのテンプ
レート名]
テンプレートを選択するリストを提供します。
• [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
• [追加] — [テンプレートの追加] ウィンドウを開き、テンプレートを追加します。
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
タイムアウト
進行状況ページに関連するタイムアウトの設定
表 10-3 テンプレート
オプション
定義
[進行状況ページへのリダイレクト遅延] 進行状況ページが表示されるまでの経過時間 (秒単位) を指定値に制限し
ます。
[ダウンロード前のファイルの使用期間] ダウンロードの前にファイルが使用不能になるまでの経過時間 (分) を制
限します。
[ダウンロード後のファイルの使用期間] ダウンロードの後にファイルが使用不能になるまでの経過時間 (分) を制
限します。
データ トリックル設定
データ トリックル設定は、ユーザーが Web オブジェクトのダウンロードを開始したときに、適用されるデータ ト
リックル プロセスの構成に使用されます。
データ トリックル パラメーター
データ トリックル モードで転送される Web オブジェクトの一部の設定
348
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
進行状況の表示
10
表 10-4 データ トリックル パラメーター
オプション
定義
[最初のチャンクのサイ
ズ]
データ トリックル方法を使用して転送される Web オブジェクトの最初のチャンクの
サイズ(バイト単位)を指定します。
[転送レート]
5 秒ごとに転送される Web オブジェクト部分を指定します。
転送レートは、転送されるすべてのボリュームの 1000 分の 1 にここで設定した値を
掛けたものになります。
進行状況の表示(ルール セット)
進行状況の表示ルール セットは、ユーザーの Web オブジェクトのダウンロードの進行状況を示すライブラリ ルー
ル セットです。
ライブラリ ルール セット — 進行状況の表示
条件 - MediaType.FromHeader does not equal text/html
サイクル — Requests (and IM), responses, embedded objects
ユーザーが送信した要求に対する応答で Web から戻されたメディアがテキスト形式または HTML 形式でない場合
に、このルール セットが適用されます。
このルール セットは、以下のルールを含みます。
進行状況ページを有効にする
Header.Request.Get (“User-Agent”) matches regex (*.mozilla.*) –> Stop Rule Set – Enable
Progress Page <Default>
このルールは、Mozilla ブラウザーの進行状況ページを有効にします。イベント設定は、進行状況ページの外観(た
とえば、使用する言語など)を指定します。
FTP アップロードのタイムアウト防止
URL.Protocol equals "ftp" AND Command.Categories contains "Upload" –> Continue – Enable
FTP Upload Progress Indication
FTP プロトコルで Web にアップロードするファイルがクライアントから送信されると、このルールにより、FTP
アップロードの進行状況表示機能が有効になります。
アップロードの実行中、アップロードの進行状況を表すメッセージがクライアントに送信されます。これにより、
アップロードに時間がかかる場合にクライアントでのタイムアウトの発生を防ぎます。
アップロードするファイルに対してウイルスやマルウェアのスキャンが実行されると、この問題が発生する可能性
があります。
データ トリックルを有効にする
Always –> Stop Rule Set – Enable Data Trickling<Default>
このルールは、Mozilla 以外のすべてのブラウザーのデータ トリックルを有効にします。イベント設定は、トリッ
クルに使用されるチャンクおよびブロックサイズを指定します。
McAfee Web Gateway 7.5.0
製品ガイド
349
10
サポート機能
帯域幅スロットル
帯域幅スロットル
bandwidth throttling と呼ばれるプロセスのアプライアンスに対するデータのアップロードおよびダウンロード
速度を制限できます。
特定のタスクが個別にオブジェクトを Web にアップロードするか、Web から大きいダウンロードをリクエストす
る、その他のユーザーによる影響の完了が必要なネットワーク パフォーマンス状況を避けるなど、帯域幅スロットル
を使用できます。
帯域幅スロットル ルール
帯域幅スロットル ルールは、ユーザーがオブジェクトを Web にアップロードする、またはオブジェクトをダウンロ
ードする際に、転送速度を制限します。
帯域幅スロットル ルールのイベント
帯域幅スロットルを制御するルールでは、2 つのイベントが利用可能です。
•
Throttle.Client — クライアントからアプライアンスへのデータ転送速度を制限します
これは、クライアントが Web サーバーへオブジェクトをアップロードする要求を送信し、要求がオブジェクトと
もにアプライアンスでインターセプトされた場合です。
•
Throttle.Server — Web サーバーからアプライアンスへのデータ転送速度を制限します
この場合、Web サーバーからオブジェクトをダウンロードするようにクライアント要求があり、この要求がアプ
ライアンスでフィルターされ送信された後に、Web サーバーは応答でオブジェクトを送信します。
アップロード時の帯域幅を制限するルール
次のものは、アップロードに対して、帯域幅スロットル ルールを実行できるルールの例です。
スロットル リストのホストに対するアップロード速度の制限
URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10)
データがアップロードされる Web サーバーが特定のリストにある場合、ルールは Throttle.Client イベントを使
用して、10 Kbps で実行されるアップロードで速度を制限します。
ルールの条件で、URL.Host プロパティは、要求のアップロードで指定される Web サーバーのホスト名を取得する
ために使用されます。
アップロード スロットル リストにこの名前が含まれている場合、条件が一致し、ルールが適用されます。それから、
スロットル イベントが実行されます。
Continue アクションは次のルールでルール処理を続行します。
ダウンロード時の帯域幅を制限するルール
次のものは、ダウンロードに対して、帯域幅スロットル ルールを実行できるルールの例です。
スロットル リストのメディア タイプに対するダウンロード速度の制限
MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue –
Throttle.Server (1000)
ダウンロードする Web オブジェクトが特定のリストのメディア タイプに属する場合、、ルールは
Throttle.Server イベントを使用して、1000 Kbps で実行されるダウンロードで速度を制限します。
ルールの条件で、MediaType.EnsuredTypes プロパティは、Web サーバーが送信した Web オブジェクトのメディ
ア タイプを検出するために使用されます。オブジェクトは、1 つ以上のタイプに属することもわかります。
350
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
帯域幅スロットル
10
これらのタイプのいずれかがメディア タイプ スロットル リストにある場合、条件が一致し、ルールが適用されま
す。それから、スロットル イベントが実行されます。
Continue アクションは次のルールでルール処理を続行します。
帯域幅スロットル ルールおよびルール セット
帯域幅スロットル ルールのすべてのルール セットを作成し、1 つはスロットルのアップロードに、もう 1 つはスロ
ットルのダウンロードに、2 つのルール セットを埋め込むことをお勧めします。埋め込みアップロード ルール セッ
トを、要求サイクルに、埋め込みダウンロード ルール セットを応答サイクルに適用できます。
各埋め込みルール セット内で、異なる種類の Web オブジェクトに適用する複数のスロットル ルールを持つことが
できます。
帯域幅スロットルのすべてのルール セットは、ルール セット システムの最初に置く必要があります。これが完了し
ない場合、その他のルール セットのルールは、スロットル ルールが実行される前に、Web オブジェクトのスロット
ル化されていないダウンロードを開始する可能性があります。
たとえば、ウイルスおよびマルウェア フィルタリングのルールは、応答で Web サーバーによってユーザー要求に送
信された Web オブジェクトのダウンロードをトリガーする可能性があります。Web オブジェクトはそれから、アプ
ライアンスへの完全なダウンロードが必要になり、感染しているかどうか確認します。
ウイルスおよびマルウェア フィルタリング ルールのルール セットの後に、帯域幅スロットル ルール セットが置か
れ処理されている場合、帯域幅スロットルは、ダウンロードに適用されません。
帯域幅スロットルの構成
帯域幅スロットルを実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
帯域幅スロットル ルールで使用することで、Web オブジェクトのリストを作成します。
たとえば、以下を作成できます。
•
転送速度はホストのリストは、オブジェクトがアップロードされるときに制限されます。
•
これらの 1 つに属するオブジェクトがダウンロードされるとき、転送速度が制限されるメディア タイプのリ
スト
2
帯域幅スロットルのルール セットを作成します。
3
このルール セット内で、帯域幅スロットルのルールを作成します。
たとえば、以下を作成できます。
4
•
オブジェクトが特定のホストにアップロードされるとき、転送速度の制限のルール。
•
特定のメディア タイプに属するオブジェクトがダウンロードされるときの転送速度を制限するルール。
必要に応じて、これらのルールを設計します。
たとえば、以下の操作を実行できます。
5
•
Web へのオブジェクトのアップロードのために帯域幅スロットルを有効にする Throttle.Client イベント
の特定の転送速度を構成します。
•
Web からのオブジェクトのダウンロードのために帯域幅スロットルを有効にする Throttle.Server イベン
トの特定の転送速度を構成します。
変更を保存します。
McAfee Web Gateway 7.5.0
製品ガイド
351
10
サポート機能
Web キャッシング
Web キャッシング
Web キャッシュは、アプライアンスに置かれ、クライアント リクエストへの応答をスピードアップするために、Web
オブジェクトを保管するためのものです。
アプライアンスの Web キャッシュの使用は、ルール セット内のルールで管理されます。
Web キャッシュ ルール セットがアプライアンスで実装されているかどうかを確認するには、[ポリシー]トップレベ
ル メニューの[ルール セット]タブのルール セットのシステムを見直してください。
何も実装されていない場合、Web キャッシュ ライブラリ ルール セットをインポートできます。このルール セット
をインポートした後で、ネットワークに合わせて[ルール セット]タブでそれを見直し、変更することができます。代
わりに、固有のルールでルール セットを作成することもできます。
Web キャッシュ ルール セットは、一般的に、キャッシュからオブジェクトを読み取ったり、それに書き込むルール
を含みます。
さらに、読み取りまたは書き込みからオブジェクトを除外するバイパス ルールも設定できます。
Web キャッシュの有効化の検証
Web キャッシュが有効化されているかどうかを検証することができます。
タスク
1
[構成][アプライアンス]を選択します。
2
アプライアンス ツリーで、Web キャッシュの有効化を検証するアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[Web キャッシュ]セクションにスクロール ダウンして、[キャッシュを有効にする]が選択されているかどうかを
確認します。必要な場合、このオプションを有効にします。
4
必要な場合、[変更を保存]をクリックします。
Web キャッシュ ルール セット
Web キャッシュ ルール セットは、Web キャッシュのためのライブラリ ルール セットです。
ライブラリ ルール セット - Web キャッシュ
条件 — Always
サイクル — Requests (and IM) and responses
以下のルール セットは、このルール セット内にネストされています。
•
キャッシュからの読み取り
•
キャッシュへの書き込み
キャッシュからの読み取り
このネストされたルール セットは、キャッシュからの Web オブジェクトの読み取りを有効にし、バイパス リスト
の URL についてはそれを禁じます。
ネストされたライブラリ ルール セット - キャッシュからの読み取り
条件 — Always
サイクル - リクエスト(および IM)
このルール セットは、以下のルールを含みます。
352
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
Web キャッシング
10
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
キャッシュへの書き込み
このネストされたルール セットは、キャッシュへの Web オブジェクトの書き込みを有効にし、大きなオブジェクト
のみならず、特定のバイパス リストの URL とメディア タイプに対して禁じられます。
ネストされたライブラリ ルール セット - キャッシュへの書き込み
条件 — Always
サイクル — Responses
このルール セットは、以下のルールを含みます。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
McAfee Web Gateway 7.5.0
製品ガイド
353
10
サポート機能
ネクスト ホップ プロキシ
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
ネクスト ホップ プロキシ
アプライアンスのクライアントから受信した要求を宛先に転送する場合に、ネクスト ホップ プロキシを使用するこ
ともできます。
ネクスト ホップ プロキシを実装すると、対応するルール セットのルールがモジュール (エンジンともいう) を使用
して、要求転送リストに入力されたネクスト ホップ プロキシを呼び出します。
たとえば、内部のネクスト ホップ プロキシを使用して、内部の送信先に対する要求を転送することができます。内
部の送信先 IP アドレスは、転送ルールが適用されるリストに入力されます。この他に、ルールが使用する内部ネク
スト ホップ プロキシのリストがあります。
ネクスト ホップ プロキシを使用するルールのルール セットは、初期設定の後でアプライアンスに実装されていませ
ん。ライブラリからルール セットをインポートし、必要に応じて変更するか、独自のルール セットを作成できます。
ネクスト ホップ プロキシ ルール セットをインポートすると、ネクスト ホップ プロキシとして使用可能なサーバー
のリストもインポートされます。このリストは初期状態では空です。ユーザーが値を設定する必要があります。複数
のリストを作成すると、状況に応じてルーティングを行うことができます。
ネクスト ホップ プロキシ モジュールの設定がライブラリ ルール セットと一緒にインポートされます。これらの設
定を行うと、モジュールが特定のネクスト ホップ プロキシ リストを使用し、ネクスト ホップ プロキシの呼び出し
モード (ラウンドロビンまたはフェールオーバー) を決定します。
ネクスト ホップ プロキシ モード
複数のサーバーがルーティング要求のためのネクスト ホップ プロキシとして使用可能な場合、ネクスト ホップ プロ
キシ モジュールは次の 2 つのモジュールを使用してそれらを呼び出します。ラウンドロビンおよびフェールオーバ
ー。
ラウンドロビン モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールはリストを参照し、前
回呼び出したプロキシの次にあるネクスト ホップ プロキシを呼び出します。
その次の要求では、これが同じ方法で処理されるため、リスト上のすべてのサーバーは最終的にネクスト ホップ プ
ロキシとして使用されます。
354
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
ネクスト ホップ プロキシ
10
以下のダイアグラムは、ラウンドロビン モードでネクストホップ プロキシ設定を表示します。
図 10-1 ラウンドロビン モードでのネクスト ホップ プロキシ
フェールオーバー モードで要求をルーティングする場合、ネクスト ホップ プロキシ モジュールは、リストの先頭に
あるネクスト ホップ プロキシを呼び出します。
ネクスト ホップ プロキシが応答しない場合、設定されている再試行回数に達するまで、呼び出しが繰り返し実行さ
れます。この場合、リスト内で次にあるネクスト ホップ プロキシが呼び出されます。最初のプロキシと同じ方法で
呼び出しが実行され、応答がないと、リストで 3 番目にあるネクスト ホップ プロキシに接続が試行されます。
この処理は、応答するネクスト ホップ プロキシが見つかるまで継続します。リスト内のネクスト ホップ プロキシが
すべての応答不能の場合、処理が停止します。
以下のダイアグラムは、フェールオーバー モードでネクストホップ プロキシ設定を表示します。
図 10-2 フェールオーバー モードでのネクスト ホップ プロキシ
ネクスト ホップ プロキシの構成
ネクスト ホップ プロキシの使用を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
McAfee Web Gateway 7.5.0
製品ガイド
355
10
サポート機能
ネクスト ホップ プロキシ
タスク
1
ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ネクスト ホップ プロキシ ルール セットで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
ネクスト ホップ プロキシ モジュールの設定を構成します
変更を保存します。
ネクスト ホップ プロキシをリストに追加する
ネクスト ホップ プロキシをリストに追加するには、次の手順に従います。
タスク
1
[設定の編集] ウィンドウで、ネクスト ホップ プロキシ モジュールを設定します。
2
[ネクスト ホップ プロキシ サーバー] で、[ネクスト ホップ プロキシ サーバー リスト] からネクスト ホップ プ
ロキシのリストを選択し、[編集] をクリックします。
[リストの編集 (ネクスト ホップ プロキシ サーバー)] ウィンドウが開きます。
3
[リスト コンテンツ] で [追加] アイコンをクリックします。
[ネクスト ホップ プロキシの追加] ウィンドウが開きます。
4
必要に応じて、ネクスト ホップ プロキシを設定します。
5
開いているすべてのウィンドウで [OK] をクリックします。
6
[変更の保存] をクリックします。
選択したリストにネクスト ホップ プロキシが追加されます。
関連トピック:
361 ページの「ネクスト ホップ プロキシ設定を追加する」
ネクスト ホップ プロキシ モジュールの構成
ネクスト ホップ プロキシ モジュールを構成し、ネクスト ホップ プロキシが Web へ要求を転送するために使用す
る方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ネクスト ホップ プロキシのルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これはネクスト ホップ プロキシです。
このルール セットのルールは設定パネルに表示されます。
3
356
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
ネクスト ホップ プロキシ
4
10
ネクスト ホップ プロキシ モジュールを呼び出すルールを検索します。
ライブラリ ルール セットで、これはルール内部ホストに内部プロキシを使用するです。
5
ルール イベントで、設定名をクリックします。
ライブラリ ルール セットでは、この名前は 内部プロキシです。
[設定の編集]ウィンドウが開きます。これはネクスト ホップ プロキシ モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
362 ページの「ネクスト ホップ プロキシ ルール セット」
SOCKS トラフィックのネクスト ホップ プロキシ
SOCKS (ソケット) プロトコルで Web トラフィックを転送するように、ネクスト ホップ プロキシを設定できます。
このプロトコルでは、Web トラフィックは埋め込みプロトコルにも従います。このプロトコルは Web Gateway で
検出されます。埋め込みプロトコルが HTTP または HTTPS の場合、設定したルールに従って Web トラフィックを
フィルタリングできます。
Web トラフィックの転送にはバージョン 4 と 5 の SOCKS プロトコルを使用できます。ネクスト ホップ プロキ
シをセットアップするときに、使用する SOCKS バージョンを設定できます。デフォルトでは、受信トラフィックの
バージョンが転送時に使用されます。
SOCKS トラフィックのネクスト ホップ プロキシを設定する
SOCKS トラフィックのネクスト ホップ プロキシを設定するには、Web Gateway を SOCKS プロキシとして実行
し、ネクスト ホップ プロキシを有効にしてトラフィックをフィルタリングするルール セットを実装します。
タスク
•
357 ページの「SOCKS プロキシを有効にする」
Web Gateway を有効にして SOCKS プロキシとして実行するには、プロキシの設定を行います。
•
358 ページの「SOCKS トラフィックのネクスト ホップ プロキシ ルール セットを設定する」
SOCKS トラフィックのルール セットを設定するには、ネクスト ホップ プロキシ ライブラリ ルール
セットの条件を変更し、SOCKS プロトコルでネクスト ホップ プロキシを有効にするルールを追加しま
す。
•
358 ページの「SOCKS プロキシ ルール セットを設定する」
SOCKS プロトコルでネクスト ホップ プロキシに転送されるトラフィックのフィルタリングに必要な
SOCKS プロキシ ルール セットを設定します。
SOCKS プロキシを有効にする
Web Gateway を有効にして SOCKS プロキシとして実行するには、プロキシの設定を行います。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、SOCKS プロキシとして実行する Web Gateway アプライアンスを選択し、[プロキ
シ] をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
357
10
サポート機能
ネクスト ホップ プロキシ
3
[SOCKS プロキシ] まで下にダウンロードし、[SOCKS プロキシを有効にする] を選択します。
4
[変更の保存] をクリックします。
SOCKS トラフィックのネクスト ホップ プロキシ ルール セットを設定する
SOCKS トラフィックのルール セットを設定するには、ネクスト ホップ プロキシ ライブラリ ルール セットの条件
を変更し、SOCKS プロトコルでネクスト ホップ プロキシを有効にするルールを追加します。
タスク
1
ライブラリから ネクスト ホップ プロキシ ライブラリ ルール セットをインポートします。
2
ルール セット ツリーでルール セットを上に移動し、ユーザー認証用のルール (たとえば、明示的プロキシに認証
と許可 ルール セット) の直後に使用されるようにします。
3
ルール セットの条件として Always を Connection.Protocol equals "SOCKS" に置換します。
4
ネクスト ホップ プロキシを有効にするルールを追加します。
a
特定の要求にルールを適用するルール条件を設定します。
たとえば、ルール条件に Client.IP matches in list Client IP を使用して、特定のリストに含まれる IP
アドレスのクライアントからの要求にだけルールを適用するようにします。
b
ルール アクションに Continue を設定します。
c
ルール イベントに Enable Next Hop Proxy を設定します。
d
ルール イベントを設定します。
•
ネクスト ホップ プロキシのリストにネクスト ホップ プロキシを追加します。
ネクスト ホップ プロキシを追加するときに、必要に応じて SOCKS パラメーターを指定します。
•
5
必要に応じて、残りのオプションを設定します。
[変更の保存] をクリックします。
ネクスト ホップ プロキシを設定するたびに異なる条件を使用すると、ネクスト ホップ プロキシ ルール セットに複
数のルールを追加できます。
関連トピック:
362 ページの「ネクスト ホップ プロキシ ルール セット」
356 ページの「ネクスト ホップ プロキシをリストに追加する」
361 ページの「ネクスト ホップ プロキシ設定を追加する」
359 ページの「SOCKS トラフィックのネクスト ホップ プロキシを有効にするルール」
SOCKS プロキシ ルール セットを設定する
SOCKS プロトコルでネクスト ホップ プロキシに転送されるトラフィックのフィルタリングに必要な SOCKS プロ
キシ ルール セットを設定します。
タスク
1
ライブラリから SOCKS プロキシ ルール セットをインポートします。
このルール セットは共通ルールの下にあります。
2
358
ルール セット ツリーで、このルール セットをネクスト ホップ プロキシ ルール セットの直後に移動します。
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
ネクスト ホップ プロキシ
3
10
SOCKS プロキシ ルール セットでネストされているプロトコル検出ルール セットで、プロトコル ディテクタ
ー モジュールの設定をクリックします。
これらの設定のデフォルト名は「デフォルト」です。
[設定の編集] ウィンドウが開きます。
4
[プロトコル ディテクター オプション] で、[埋め込みデータの受信後にネクスト ホップ プロキシーを決める]
を選択します。
5
[OK] をクリックして、ウィンドウを閉じます。
6
[変更の保存] をクリックします。
SOCKS プロキシ ルール セットの詳細については、「プロキシ」を参照してください。
関連トピック:
362 ページの「プロトコル ディテクターの設定」
SOCKS トラフィックのネクスト ホップ プロキシを有効にするルール
ネクスト ホップ プロキシの設定で異なる条件を使用すると、ネクスト ホップ プロキシ ルール セットに様々な複数
のルールを追加できます。
以下のルールを使用すると、特定のリストに IP アドレスが登録されている Web Gateway クライアントから受信し
た要求にネクスト ホップ プロキシを使用できます。
名前
リストにあるクライアントから受信した場合に SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
アクション
Client.IP matches in list Client IPs –> Continue
Enable Next Hop Proxy<SOCKS Next Hop
Proxy>
このルールは Client.IP プロパティを使用し、要求を送信したクライアントの IP アドレスがリストににあるかどう
かを確認します。
存在する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
次のルールは、SOCKS プロトコルに埋め込まれたプロトコルが HTTP の場合にネクスト ホップ プロキシが有効に
します。
名前
HTTP プロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
アクション
ProtocolDetector.DetectedProtocol<Default> equals –> Continue
"HTTP"
Enable Next Hop
Proxy<Embedded
Protocol HTTP Next Hop
Proxy>
このルールは、ProtocolDetector.DetectedProtocol< プロパティを使用して、埋め込みプロトコルが HTTP
がどうか確認します。
該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
McAfee Web Gateway 7.5.0
製品ガイド
359
10
サポート機能
ネクスト ホップ プロキシ
このルールを使用した場合、プロトコル ディテクター (エンジン) の設定で [埋め込みデータの受信後にネクスト ホ
ップ プロキシーを決める] も有効にする必要があります。
次のルールは、SOCKS プロトコルに埋め込まれたプロトコルが HTTPS の場合にネクスト ホップ プロキシが有効
にします。
名前
HTTPS プロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
アクション
ProtocolDetector.DetectedProtocol<Default> equals –> Continue
"HTTPS"
Enable Next Hop
Proxy<Embedded
Protocol HTTPS Next Hop
Proxy>
このルールは、ProtocolDetector.DetectedProtocol< プロパティを使用して、埋め込みプロトコルが HTTP
がどうか確認します。
該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
このルールを使用した場合、プロトコル ディテクター (エンジン) の設定で [埋め込みデータの受信後にネクスト ホ
ップ プロキシーを決める] も有効にする必要があります。
次のルールは、SOCKS プロトコルに任意のプロトコルが埋め込まれている場合にネクスト ホップ プロキシが有効
にします。
名前
任意のプロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
Connection.Protocol.Parent equals "
SOCKS"
アクション
–> Continue
Enable Next Hop Proxy<Embedded
Protocol Next Hop Proxy>
このルールは、Connection.Protocol.Parent プロパティを使用して、Web への SOCKS トラフィックの転送
要求で SOCKS プロトコルが親プロトコルとして設定されているかどうかを確認します。SOCKS が親プロトコル
の場合、埋め込みプロトコルが存在しています。
該当する場合、このトラフィックにネクスト ホップ プロキシが有効になります。このイベントは特定の設定で実行
されます。この設定はユーザーが指定できます。たとえば、使用する SOCKS プロトコルのバージョンを指定できま
す。
次のルールは前のルールに非常によくに似ています。SOCKS プロトコルのトラフィックや、SOCKS プロトコルに
埋め込まれていない HTTP プロトコルのトラフィックでネクスト ホップ プロキシを有効にします。
名前
任意のプロトコルが埋め込まれた SOCKS トラフィックにネクスト ホップ プロキシを有効にする
条件
Connection.Protocol.Parent equals "
SOCKS" OR Connection.Protocol equals
"HTTP"
アクション
–> Continue
Enable Next Hop Proxy<Embedded
Protocol Next Hop Proxy>
関連トピック:
362 ページの「プロトコル ディテクターの設定」
360
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
ネクスト ホップ プロキシ
10
ネクスト ホップ プロキシの設定
ネクスト ホップ プロキシの設定は、Web へのアプライアンスで受信した要求を転送するために、ネクスト ホップ
プロキシを構成するために使用されます。
ネクスト ホップ プロキシ サーバー
ネクスト ホップ プロキシの設定
表 10-5 ネクスト ホップ プロキシ サーバー
オプション
定義
[ネクスト ホップ
プロキシ サーバー
のリスト]
ネクスト ホップ プロキシ サーバー リストのリストを提供します。
[ラウンド ロビン]
これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最後に使用さ
れたネクスト ホップ プロキシに続くネクスト ホップ プロキシを使用します。
リストの末尾に達すると、リストの最初のネクスト ホップ プロキシが再度選択されます。
[フェール オーバ
ー]
これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最初にある最
初のネクスト ホップ プロキシを試します。
最初のネクスト ホップ プロキシが応答しなかった場合、設定されている再試行の最大値に達
するまで再試行されます。その後、リスト上 2 番目のネクスト ホップ プロキシが試行され、
同様に、サーバーが応答するかすべて使用不可であると確認されるまで繰り返されます。
ネクスト ホップ プロキシ設定を追加する
ネクスト ホップ プロキシ設定は、リストに追加されたネクスト ホップ プロキシを設定するときに使用します。
ネクスト ホップ プロキシの定義
ネクスト ホップ プロキシの設定
表 10-6 ネクスト ホップ プロキシの定義
オプション
定義
[識別子]
ネクスト ホップ プロキシの説明を入力します。
[プロキシ アドレス]
ネクスト ホップ プロキシが存在するホストをホスト名で指定するか、IP アドレスとポート
番号で指定します。
[ホスト ]
ホストの名前または IP アドレスを指定します。
[ポート]
Web トラフィックの転送要求を待機するホストのポート番号を指定します。
[プロキシ認証]
ネクスト ホップ プロキシの認証プロセスをユーザー名で指定し、パスワードを設定します。
[ユーザー]
ネクスト ホップ プロキシの認証を行うユーザーの名前を指定します。
[パスワード]
ネクスト ホップ プロキシの認証を行うユーザーのパスワードを設定します。
[接続動作]
ネクスト ホップ プロキシの動作を一連のパラメーターで指定します。
[再送の数]
最初の試行に失敗した後で実行可能な試行回数を指定します。
デフォルトの再送回数は 1 です。
McAfee Web Gateway 7.5.0
製品ガイド
361
10
サポート機能
ネクスト ホップ プロキシ
表 10-6 ネクスト ホップ プロキシの定義 (続き)
オプション
定義
[最後に失敗した後の
待機時間]
ネクスト ホップ プロキシに対する試行がすべて失敗したときに、次のネクスト ホップ プ
ロキシを試行するまでの待機時間を秒単位で指定します。
デフォルトの時間は 10 秒です。
[固定接続を使用]
選択すると、ネクスト ホップ プロキシは Web トラフィックの転送に固定接続を使用しま
す。
SOCKS 固有のバラメーター
SOCKS プロトコルでのネクスト ホップ プロキシの設定
表 10-7 ネクスト ホップ プロキシの定義
オプション
定義
[ネクスト ホップ プロキシで ネクスト ホップ プロキシが SOCKS プロトコルで Web トラフィックを転送する
使用する SOCKS のバージョ 場合のプロトコルのバージョンを指定します。
ン]
[SOCKS 受信接続と同じ]
選択すると、ネクスト ホップ プロキシが受信トラフィックの場合と同じ SOCKS
プロトコルのバージョンを使用します。
デフォルトでは、この設定が選択されています。
[SOCKS v4]
選択すると、ネクスト ホップ プロキシは SOCKS プロコルのバージョン 4 を使用
します。
[SOCKS v5]
選択すると、ネクスト ホップ プロキシは SOCKS プロコルのバージョン 5 を使用
します。
プロトコル ディテクターの設定
[プロトコル ディテクター] の設定は、SOCKS プロトコルでのトラフィック関連のアクティビティを処理するモジ
ュール (エンジン) の設定に使用します。
プロトコル ディテクターのオプション
プロトコル ディテクター モジュールの設定
表 10-8 プロトコル ディテクターのオプション
オプション
定義
[埋め込みデータの受信後に
ネクスト ホップ プロキシー
を決める]
選択すると、Web Gateway でトラフィックを受信したときに、プロトコル ディテ
クター モジュールがネクスト ホップ プロキシを使用し、HTTP または HTTPS プロ
トコルで SOCKS トラフィックを転送できます。このトラフィックは次のいずれか
のプロトコルでも処理されます。
デフォルトでは、このオプションは選択されていません。
ネクスト ホップ プロキシ ルール セット
ネクスト ホップ プロキシ ルール セットは、ネクスト ホップ プロキシを使用して適切な宛先に要求を転送するライ
ブラリ ルール セットです。
ライブラリ ルール セット — ネクスト ホップ プロキシ
条件 — Always
サイクル - 要求 (IM)
362
McAfee Web Gateway 7.5.0
製品ガイド
サポート機能
ネクスト ホップ プロキシ
10
ルール セットには、以下のルールが含まれます。
宛先に応じてプロキシを使用する
URL.Destination.IP is in range list Next Hop Proxy IP Range List OR
URL.Destination.IP is in list Next Hop Proxy IP List –> 続行 — ネクスト ホップ プロキシを有効にす
る <内部プロキシ >
このルールは、URL.Destination.IP プロパティを使用して、URL に対応する IP アドレスがリストの範囲内か
どうか、あるいはリストに直接入力されたアドレスかどうかを確認します。条件を満たしている場合、イベントを
使用して内部ネクスト ホップ プロキシ経由でこれらの URL への要求を転送します。
イベント設定はネクスト ホップ プロキシ リストおよびプロキシを呼び出すモードを含む設定を指定します。
McAfee Web Gateway 7.5.0
製品ガイド
363
10
サポート機能
ネクスト ホップ プロキシ
364
McAfee Web Gateway 7.5.0
製品ガイド
11
ユーザー メッセージ
フィルタリング ルールが Web アクセスのリクエストをブロックし、他の方法で影響がある場合、ユーザーにメッセ
ージが送信されます。
このプロセスを管理するとき、主に以下の項目を処理します。
•
メッセージ — Web アクセスのリクエストがブロック、リダイレクトされるか、認証がひつようであるかを通知
するメッセージがユーザーに送信されます。
•
アクション設定 — ユーザーに対するメッセージは、メッセージで説明されているアクションに対する設定の一部
です。
•
テンプレート — ユーザーへのメッセージはテンプレートに基づいており、そのテンプレートはテンプレート エ
ディターにより編集できます。
デフォルト設定はアプライアンスの初期セットアップごにユーザー メッセージとそのテンプレートに適用されます。
それらは確認して、必要に応じて変更できます。
目次
ユーザーへのメッセージの送信
ユーザー メッセージのテキストを編集する
認証設定
ブロック設定
リダイレクト設定
テンプレート エディター
ユーザーへのメッセージの送信
影響を与えるフィルタリング ルールのアクションに関して通知するメッセージがユーザーに送信されます。
ユーザー メッセージは別のタイプに属し、テンプレートに基づいています。
McAfee Web Gateway 7.5.0
製品ガイド
365
11
ユーザー メッセージ
ユーザーへのメッセージの送信
メッセージの種類
メッセージがユーザーに通知するアクションに応じて、異なる種類のユーザー メッセージがあります。
•
認証メッセージ - URL にアクセスするには、認証が必要であることをユーザーに知らせます。
•
ブロック メッセージ- 要求されたオブジェクトでウイルスが検出されたためなど、種々の理由でリクエストがブ
ロックされたことを通知します。
•
リダイレクト メッセージ- 要求されたオブジェクトにアクセスするためには、別の URL にリダイレクトするこ
とが必要であることをユーザーに通知します。
メッセージ テンプレート
メッセージはテンプレートをもとにユーザーに送信されます。メッセージの表示形式を変更するには、これらのテン
プレートを採用する必要があります。アクションの設定の下でこれを行うことができます。
メッセージ テンプレートには、変数をもつ標準のテキストが含まれています。変数は、与えられた状況で必要に応じ
た値が入力されます。
メッセージ テンプレートに使用されるすべての変数はルールで使用されるプロパティでもあります。たとえば、
URL は、メッセージ テキストおよび、URL をフィルターから除外するルールに使用されるプロパティにある変数で
す。
特定のテンプレートに関連して、次のようにさまざまなバージョンが存在します。
•
言語 - 英語とその他の言語
•
ファイル形式 - html または txt
メッセージ テンプレートの編集時に次の操作を行うことができます。
366
•
メッセージの言語を選択する
•
ログ記録を目的としてブロック理由を指定する
([ブロック]アクションのテンプレートの場合の
み)
•
メッセージ テキストを編集する
•
リダイレクトする URL を記入する([リダイレク
ト]アクションのテンプレートの場合のみ)
•
テンプレートの変数を置き換える
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー メッセージ
ユーザー メッセージのテキストを編集する
11
メッセージ テキストと変数
以下のテキストと変更は、オブジェクトのウイルス感染のためにブロックされた要求されたオブジェクトにアクセス
するときに、ユーザーに送信されるブロックメッセージに含むことができます。
•
標準テキスト — 転送フィイルにはウイルスが含まれていたためブロックされました。
•
変数 — 次の通りです。
•
URL — ユーザーがファイルにアクセスすることをリクエストした URL。
URL を表示するために使用する変数は $URL$ です。
•
ウイルス名 — ファイルのブロックをトリガーする検出されたウイルスの名前。
ウイルス名を表示するために使用する変数は $List.OfString.ByName(String)$ です。
メッセージ テンプレートを編集する際、プロパティのリストから変数を選択して挿入できます。メッセージ
テンプレートで変数として機能するために、これらは文字列に変換されます(すでに文字列でない場合)。
この理由から、 たとえば、 NumberToString(String) プロパティなど、その他のデータ タイプを文字列に
変換するジョブを持つプロパティである“string converter” プロパティをここで選択するのは意味がありま
せん。
テンプレート エディター
テンプレート エディターは、ユーザー メッセージのテンプレートを編集するユーザー インターフェースのコンポー
ネントです。 アクセス方法はいくつかあります。
•
[ポリシー] 最上位メニューで選択します。
•
アクションの設定を選択します。
•
[ポリシー] 、 [設定] の順に選択します。
または
•
ルール セットのルールで、ルール ビューを有効にして [詳細を表示] を選択します。
テンプレート コレクションまたは個々のテンプレートの設定で [編集] をクリックします。
ユーザー メッセージのテキストを編集する
ネットワークの要件に対応させるために、ユーザー メッセージのテキストを編集できます。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ユーザーが編集するユーザー メッセージをもつアクションを含むルールのルール セットを選択します。
たとえば、[Gateway Antimalware]ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示] が有効になっていることを確認します。
4
適切なルールで、ユーザー メッセージをもつアクションの設定をクリックします。
たとえば、[ウイルスが検出された場合はブロックする]というルールで、ブロック アクションの[検出されたウイ
ルス]設定をクリックします。 settings of the Block action.
[設定の編集]ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
367
11
ユーザー メッセージ
認証設定
5
[テンプレート名]フィールドの隣の[追加]をクリックします。
[テンプレート エディター]が開きます。
6
テンプレート ツリーで、[検出されたウイルス]などの該当するアクション テンプレート フォルダーーを展開し
ます。
使用可能な言語バージョンのテンプレートが表示されます。
7
たとえば、英語を表す[en]など、言語バージョンを拡張してください。
使用可能な言語バージョンのメッセージ形式が表示されます。
8
形式 (例: [html]) を選択します。
選択した形式でテンプレートのコンテンツが設定ペインに表示されます。 ここには、ユーザー メッセージのテキ
ストが表示されます。
たとえば、英語の[検出されたウイルス]テンプレートの HTML 形式でこのテキストは、最初は以下のように示さ
れます。
The transferred file contained a virus and was therefore blocked.(転送されたフィイルにはウイ
ルスが含まれていたためブロックされました。)
9
必要に応じてこのテキストを編集します。
10 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
11 [変更の保存] をクリックします。
認証設定
認証設定は、アクションを伴うフィルタリング ルールが適用されるとき、認証アクションを実行する方法に構成に使
用されます。
失敗したログインのメッセージ テンプレート
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
368
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー メッセージ
ブロック設定
11
表 11-1 失敗したログインのメッセージ テンプレート
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブラウ
ザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示さ
れます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロ
パティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクシ テンプレート コレクションを選択するリストを提供します。
ョン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの
追加]ウインドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集しま
す。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
[McAfee Web
ブロック理由を識別する数値を提供します。
Reporter ブロック理由
ID]
[ブロックされた理由]
プレーン テキストのブロック理由を説明します。
ブロック設定
ブロック設定では、フィルタリング ルール適用時のブロック アクションの実行方法を設定します。
言語およびテンプレート設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
McAfee Web Gateway 7.5.0
製品ガイド
369
11
ユーザー メッセージ
リダイレクト設定
表 11-2 言語およびテンプレート設定
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート (ブラウザー)] - 選択すると、ブロックされた要求が送信されたブラウザーの言語
でメッセージが表示されます。
• [強制] — 選択すると、ここで表示されたリストから選択した言語でメッセージが表示され
ます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロパテ
ィの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレ
クション]
テンプレート コレクションを選択するリストを提供します。
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの追
加]ウインドウを開きます。
• [編集] — [テンプレート エディター] を開き、テンプレート コレクションを編集します。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集] — [テンプレート エディター] を開き、テンプレートを編集します。
[McAfee Web
Reporter ブロック
理由 ID]
ブロック理由を識別する数値を提供します。
[ブロックされた理
由]
プレーン テキストのブロック理由を説明します。
リダイレクト設定
リダイレクト設定は、そのアクションのフィルタリング ルールが適用されるとき、リダイレクト アクションが実行
される方法を構成するために使用されます。
リダイレクト設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 11-3 リダイレクト設定
オプション
定義
[Redirect.URL]
選択されると、リダイレクトに使用される URL は Redirect.URL プロパティに指定
された値となります。
このプロパティは適切なルールで使用できます。
370
[ユーザー定義 URL]
選択すると、リダイレクトする URL を指定する必要があります。
[リダイレクト URL]
URL をリダイレクトする URL を指定します。
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー メッセージ
テンプレート エディター
11
表 11-3 リダイレクト設定 (続き)
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定を提供します。
• [オート(ブラウザー)]— 選択すると、ブロックされたリクエストが送信されたブ
ラウザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表
示されます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プ
ロパティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクショ テンプレート コレクションを選択するリストを提供します。
ン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクショ
ンの追加]ウインドウを開きます。
• [編集]— [テンプレート エディター]を開き、テンプレート コレクションを編集し
ます。
[テンプレート名]
テンプレートを選択するリストを提供します。
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]— [テンプレート エディター]を開き、テンプレートを編集します。
[McAfee Web Reporter
ブロック理由 ID]
ブロック理由を識別する数値を提供します。
[ブロックされた理由]
プレーン テキストのブロック理由を説明します。
テンプレート エディター
テンプレート エディターは、ネットワーク ユーザーに送信するメッセージのテンプレートを編集するユーザー イン
ターフェースのコンポーネントです。
テンプレート
既存のテンプレートがツリー構造で表示されます。
以下の表では、[テンプレート] オプションについて説明します。
McAfee Web Gateway 7.5.0
製品ガイド
371
11
ユーザー メッセージ
テンプレート エディター
表 11-4 テンプレート
オプション
定義
テンプレート グ テンプレートはグループ別に表示されます。このグループをテンプレート コレクションといい
ループ
ます。 各コレクションは、ツリー構造の最上位フォルダーに保存されます。
デフォルトでは、次の 2 つのテンプレート コレクションが使用できます。
• デフォルト スキーム
• シングル サインオン スキーム
テンプレート
1 つのテンプレートに、言語と形式の異なるバージョンを作成できます。
特定のテンプレートのすべての言語バージョンと形式は、同じテンプレート名 (例:
Anti-Malware Engine Overload) のサブフォルダーに保存されます。
テンプレート フォルダー内に言語別のサブフォルダーが作成されます。 言語フォルダーに個々
のテンプレートが異なる形式で保存できます。
使用可能な形式は HTML と .txt です。
たとえば、Anti-Malware Engine Overload フォルダーには次のものが保存されます。
• en - 英語バージョンが入っているサブフォルダー
• html - HTML 形式のテンプレート
• txt - .txt 形式のテンプレート
デフォルトでは、各テンプレートに HTML 形式の英語バージョンが用意されていますが、大半の
テンプレートは .txt 形式でも使用できます。
テンプレート形式をクリックすると、[HTML エディター] ペインにテンプレートのコンテンツが
表示されます。
[展開] アイコン テンプレート ツリーで折りたたまれているすべての項目を展開します
372
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー メッセージ
テンプレート エディター
11
表 11-4 テンプレート (続き)
オプション
定義
[折りたたみ] ア 展開されているすべての項目を折りたたみます。
イコン
コレクション、テ メニューが開き、次のオプションが表示されます。 選択できるオプションは、右クリックした項
ンプレート、言語 目によって変わります。
バージョンまた
は形式を右クリ • [テンプレート コレクションの追加] - コレクション フォルダーを追加できるウィンドウが
ックします。
開きます。
• [テンプレートの追加] - テンプレート フォルダーを追加できるウィンドウが開きます。
新しいテンプレート フォルダーには、フォルダーの追加時に選択した言語用のフォルダーが作
成され、選択した形式で空のテンプレートが作成されます。
• [インデックス ファイルの追加] - 特定のテンプレート フォルダーに属さない言語フォルダ
ーを追加します。
このフォルダーは、コレクション フォルダーのすぐ下に作成されます。 ここには、選択した
形式で空のテンプレートが作成されます。
• [コンテンツ ファイルの追加] - 特定のテンプレート フォルダー内に言語フォルダーを追加
します。
この新しいフォルダーには、選択した形式で空のテンプレートが作成されます。
• [テンプレート ファイルのインポート] - テンプレートをインポートできるウィンドウが開き
ます。
• [テンプレート ファイルのエクスポート] - テンプレートをエクスポートできるウィンドウが
開きます。
• [複製] - コンテンツを含むテンプレート フォルダーまたはコレクションのコピーを別名で挿
入します。
• [変更 ] - 言語バージョンを変更するウィンドウが開きます。
• [名前の変更] - テンプレート フォルダーの名前を変更できるウィンドウが開きます。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
ファイル システム
既存のテンプレート、テンプレートに関連するイメージなどのファイルがツリー構造で表示されます。
以下の表では、[ファイル システム] オプションについて説明します。
McAfee Web Gateway 7.5.0
製品ガイド
373
11
ユーザー メッセージ
テンプレート エディター
表 11-5 ファイル システム
オプション
定義
テンプレート グル テンプレートは、グループに分類されています。 各グループは、ツリー構造の最上位フォルダ
ープ
ーに保存されます。
デフォルトでは、次の 2 つのテンプレート グループが使用できます。
• デフォルト
• singleSignOn
テンプレート、画 各グループ フォルダーで、テンプレートは言語フォルダー内に英字順に保存されます。画像フ
像、他の関連ファイ ァイルは別のフォルダーに保存されます。
ル
その他の関連ファイルは、言語フォルダーと画像フォルダー以外のグループ フォルダーに保存
されます。
たとえば、default グループ フォルダーには次のものが保存されます。
• en - 既存のテンプレートの英語バージョンが入るサブフォルダー
テンプレートが HTML と .txt の両方の形式で存在する場合には、これらのテンプレートが
順番に保存されます。
• img — 既存の画像ファイルが入るサブフォルダー
• インデックスやスタイル シートなどの関連ファイル
テンプレート形式をクリックすると、[HTML エディター] ペインにテンプレートのコンテンツ
が表示されます。
[追加]
次のメニューを開きます。
• [新しいファイル] - ファイルを追加するウィンドウが開きます。
• [新しいディレクトリ] - ディレクトリを追加するウィンドウが開きます。
• [既存のファイルまたはディレクトリ] - ローカルのファイル マネージャーが開きます。こ
こで、ファイルまたはフォルダーを選択して追加できます。
[編集]
次のメニューを開きます。
• [名前の変更] - 項目名の変更を行うウィンドウが開きます。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
[切り取り ]
選択した項目をコピーおよび削除します。
[コピー]
選択した項目をコピーします。
[貼り付け]
切り取った項目またはコピーした項目を貼り付けます。
[展開] アイコン
ファイル システム ツリーで折りたたまれているすべての項目を展開します。
[折りたたみ] アイ
コン
展開されているすべての項目を折りたたみます。
項目を右クリックすると、メニューが表示され、展開と折りたたみを除く前述のオプションを選択できま
す。 項目に使用できないオプションはグレー表示になります。
HTML エディター
[テンプレート] または [ファイル システム] ペインで選択されているテンプレートのコンテンツを表示します。
以下の表では、[HTML エディター] オプションについて説明します。
374
McAfee Web Gateway 7.5.0
製品ガイド
ユーザー メッセージ
テンプレート エディター
11
表 11-6 HTML エディター
オプション
定義
[追加]
次のメニューを開きます。
• [リソース参照] - リソースのパスを入力します。たとえば、テンプレートに挿入する画像など
のグラフィック要素のパスを入力します。
• [プロパティ] - テンプレートで変数として使用されるプロパティ (例: $URL$) の追加ウィ
ンドウが開きます。
[編集]
次のメニューを開きます。
• [切り取り] — テンプレート コンテンツ
の選択した部分をコピーおよび削除しま
す。
• [削除] — 選択した部分を削除します。
• [コピー] —選択した部分をコピーしま
す。
• [すべて選択] — テンプレート コンテン
ツ全体を選択します。
• [貼り付け] — コピーした部分を貼り付
けます。
[ソースを表示]
トグル ボタンでテンプレートの HTML ソース コードを表示します。
言語ドロップダ
ウン メニュー
プレビューの言語を選択します。
[プレビュー]
テンプレートのプレビューを表示します。
ビューワ
選択した画像ファイルに含まれる画像が表示されます。
ファイル システム ツリーで画像ファイルを選択すると、[HTML エディター] ではなく、[ビューアー] が使用できま
す。
以下の表では、[ビューアー] オプションについて説明します。
表 11-7 ビューワ
オプション
定義
[ズーム拡大]
画像を拡大します。
[ズーム縮小]
画像を縮小します。
[ウィンドウに合わせる]
画像を [ビューアー] ペインの幅に合わせます。
[元のサイズ]
元のサイズに戻して画像を表示します。
McAfee Web Gateway 7.5.0
製品ガイド
375
11
ユーザー メッセージ
テンプレート エディター
376
McAfee Web Gateway 7.5.0
製品ガイド
12
システム構成
アプライアンス システムは、Web フィルタリング、認証、クォータ管理などの他の機能によって使用される基本機
能を提供します。ネットワークの要件に対応するように、このシステムを構成することが可能です。
アプライアンス システムを構成するときは、主に以下の項目で作業を行います。
•
システム設定 — ネットワーク インターフェース、DNS サーバー、プロキシ、集中管理、およびアプライアン
ス システムに関連する他のコンポーネントと方法のために構成されます
•
システム ファイル — ファイル エディターを使用して変更できるアプライアンス システムの機能の設定を含み
ます
•
データベース更新 — アプライアンスのフィルタリング機能が関連情報を利用できるようにします
システム構成の一部分は、アプライアンスの初期設定中に実行されます。このセットアップ後、アプライアンス シス
テムのさらなる構成アクティビティを完了させることができます。
目次
初期セットアップのシステム設定
初期セットアップ後のシステム構成
システム設定の構成
[アプライアンス] タブ
一般的なアプライアンス機能に対するシステム設定
ネットワーク機能に対するシステム設定
システム ファイル
ファイル エディター タブ
キャッシュ ボリュームのサイズ変更
データベースの更新
閉鎖されたネットワークの更新
初期セットアップのシステム設定
アプライアンスの初期セットアップの実行には、システム設定の一部の構成が含まれます。
初期設定は、デフォルト値のままに残すか、または自分の設定を実装することができます。後でも、これらの設定は
変更できます。
McAfee Web Gateway 7.5.0
製品ガイド
377
12
システム構成
初期セットアップ後のシステム構成
次の表は、初期セットアップで構成される設定、およびそれらのデフォルト値を示しています。
表 12-1 初期セットアップのシステム設定
パラメーター
デフォルト値
プライマリ ネットワーク インターフェース
eth0
DHCP での自動構成
はい
ホスト名
mwgappl
ルート パスワード
<なし>
SSH でのリモート ルート ログオン
時間
デフォルト ゲートウェイ
<DHCP で構成>
DNS サーバー
<DHCP で構成>
初期セットアップ後のシステム構成
アプライアンス システムに対するすべての設定は、初期セットアップ後に構成することができます。これには、初期
セットアップ中に構成された設定の変更も含まれます。
アプライアンス システムに対する設定は、さまざまなフィールドで構成できます。
一般的な機能に対するシステム設定
一部のシステム設定は、アプライアンスのライセンスや日付と時刻など、一般的なサービスを提供するアプライアン
ス システムの機能に対して構成されます。
関連トピック:
381 ページの「ライセンス設定」
382 ページの「GTI URL フィードバックの設定」
384 ページの「日時設定」
385 ページの「ファイル サーバー設定」
386 ページの「ユーザー インターフェース設定」
ネットワーク システム設定
ネットワーク システム設定は、アプライアンス システムをネットワークに統合するために構成します。」
アプライアンスのプライマリ ネットワーク インターフェース、およびアプライアンスによって使用される DNS サ
ーバーの設定を含む、一部のネットワーク システム設定は初期セットアップですでに構成されています。
後で、プロキシ機能、ポート転送、静的ルーティング、および他のネットワーク関連の機能の構成もできます。
関連トピック:
388 ページの「ネットワーク インターフェースの設定」
147 ページの「ドメイン名サービスの設定」
391 ページの「ネットワーク保護設定」
391 ページの「ポート転送設定」
392 ページの「静的ルート設定」
131 ページの「プロキシ設定」
378
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
初期セットアップ後のシステム構成
12
認証およびクォータのシステム設定
認証およびクォータのシステム設定は、アプライアンスでユーザーを認証し、それらのユーザーの Web 使用を制限
するための方法を実装するために構成します。
認証とクォータの構成は、主にアプライアンスで、認証およびクォータのルール セットで作業することにより、実行
されます。
しかし、Kerberos 認証方法および Windows ドメイン メンバーシップの設定を含む、いくつかの認証機能はアプラ
イアンス システムの設定として構成されます。
一部のクォータ パラメーターは、システム設定としても構成されます。
関連トピック:
180 ページの「Kerberos 管理システムの設定」
182 ページの「Windows ドメイン メンバーシップの設定」
237 ページの「クォータのシステム設定」
Web フィルタリング システム設定
Web フィルタリング システム設定は、Web オブジェクトをフィルタリングするための機能をアプライアンスで実装
するために構成されます。
Web フィルタリングの構成は、Gateway マルウェア対策ルール セットや URL フィルタリング ルール セットなど
の Web フィルタリング ルール セットのルールを操作することによってアプライアンスで主に実行されます。
ただし、アプライアンスのスキャン モジュールに対する作業負荷を制限するためにキュー内で Web オブジェクトを
収集するマルチウェア対策キューなど、Web フィルタリング機能のいくつかは、アプライアンス システムの設定と
して構成されます。
関連トピック:
253 ページの「マルウェア対策システム設定」
集中管理システム設定
集中管理システム設定は、共通の構成で複数のアプライアンスをノードとして実行している場合に構成します。
集中管理構成では、ログオンしているノードから、他のノードのシステム設定を構成することもできます。
関連トピック:
409 ページの「一元管理設定」
ログおよびトラブルシューティングに対するシステム設定
ログおよびトラブルシューティングに対するシステム設定は、アプライアンスでログ ファイル マネージャーを制御
するためと、外部コンポーネントを使用してログ データを記録するために構成されます。
外部コンポーネントの使用には、McAfee ePO サーバーへのデータの転送、および SNMP エージェントを使用した
イベントの監視が含まれます。
関連トピック:
506 ページの「ログ ファイル マネージャー設定」
540 ページの「ePolicy Orchestrator 設定」
536 ページの「SNMP 設定」
McAfee Web Gateway 7.5.0
製品ガイド
379
12
システム構成
システム設定の構成
システム設定の構成
ネットワークの要件に対応させるために、アプライアンス システムの設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、アプライアンスを選択して、構成するシステム設定をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
378 ページの「初期セットアップ後のシステム構成」
[アプライアンス] タブ
[アプライアンス] タブでは、アプライアンスのシステム設定を行うことができます。
[アプライアンス] タブの主要要素
以下の表で、[アプライアンス]タブの主要な要素について説明します。
表 12-2 [アプライアンス] タブの主要要素
要素
説明
アプライアンス ツールバー
集中管理構成にアプライアンスを追加、削除、および一度に更新す
るための項目を含むツールバー。
アプライアンス ツリー
各アプライアンスのシステム設定を含むアプライアンスのツリー
構造
アプライアンス ツールバー
選択したアプライアンスで使用可能な項目が表示されるツールバ
ー
(アプライアンス ツリーでアプライアンスが選
択されたときに表示される)
アプライアンス設定
380
McAfee Web Gateway 7.5.0
選択されたアプライアンスのシステム設定
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
表 12-3 アプライアンス ツールバー
オプション
定義
[追加 ]
アプライアンスを追加するための[アプライアンスの追加]ウィンドウを開きます。
[削除]
選択されたアプライアンスを削除します。
削除を確認するためのウィンドウが開きます。
[手動エンジン更新] 集中管理構成にあるすべてのアプライアンスのウイルス シグネチャおよびその他のフィルタ
リング情報が含まれている DAT ファイルを更新します。
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
表 12-4 アプライアンス ツールバー
オプション
定義
[再起動]
アプライアンスを再起動します。
[キャッシュを消去]
アプライアンスの Web キャッシュを消去します。
[アプライアンス ソフトウェアの更
新]
アプライアンス ソフトウェアの更新バージョンをインストールします。
[シャットダウン]
アプライアンスを非アクティブにします。
[ログをローテート]
アプライアンスのログ ファイルをローテートします。
[ログをローテートおよびプッシュ]
アプライアンスのログ ファイルをローテートし、[ログ ファイル マネージャ
ー]の設定で指定されている送信先にプッシュします。
一般的なアプライアンス機能に対するシステム設定
一部のシステム設定は、アプライアンス システムの一般的なサービスを提供する機能に対して構成されます。
一般的なアプライアンス機能に対する設定には、以下が含まれます。
•
ライセンス設定
•
日時設定
•
ファイル サーバー設定
•
ユーザー インターフェース設定
ライセンス設定
ライセンス設定は、アプライアンスにライセンスをインポートするために使用します。ライセンスの情報は、これら
の設定とともに表示されます。
ライセンス管理
ラインセンスのインポートおよびインポートされたライセンスの情報の設定
McAfee Web Gateway 7.5.0
製品ガイド
381
12
システム構成
一般的なアプライアンス機能に対するシステム設定
表 12-5 ライセンス管理
オプション
定義
ライセンスの ライセンスをインポートするための項目を提供します。
インポート
• [ライセンス ファイル] — ライセンス ファイル名を指定します。
ここにファイル名を入力するか、[参照]ボタンを使用して適切なファイルを選択することができま
す。
• [参照] - ローカル ファイル マネージャーを開き、ライセンス ファイルを参照することができま
す。
• [登録] — 入力フィールドに指定されているライセンスを登録します。
[登録]ボタンは、入力フィールドにファイル名が入力されない限り、グレー表示になります。
ライセンス情 インポートされたライセンスの情報を提供します。
報
• [ステータス] — ライセンス ファイル名を指定します。
ここにファイル名を入力するか、[参照]ボタンを使用して適切なファイルを選択することができま
す。
• [作成] - ローカル ファイル マネージャーを開き、ライセンス ファイルを参照することができま
す。
• [登録] — 入力フィールドに指定されているライセンスを登録します。
[登録]ボタンは、入力フィールドにファイル名が入力されない限り、グレー表示になります。
• [有効期限] — ライセンスの期限が切れる日付をユーザーに通知します。
• [ライセンス ID] — ライセンスを識別します。
• [カスタマー] — ライセンス所有者の名前を説明します。
• [シート] — ライセンスが有効である所有者の会社の職場の数を指定します。
• [評価] — ライセンスが評価済みどうかに関する情報を提供します。
GTI URL フィードバックの設定
GTI URL フィードバック設定は、Web ページまたは実行ファイルなどの潜在的に不正な Web オブジェクト、およ
び Danamic Content Classifier により評価された Web サイトに関するフィードバック データの収集を構成する
ために使用されます。
フィードバックの設定
フィードバック データの収集のための設定
382
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
表 12-6 フィードバックの設定
オプション
定義
[システム情報と不審な URL に関す これが選択されると、フィードバック データが収集され、特別な McAfee フ
るフィードバックを McAfee に送信 ィードバック サーバーに送信されます。
して、脅威の予測や保護サービスを
McAfee はこのデータを収集してそれを分析し、Web Gateway の脅威の予
改善する]
測と保護機能を改善します。
2 つのフィードバック オプションのそれぞれを個別に有効にしたり、無効
にすることができます。
詳細については、『データ使用状況のステートメント』を参照してください。
[不正 Web サイトに関するフィード これを選択すると、ウイルスとマルウェアのフィルタリングに関連するデー
バックを McAfee に送信する]
タが収集され、特別な McAfee フィードバック サーバーに送信されます。
[動的に分類された Web サイトに関 これを選択すると、Web サイトを分類するために関連するデータが収集さ
するフィードバックを McAfee に送 れ、特別な McAfee フィードバック サーバーに送信されます。
信する]
詳細情報
データ使用状況のステートメントへのリンク
表 12-7 詳細情報
オプション
定義
[データ使用状況
のステートメン
ト]
以下を説明するデータ使用状況のステートメントへのリンクを提供します。
• McAfee が収集されたフィードバック データを収集する目的
• 収集されるデータの種類
• データの種類によってデータの収集をオフにする方法
データの使用状況のステートメントは、アプライアンスの最初のセットアップ時にも示されま
す。
詳細設定
フィードバック データの収集のための詳細設定
表 12-8 詳細設定
オプション
定義
[アップストリーム プ これを選択すると、McAfee にフィードバック データを送信するためにプロキシ サーバー
ロキシを使用]
が使用されます。
[プロキシの IP また
は名前]
プロキシ サーバーの IP アドレスまたはホスト名を指定します。
[プロキシのポート]
フィードバック データを送信するためのリクエストを待機するプロキシ サーバーのポー
トのポート番号を指定します。
ポート番号の範囲は 1 から 65635 です。
デフォルトのポート番号は 9090 です。
[ユーザー名 ]
プロキシ サーバーにログオンするために必要なユーザー名を指定します。
[パスワード]
プロキシ サーバーにログオンするために必要なパスワードを指定します。
[設定]をクリックして、パスワードを設定するためのウィンドウを開きます。
McAfee Web Gateway 7.5.0
製品ガイド
383
12
システム構成
一般的なアプライアンス機能に対するシステム設定
表 12-8 詳細設定 (続き)
オプション
定義
[フィードバック サー これを選択すると、IP アドレスとポート番号をフィードバック データが送信されるサーバ
バーを選択する]
ーに対して構成できます。
[サーバーの IP]
フィードバック サーバーの IP アドレスを指定します。
[サーバーのポート]
データを送信するためのリクエストを待機するフィードバック サーバーのポートのポート
番号を指定します。
ポート番号の範囲は 1 から 65635 です。
デフォルトのポート番号は 443 です。
[サーバーのポート]
これを選択すると、フィードバック送信アクティビティがログされます。
日時設定
日付および時刻の設定は、アプライアンス システムの日付および時刻を同期させる時刻サーバーを構成するために使
用されます。それらはシステム時刻を手動で設定することも可能にします。
日時
アプライアンス システムの日時の設定
表 12-9 日時
オプション
定義
[NTP サーバー 選択された場合、アプライアンスは時間の同期のために NTP(Network Time Protocol)の時刻
との同期を有効 サーバーを使用します。
にする]
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時間差
が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動することを推
奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定されま
す。
[NTP サーバー
リスト]
NTP プロトコルで時間の同期に使用するサーバーを入力するためのリストを提供します。
リスト要素は以下のとおりです。
• [文字列] — NTP サーバーの名前を指定します。
• [コメント] — NTP サーバーの平文コメントを提供します。
[タイム ゾーン
の選択]
タイム ゾーンを選択するリストを提供します。
NTP サーバーによって実行された時刻の同期、または手動で設定された時刻は、ここで選択する
タイム ゾーンを参照します。
手動でのシステム時刻の設定
アプライアンス システムの時刻および日付を構成するための設定
384
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
表 12-10 手動でのシステム時刻の設定
オプション
定義
[現在の日付および
時刻]
アプライアンス システムの日付および時刻の設定の要素を提供します。
• [日付] — フィールドに入力またはカレンダーを使用して日付を入力できます。
• カレンダー アイコン — 日付選択のためにカレンダーが開きます
カレンダーで日付を選択した後、[OK]をクリックすると日付フィールドに日付が表示され
ます。
• [時間] — 時間を入力して指定できます。
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時
間差が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動すること
を推奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定
されます。
[今すぐ設定]
入力した日付と時刻を対応するフィールドに設定します。
ファイル サーバー設定
ファイル サーバー設定は、アプライアンスの専用ファイル サーバー ポートの構成に使用されます(たとえば、クラ
イアントによるファイルのダウンロードを有効化するため)。
HTTP コネクタ ポート
アプライアンスの専用ファイル サーバー ポートの設定
表 12-11 HTTP コネクタ ポート
オプション
定義
[HTTP 経由の専用ファ 選択されていると、下に構成されている専用 HTTP ファイル サーバー ポートが有効にな
イル サーバー ポートを ります。
有効にする]
[HTTP コネクタ]
専用 HTTP ファイル サーバー ポートのポート番号を指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲
は 1024 ~ 65335 までです。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力すること
ができます。これは、このポート経由のアプライアンスへの接続は、指定アドレスを使用
した場合にのみ有効という意味です。
例:
アプライアンスには以下のとおり、IP アドレスを持つ 2 つのインターフェースがありま
す。
eth0:192.168.0.10, eth1: 10.149.110.10
次の数字を HTTP コネクタに入力します。
4711, 192.168.0.10:4722
ポート 4771 経由のアプライアンスへの接続では両方の IP アドレスを使用することが
許可される一方で、ポート 4772 経由で接続する場合は、IP アドレス 192.168.0.10
が使用されます。
後者の方法による接続の制約は、イントラネットのセット アップに使用することができ
ます。
McAfee Web Gateway 7.5.0
製品ガイド
385
12
システム構成
一般的なアプライアンス機能に対するシステム設定
表 12-11 HTTP コネクタ ポート (続き)
オプション
定義
[HTTPS 経由の専用フ
選択されていると、専用 HTTPS ファイル サーバー ポートが有効になります。
ァイル サーバー ポート
を有効にする]
[HTTPS コネクタ]
専用 HTTPS ファイル サーバー ポートのポート番号を指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲
は 1024 ~ 65335 までです。
ポート番号とともに IP アドレスを入力することは、HTTP コネクタと同様に行うことが
可能で、同じ意味を持ちます。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ユーザー インターフェース設定
ユーザー インターフェース設定は、ポート、ログオン ページ、SSL セキュア通信用の証明書など、ユーザー インタ
ーフェースの要素を構成するために使用されます。
HTTP コネクタ ポート
アプライアンスのローカル ユーザー インターフェースのポートとセッション タイムアウトに対する設定
表 12-12 HTTP コネクタ ポート
オプション
定義
[HTTP でローカル ユ 選択すると、HTTP プロトコルを使用してユーザー インターフェースに接続できます。
ーザー インターフェ
ースを有効にする]
[HTTP コネクタ]
HTTP でユーザー インターフェースに接続するためのポートを指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。許容範囲は 1024 ~
65335 です。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップでき
ます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力することが
できます。すると、指定したアドレスを使用する場合にのみ、このポート経由のユーザー
インターフェースへの接続が許可されます。
[HTTPS でローカル
ユーザー インターフ
ェースを有効にする]
選択すると、HTTPS プロトコルを使用してユーザー インターフェースに接続できます。
[HTTPS コネクタ]
HTTPS でユーザー インターフェースに接続するためのポートを指定します。
ここでは、複数のポート番号をカンマで区切って入力できます。許容範囲は 1024 ~
65335 です。
ポート 1 ~ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップでき
ます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力することが
できます。すると、指定したアドレスを使用する場合にのみ、このポート経由のユーザー
インターフェースへの接続が許可されます。
[セッション タイムア アクティビティが生じなくなってからユーザー インターフェースのセッションが閉じられ
ウト]
るまでに必要な時間(分単位)を指定値に制限します。
許容範囲は 1 ~ 9999 です。
386
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
12
ログイン ページ オプション
アプライアンスのユーザー インターフェースにログオンするために使用されるページに対する設定
表 12-13 ログイン ページ オプション
オプション
定義
[ログイン認証情報の保存をブラウザー
に許可する]
選択すると、アプライアンスへログオンするためにユーザーが入力した
認証情報がブラウザーで保存されます。
[ユーザーの IP アドレスにブラウザー
セッションを制限する]
選択すると、ユーザー インターフェースを操作するためのセッション
は、ユーザーによってこのセッションが開始されたクライアントの IP ア
ドレスが変更されない限り有効となります。
[IP アドレスに対してセッションを制限
するかどうかをユーザーに決定させる]
選択すると、ユーザー インターフェースを操作するためのセッションを
このセッションが開始されたクライアントの IP アドレスに対してのみ
有効にするかどうかについては、このセッションを開始したユーザー次
第になります。
[ログイン名ごとに複数のログインを許
可する]
選択すると、同じユーザー名とパスワードを使用して複数のユーザーが
ユーザー インターフェースにログオンできます。
[HTTPOnly セッション cookie を使用
する(アプレットの読み込みには時間が
かかることがある)]
選択すると、ユーザー インタフェースに関するセッションに対して
HTTPOnly cookie が使用されます。
ユーザー インターフェース証明書
ユーザー インターフェース用の HTTPS ポートを経由した SSL セキュア通信で使用される証明書に対する設定
表 12-14 ユーザー インターフェース証明書
オプション
定義
[件名、発行者、有効性、延長] 現在使用されている証明書に関する情報を提供します。
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開き
ます。
[証明書チェーン]
証明書とともにインポートされる証明書チェーンを表示します。
[証明機関のインポート]ウィンドウ
SSL セキュア通信で使用される証明書をインポートするための設定
表 12-15 [証明機関のインポート]ウィンドウ
オプション
定義
[証明書]
証明書ファイルの名前を指定します。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
[参照]
証明書ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[秘密鍵]
秘密鍵の名前を指定します。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
ここでは、AES 128 ビットの暗号化鍵または非暗号化鍵である鍵のみを使用できます。
[参照]
秘密鍵ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[パスワード]
秘密鍵を使用できるパスワードを設定します。
McAfee Web Gateway 7.5.0
製品ガイド
387
12
システム構成
ネットワーク機能に対するシステム設定
表 12-15 [証明機関のインポート]ウィンドウ (続き)
オプション
定義
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開きます。
[OK]
指定した証明書に対するインポート プロセスを開始します。
[証明書チェー
ン]
証明書チェーン ファイルの名前を指定します。
[参照]
証明書チェーン ファイルを参照して選択できるようにするために、ローカル ファイル マネージ
ャーを開きます。
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
証明書を証明書チェーンとともにインポートすると、ユーザー インターフェース証明書設定の[証
明書チェーン]フィールドに証明書チェーンが表示されます。
ネットワーク機能に対するシステム設定
一部のシステム設定は、アプライアンス システムをネットワークに統合する機能に対して構成されます。
ネットワーク機能に対するシステム設定には、プロキシ設定と以下の設定が含まれます。
•
ネットワーク インターフェースの設定
•
静的ルート設定
•
ドメイン名サービスの設定
•
ポート転送設定
•
ネットワーク保護の設定
関連トピック:
131 ページの「プロキシ設定」
ネットワーク インターフェースの設定
ネットワーク インターフェースの設定では、アプライアンスのネットワーク インターフェースを設定します。
ネットワーク インターフェース設定
ネットワーク インターフェースの
表 12-16 ネットワーク インターフェース設定
388
オプション
定義
[ホスト名/完全修飾
ドメイン名]
アプライアンスのホスト名を指定します。
[デフォルト ゲート
ウェイ (IP4)]
IPv4 の Web トラフィックに使用するデフォルト ゲートウェイを指定します。
[デフォルト ゲート
ウェイ (IP6)]
IPv6 の Web トラフィックに使用するデフォルト ゲートウェイを指定します。
[次のネットワーク
インターフェースを
有効にする]
有効または無効にするネットワーク インターフェースのリストが表示されます。
名前は、完全修飾ドメイン名で指定する必要があります。
デフォルトでは、eth0 ネットワーク インターフェースにリストに表示され、有効になって
います。
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
ネットワーク機能に対するシステム設定
12
表 12-16 ネットワーク インターフェース設定 (続き)
オプション
定義
[IPv4]
IPv4 のネットワーク インターフェースを設定する場合のオプションが表示されます。
各オプションは、それぞれ別のタブに表示されます。
[IPv6]
IPv6 のネットワーク インターフェースを設定する場合のオプションが表示されます。
各オプションは、それぞれ別のタブに表示されます。
[詳細]
ネットワーク インターフェースの追加メディアまたはブリッジを設定する場合のオプショ
ンが表示されます。
各オプションは、それぞれ別のタブに表示されます。
[VLAN の追加]
VLAN トラフィックを処理するネットワーク インターフェースを追加します。
ネットワーク インターフェースを追加するには、ID として番号を追加し、[OK] をクリッ
クします。
インターフェース名は、ドットで区切られた 2 つの部分から構成されます。
最初の部分は、使用可能なネットワーク インターフェースで有効になっているインターフェ
ースの名前と番号を表します。 2 つ目の部分はユーザー指定の番号です。
たとえば、eth0 インターフェースが有効で 1 を指定すると、VLAN トラフィックのネット
ワーク インターフェースが eth0.1 として追加されます。 初期設定では有効になってい
ません。
VLAN ネットワーク インターフェースの番号範囲は 1 ~ 4094 です。
VLAN トラフィックに 1 つ以上のネットワーク インターフェースを追加したら、
この ID を使用中のネットワーク モード (たとえば、透過型ブリッジ モード) の
ポート リダイレクト パラメーターに追加する必要があります。
ポート リダイレクトの追加または編集に使用するウィンドウで、[オプションの
802.1Q VLAN] フィールドに VLAN ID を入力します。 複数エントリはカンマ
で区切ります。
[削除]
VLAN トラフィックに選択したネットワーク インターげーすが削除されます。
以下の表では、[IP4]、[IP6]、[詳細] タブのオプションについて説明します。
IPv4
IPv4 のネットワーク インターフェースを設定する場合のタブ
表 12-17 IPv4
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスを設定する方法を選択します。
• [自動取得 (DHCP)] - 動的ネットワーク ホスト プロトコル (DHCP) を使用する IP アドレ
スが自動的に取得されます。
• [手動設定] — IP アドレスを手動で設定します。
• [IPv4 を無効にする] - このインターフェースでは、IPv4 を使用しません。
[IP アドレス]
ネットワーク インターフェースの IP アドレスが表示されます (手動設定)。
[サブネット マ
スク]
ネットワーク インターフェースのサブネット マスクが表示されます (手動設定)。
McAfee Web Gateway 7.5.0
製品ガイド
389
12
システム構成
ネットワーク機能に対するシステム設定
表 12-17 IPv4 (続き)
オプション
定義
[デフォルト ル
ート]
ネットワーク インターフェースを使用した Web トラフィックのデフォルト ルートが表示され
ます (手動設定)。
[MTU]
1 回の転送単位で送信するバイト数を指定された値に制限します。
[IP エイリアス]
IP アドレスのエイリアス リストが表示されます。
• [エイリアスの追加] - エイリアスを追加する入力ウィンドウを開きます。
• [削除] - 選択したエイリアスを削除します。
IPv6
IPv6 のネットワーク インターフェースを設定する場合のタブ
表 12-18 IPv6
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスを設定する方法を選択します。
• [自動取得 (DHCP)] - 動的ネットワーク ホスト プロトコル (DHCP) を使用する IP アドレ
スが自動的に取得されます。
• [ルーターから収集する] - IP アドレスをルーターから取得します。
• [手動設定] — IP アドレスを手動で設定します。
• [IPv6 を無効にする] - このインターフェースでは IPv6 を使用しません。
[IP アドレス]
ネットワーク インターフェースの IP アドレスが表示されます (手動設定)。
[デフォルト ル
ート]
ネットワーク インターフェースを使用した Web トラフィックのデフォルト ルートが表示され
ます (手動設定)。
[MTU]
1 回の転送単位で送信するバイト数を指定された値に制限します。
[IP エイリア
ス]
IP アドレスのエイリアス リストが表示されます。
• [エイリアスの追加] - エイリアスを追加するウィンドウを開きます。
• [削除] - 選択したエイリアスを削除します。
詳細
ネットワーク インターフェースの追加メディアまたはブリッジを設定するタブ。
表 12-19 詳細
オプション 定義
[メディア] ネットワーク インターフェースと一緒に使用する追加メディアを選択できます。
• [自動的に検出する] - アプライアンスのネットワーク環境で使用可能な場合、ネットワーク インタ
ーフェースとともに使用するメディアが自動的に検出されます。
• [1000BaseT-FD、1000Base-HD、...]- 選択したメディア項目がネットワーク インターフェース
とともに使用されます。
[有効なブ
リッジ]
選択すると、Web トラフィックが透過型ブリッジ モードのネットワーク インターフェースからルー
ティングされます。
• [名前] - 透過型ブリッジの名前が表示されます。
390
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
ネットワーク機能に対するシステム設定
12
ネットワーク保護設定
ネットワーク保護システム設定は、ネットワークからアプライアンスへのトラフィックの保護ルールを構成するため
に使用されます。
ネットワーク保護ルール
ネットワーク保護ルールを構成するための設定
表 12-20 ネットワーク保護ルール
オプション
定義
[ネットワーク保護の
有効化]
これが選択されている場合、以下のネットワーク保護で構成されている設定が有効になり
ます。
[ポリシーの入力]
受信トラフィックに対して実行されるアクションを選択できます。
受信トラフィックはドロップするか、受け入れることができます。
[Ping リクエストの許
可]
これが選択されている場合、アプライアンスは Ping リクエストを受け入れて応答します。
[デフォルト ポリシー
からの例外]
アプライアンス システムにトラフィックを送信するネットワーク デバイスを入力するた
めのリストを提供します。
これらのデバイスからのトラフィックは、現在実装されているルールに従って処理されて
いません。これらのルールが受信トラフィックをドロップした場合、ここにリストされて
いるデバイスから送信されるトラフィックは受け入れられ、逆の場合も同様になります。
次の表は、デフォルト ポリシーからの例外のリストにあるエントリを示します。
表 12-21 デフォルト ポリシーからの例外 - リスト エントリ
オプション
定義
[デバイス]
アプライアンスにトラフィックを送信するネットワーク デバイスの名前を指定します。
* の入力、または入力ないことは、すべてのデバイスが対象であることを意味します。
[プロトコル] トラフィックの送信に使用されるプロトコルを指定します。
[ソース]
ネットワーク デバイスまたはアプライアンスにトラフィックを送信するデバイスの IP アドレスま
たはアドレス範囲を指定します。
[宛先ポート] ネットワーク トラフィックの宛先であるアプライアンスのポートを指定します。
[コメント]
例外に平文テキストのコメントを提供します。
ポート転送設定
[ポート転送] 設定は、アプライアンスが特定のホストの特定のポートから別のポートに送信される Web トラフィッ
クを転送できるようにルールを設定するために使用します。
ポート転送
ポート転送ルールを構成するための設定
表 12-22 ポート転送
オプション
定義
[ポート転送ルール]
ポート転送ルールのリストを提供します。
次の表では、ポート転送ルールのリストのエントリを説明しています。
McAfee Web Gateway 7.5.0
製品ガイド
391
12
システム構成
ネットワーク機能に対するシステム設定
表 12-23
ポート転送ルール - リスト エントリ
オプション
定義
[送信元ホスト]
ポート転送ルール内で Web トラフィックの送信元であるホストの IP アドレスを指定しま
す。
[バインド IP]
バインド IP アドレスを指定します。
[ターゲット ポート] 送信元ホストからの Web トラフィックが転送される先のポートを指定します。
[宛先ホスト]
送信元ホストから送信される Web トラフィックの宛先であるホストの IP アドレスを指定
します。
[宛先ポート]
送信元ホストから受信する Web トラフィックを待機するために使用される宛先ホストのポ
ートを指定します。
[コメント]
ポート転送ルールに関するテキスト形式のコメントを提供します。
[ポート転送] の設定を続行します。
表 12-24 ポート転送 (続き)
オプション
定義
[拡張接続ロギ ポート転送のすべてのログがアプライアンス システムの /var/log/mwg_fwd.log に保存さ
ングを有効にす れます。
る]
ここで選択したロギング オプションは、設定済みのポート転送ルールで実行されるすべてのポー
ト転送に適用されます。
保存されたログ ファイルは、ユーザー インターフェースの [トラブルシューティング] トップレ
ベル メニューでも確認できます。
ログ ファイルを表示するアプライアンスを選択して [ログ ファイル] を選択し、[システム] フォ
ルダーを開きます。
[拡張ロギング 選択すると、ログに記録するデータ タイプを設定する入力フィールドが使用可能になります。
フィールドをカ
スタマイズす
る]
[成功時に記録] Web トラフィックが正常に転送されたときに記録するデータ タイプを入力します。
1 つ以上のデータ タイプ (PID、HOST、USERID、EXIT、DURATION、TRAFFIC など) を入力
できます。タイプは大文字で入力します。複数のタイプを入力する場合には、カンマで区切りま
す。
[失敗時に記録] Web トラフィックの転送に失敗したときに記録するデータ タイプを入力します。
1 つ以上のデータ タイプ (HOST、USERID、ATTEMPT) を入力できます。タイプは大文字で入
力します。複数のタイプを入力する場合には、カンマで区切ります。
HOST データはデフォルトでログに記録されます。
静的ルート設定
静的ルート設定は、Web トラフィックがアプライアンスから特定のホストへルーティングされる場合に、同じゲー
トウェイおよびこのゲートウェイのインターフェースを常に使用するルートを構成するために使用されます。
静的ルート
インターネット プロトコルのバージョン 4 または 6 での静的ルートに対する設定
392
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
システム ファイル
12
表 12-25 静的ルート
オプション
定義
[静的ルート リスト] インターネット プロトコルのバージョン 4 または 6 で Web トラフィックを送信するため
の静的ルートのリストを提供します。
次の表では、静的ルートのリストのエントリを説明しています。
表 12-26 静的ルート - リスト エントリ
オプション
定義
[宛先]
静的ルートの宛先であるホストの IP アドレスとオプションのネットマスクを指定します。
[ゲートウェイ] アプライアンスからホストへ Web トラフィックをルーティングするためのゲートウェイの IP ア
ドレスを指定します。
[デバイス]
静的ルートに対してゲートウェイで使用されるインターフェースを指定します。
[説明]
静的ルートのテキスト形式の説明を提供します。
[コメント]
静的ルートのテキスト形式のコメントを提供します。
システム ファイル
システム ファイルには、アプライアンス システムの機能に対する設定が含まれます。これらの設定は、ファイル エ
ディターを使用して編集できます。
システム ファイルに保存される設定には、IP アドレス、最大メッセージ サイズ、キューに入れることのできる最大
メッセージ数など、ネットワーク通信用にアプライアンス システムが使用するパラメーターの設定が含まれます。
ログやアクセス制限など、アプライアンス システムの機能を構成するには、他の設定が使用されます。
システム ファイルの例は /etc/hosts ファイルで、IP アドレスとホスト名のエントリ(アプライアンス自体のロ
ーカル IP アドレスとホスト名を含む)が含まれます。
ユーザー インターフェースのタブからアクセスできるファイル エディターでは、これらのファイル内の設定を編集
できます。
システム ファイルを編集するために、ファイル エディターのみを使用します。ファイル エディターの外部でこれらの
ファイルを開いて手動で編集する場合、変更したものは Web Gateway の新しいバージョンへのアップグレードが行
われるときに上書きされます。
関連トピック:
394 ページの「ファイル エディター タブ」
McAfee Web Gateway 7.5.0
製品ガイド
393
12
システム構成
ファイル エディター タブ
ファイル エディター タブ
[ファイルエディター]タブは、アプライアンスのシステム ファイルの編集を可能にします。
ファイル エディター タブの主要要素
以下の表で、[ファイル エディター]タブの主要要素について説明します。
表 12-27 ファイル エディター タブの主要要素
要素
説明
[ファイル]
各アプライアンスのシステム設定を含むアプライアンスのツリー構造
[エディター ]
システム ファイルを編集するための項目、およびファイル エントリ
を表示するためのコンテンツ ペインがあるツールバー
([ファイル]でシステム ファイルが選択さ
れているときに表示される)
エディター ツールバー
エディター ツールバーには、次のオプションがあります。
394
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
キャッシュ ボリュームのサイズ変更
12
表 12-28 ファイル エディター ツールバー
オプション
定義
[編集]
システム ファイル エントリのテキストを編集するためのオプションがあるメニュ-を開きます。
• [切り取り] — 選択されたテキストを切り
取ります
• [削除] — 選択されているテキストを削除
します
• [コピー] — 選択されているテキストをコ
ピーします
• [すべて選択] — テキスト全体を選択しま
す
• [貼り付け] — コピーまたは切り取られた
テキストを貼り付けます。
[変更を破棄] テキストの変更を破棄します。
ウィンドウが開き、破棄の確認が行われます。
キャッシュ ボリュームのサイズ変更
ウィザードを使用すると、アプライアンスで Web キャッシュに使用する論理ボリュームと、一時ファイルとログ フ
ァイルを保存する論理ボリュームのサイズを変更できます。
アプライアンスに Web Gateway をインストールすると、一時ファイルやログ ファイルを保存する論理ボリューム
よりも、Web キャッシュ用の論理ボリュームのほうが大きくなります。アプライアンスのボリューム ウィザードを
使用すると、このサイズを変更し、一時ファイルとログ ファイルを保存するディスク容量を増やすことができます。
ウィザードのページで、ボリューム サイズは GiB で表示されます。たとえば、サイズ変更前のサイズは次のように
なります。
•
Web キャッシュ ボリューム:197 GiB
•
一時ファイルとログ ファイルのボリューム:40 GiB
サイズ変更後は、次のようにサイズが逆になります。
•
Web キャッシュ ボリューム:40 GiB
•
一時ファイルとログ ファイルのボリューム:197 GiB
初めて Web Gateway アプライアンスをセットアップするときに、ウィザードに従ってサイズを変更することがで
きます。設定ウィザードでシステムの初期設定を行った後でアプライアンスを再起動すると、ウィザードが表示され
ます。
ウィザードのプロセスを中断した場合、システム コンソールのコマンドラインから次のコマンドを実行すると、プロ
セスを再開することができます。
mwg-cache-wizard
yum upgrade コマンドでアプライアンスがセットアップされている場合には、ウィザードを手動で開始する必要が
あります。
ウィザードの処理はメインのログに記録されます。このログのパスとファイル名は /var/log/
resize-cache.log です。
アプライアンスでサイズの変更をすでに実行している場合には、対応するメッセージがウィザードに表示されます。
アプライアンスのボリューム サイズをさらに変更する必要がある場合には、McAfee サポートに連絡してください。
McAfee Web Gateway 7.5.0
製品ガイド
395
12
システム構成
データベースの更新
データベースの更新
フィルタリング プロセスに使用される、外部データベースから取得される情報は、適宜、更新が必要です。
Web オブジェクトはアプライアンスでルールベースのプロセスに基づいてフィルタリングされます。フィルタリン
グ ルールは、オブジェクトへのアクセスをブロックするまたは許可するなどのアクションをトリガーする前にこれら
のオブジェクトの情報が必要です。それらは、特別なモジュール(エンジンとも呼ばれる)のこの情報に依存します。
例えば、ウイルスおよびマルウェア フィルタリング ルールは、オブジェクトがウイルスに感染しているか、または
URL カテゴリ情報の URL フィルター モジュール(モジュール)に URL フィルタリング ルールが依存しているかを
調べるために、マルウェア対策モジュール(エンジン)に依存します。
モジュールはこの情報、例えば DAT ファイルに保管されているウイルス シグネチャなどを外部データベースから取
得します。アプライアンスでのデータベースの更新は、この情報に適用されます。
アプライアンスのデータベース情報は、さまざまな方法を使用して、更新できます。
•
手動エンジン更新 — 現在ログオンしているアプライアンスのモジュールのデータベース情報は手動で更新でき
ます。
•
自動エンジン更新 — また、現在ログオンしているアプライアンスのモジュールを定期的に自動更新するように構
成することもできます。
これらの更新で情報を取得できます。
•
インターネットから — 情報は関連する外部データベースからダウンロードされます。
データベース情報はアプライアンスの初期セットアップの後、この方法で直ちに初めて更新されます。
•
集中管理構成のその他のノードから — 情報はこれらのノードからダウンロードされます。すべてのノード
は、そのノードからその他のノードへの情報のアップロードが許可されるかどうかに関わらず、同様に構成で
きます。
集中管理構成をセット アップするとこれらの更新を構成し、自動更新に関する動作方法を各ノードに対し、
指定できます。
データベース情報の手動更新
アプライアンスのモジュールに対して、データベース情報を手動で更新することができます。
更新は、ログオンしたアプライアンスのモジュールと、集中管理構成でノードとして含めた他のアプライアンスのモ
ジュールに適用されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーで、[手動エンジン更新]をクリックします。
更新が実行されます。
自動エンジン更新のスケジュール
アプライアンスのモジュールに対して、データベース情報の自動更新をスケジュールすることができます。
集中管理構成でノードとして複数のアプライアンスを実行している場合、この構成に対する設定を構成する一環とし
て、これらのノードのモジュール(エンジンとも呼ばれる)に対して更新をスケジュールできます。
タスク
396
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、自動更新をスケジュールするアプライアンスを選択し、[集中管理]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
システム構成
閉鎖されたネットワークの更新
3
[自動エンジン更新]まで下にスクロールし、必要に応じて更新設定を構成します。
4
[変更の保存]をクリックします。
12
閉鎖されたネットワークの更新
Web Gateway アプライアンスは、セキュリティまたはその他の理由でインターネット接続がないネットワークで操
作でき、更新できます。これらのネットワークは「閉鎖された」または「隔絶された」ネットワークとも呼ばれます。
これらのネットワークで実行されるアプライアンスで更新が必要な場合には、通常の McAfee のアップデート サー
バーに接続できません。代わりにオフラインの更新手順を実行する必要があります。
McAfee ポータルからこの目的の更新パッケージを選択し、ダウンロードして、それをポータブル メディアに保管
し、メディアを使用して閉鎖されたネットワークの 1 個以上のアプライアンスに更新パッケージを適用することがで
きます。
更新パッケージにはモジュール(エンジン)の更新情報とアプライアンスのフィルタリングに使用されるマルウェア
のパターンが含まれます。ポータルには完全な更新(差分更新ではなく)のみを行うことができます。
ポータルに入った後で、更新するアプライアンスの Web Gateway のバージョン ナンバーを送信する必要がありま
す。その後更新情報が現在利用できる機能のリストが示されます。
選択に従って、更新に必要なすべてのファイルを含む更新パッケージの zip 形式が作成され、ダウンロードできま
す。
閉鎖ネットワークのアプライアンスの更新
インターネット接続なしでネットワークのアプライアンスを更新するために、更新パッケージをダウンロードし、ポ
ータブル メディアに保管して、メディアを使用して更新を実行します。
タスク
1
更新パッケージをダウンロードします。
a
ブラウザーを使用して、Content & Cloud Security の更新ページに進みます。
https://contentsecurity.mcafee.com/update
b
更新ページで、更新するアプライアンスのバージョン ナンバーを入力します。
更新された情報を表示できる機能のリスト。
c
更新する機能を選択します。
選択内容に従って、更新パッケージが作成されます。
d
更新パッケージをシステムにダウンロードします。
2
USB ドライブなどのポータブル メディアを使用して、ダウンロードしたシステムから閉鎖ネットワークの管理シ
ステムに更新パッケージを転送します。
3
閉鎖ネットワークで更新する各アプライアンスで次の操作を実行します。
a
[構成] 、 [アプライアンス] の順に選択します。
b
[エンジンの更新] をクリックして、[更新ファイルのアップロード] を選択します。
[ファイルのアップロードによるエンジンの更新] ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
397
12
システム構成
閉鎖されたネットワークの更新
c
[参照] をクリックして、管理システムで更新パッケージを保存した場所に移動し、更新パッケージ ファイル
を選択します。
d
[更新] をクリックします。
アプライアンスは、更新パッケージから情報を使用して更新されます。
e
398
[閉じる] をクリックして、ウィンドウを閉じます。
McAfee Web Gateway 7.5.0
製品ガイド
13
一元管理
一元管理は、共通の設定でノードとしてネットワーク内でセットアップした複数のアプライアンスを管理できます。
一元管理の設定を管理するときは、主に以下の項目で作業を行います。
•
ノード - アプライアンスをノードとしてセットアップすると、他のノードに接続してデータの送受信を行い、更
新、バックアップ、ダウンロードなどのアクティビティを実行できます。
•
ノード グループ — ノードは別の方法でデータ転送を許可するさまざまなタイプのノード グループに割り当てら
れます。
•
スケジュール設定されたジョブ — データは設定できる異なる種類のスケジュールに従って転送できます。
更新スケジュールは、更新を実行するときと、しないときを指定する一元管理設定のノードに対しても設定できます。
目次
一元管理構成
一元管理の構成
一元管理構成にアプライアンスを追加
一元管理設定の構成
ノード グループにノードを割り当てる
ベスト プラクティス - 集中管理構成でのノード グループの設定
ノードの同期を確認する
スケジュール設定されたジョブを追加
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理設定
McAfee Web Gateway 7.5.0
製品ガイド
399
13
一元管理
一元管理構成
一元管理構成
一元管理構成では、複数のアプライアンスがノードとして実行され、構成したものにしたがって、すべてのノードか
ら管理できます。
一元管理構成のノードは、以下のネットワーク内で接続されています。
•
各ノードは、Web トラフィックを向けるネットワークのクライアント システムに接続されています。
•
ノード グループにノードを割り当てる
•
ノード グループを使用すると、たとえば、別のノードや他の複数のノードに更新データを転送するなど、グ
ループ メンバーに共通の管理作業を行うことができます。
アプライアンスをノードとして設定する前に、ping コマンドを実行して接続状態を確認してください。
•
グループ メンバーとの間で異なる種類のデータ転送が可能な、異なるタイプのノード グループがあります。
複数の Web Gateway アプライアンスが存在する集中管理構成はクラスターともいいます。
ただし、フェールオーバー機能を実装した高可用性クラスターを構成するには、関連するアプライアンス
のプロキシ機能にプロキシ HA (高可用性) モードを設定する必要があります。
以下の図は、一元管理構成のノードとして実行される、いくつかのアプライアンスを示しています。
図 13-1 一元管理構成
ノード グループのタイプ
一元管理構成のノードは、ノード グループに割り当て可能です。
ノード グループには名前があり、タイプを考慮して異なります。次のノード グループのタイプがあります。
400
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
一元管理の構成
•
13
ランタイム グループ — ランタイム グループのメンバーであるノードは、ランタイム データをグループ内のその
他すべてのノードと共有できます。
ランタイム データは、アプライアンスのランタイムに作成されるデータです。たとえば、クォータ制限が Web
の使用状況に課された場合、与えられた時点でユーザーに残される時間は、ランタイム データです。
ノードは、1 つ特定のランタイム グループのメンバーにのみできます。
•
更新グループ — 更新グループのメンバーであるノードは、更新をグループ内のその他すべてのノードと共有でき
ます。
ノードは、1 つ特定の更新グループのメンバーにのみできます。
•
ネットワーク グループ — ネットワーク グループのメンバーであるノードは、グループ内のその他すべてのノー
ドにすぐに接続できます。
ノードは同時に異なるネットワーク グループのメンバーになります。
ノードは、グループ A や B など異なるノード グループのメンバーです。ノードを通して、データの転送が可能
です。グループ B の中のノードによって、グループ B のメンバーでないグループ A 内の他のノードから、グル
ープ A のメンバーでないノードまでデータを転送することが可能です。
スケジュール設定されたジョブ
アプライアンスで、構成バックアップの作成、またはファイルのダウンロードなどを特定の時間および日付、または
一定の間隔に実行する、ジョブをスケジュール設定できます。、
また、現在作業しているアプライアンスのユーザー インターフェースでスケジュール設定の構成もでき、同じ一元管
理構成のその他ノードでジョブを実行しました。
一元管理の構成
ネットワーク内の複数のアプライアンスの一元管理を構成し、共通設定のノードとして管理できます。
以下の高レベル手順を完了します。
タスク
1
ネットワーク内のアプライアンスのユーザー インターフェースで一元管理の構成を開始し、共通構成のノードと
して他の 1 つ以上のアプライアンスを追加します。
アプライアンスは、ノードとしてはデフォルトで一元管理構成に含まれていないため、すべての関連アクティビ
ティは管理者によって実行される必要があります。
これらすべてのアクティビティに対して、[構成]トップレベル メニューの[アプライアンス] タブのオプションで
作業します。
構成にノードを追加するには、少なくとも以下を構成する必要があります。
•
ノードとして追加するアプライアンスのホスト名または IP アドレス
•
ネットワーク ノード グループのノードのメンバーシップ
ノードの以下の設定も構成できます。
•
他のノードとの通信に使用される IP アドレスおよびポート
•
ランタイムおよび更新ノード グループのメンバーシップ
McAfee Web Gateway 7.5.0
製品ガイド
401
13
一元管理
一元管理構成にアプライアンスを追加
•
スケジュール設定されたジョブ
•
更新
構成にノードとして追加する他のアプライアンスに、これらのアクティビティを繰り返します。
2
一元管理構成の初期設定後、必要に応じてさらに構成アクティビティを実行します。
たとえば、以下の操作を実行できます。
•
構成ノードの一元管理の設定を確認し、変更する
構成のその他ノードのユーザー インターフェース上にあるノードの設定を確認および変更する
•
3
構成に 1 つ以上の新しいノードを追加する
変更を保存します。
一元管理構成にアプライアンスを追加
アプライアンスをノードとして一元管理構成に追加し、ネットワーク グループに割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーの[追加]をクリックします。
[アプライアンスの追加]ウィンドウが開きます。
3
[ホスト名または IP アドレス] フィールドで、ホスト名またはネットワーク内のその他のアプライアンスの IP ア
ドレスを入力します。
4
[ネットワーク グループ] リストから、アプライアンスのネットワーク グループを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、アプライアンス ツリーにアプライアンスが表示されます。
これで、作業するアプライアンスの一元管理構成のノードになり、追加を完了します。
一元管理設定の構成
一元管理設定を構成し、共通構成でノードとして複数のアプライアンスを管理できるようにします。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[一元管理]をクリックします。
一元管理設定が設定パネルに表示されます。
402
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
ノード グループにノードを割り当てる
13
ノード グループにノードを割り当てる
一元管理構成のノードのアプライアンスをを異なるタイプのノード グループに割り当て、異なる種類のデータ転送を
可能にします。
ランタイムまたは更新グループにノードを割り当てる手順も、ほとんど同じです。
ネットワーク グループの手順は、ノードが 1 つ以上のネットワーク グループのメンバーになる場合があるため、異
なります。
タスク
•
403 ページの「ランタイム グループにノードを割り当てる」
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられま
す。
•
404 ページの「更新グループにノードを割り当てる」
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
•
404 ページの「ネットワーク グループにノードを割り当てる」
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに
割り当てられます。
ランタイム グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとしてランタイム グループに割り当てるアプライアンスを選択し、[一元管理]
をクリックします。
3
[このノードは次のグループのメンバーです]セクションの[グループ ランタイム] フィールドで、ノードを割り当
てるランタイム グループの名前を入力します。
名前を入力したら、すべてを上書きします。これは、ランタイム グループのデフォルト名としてフィールドに表
示されます。
デフォルト名は、異なるランタイム グループで使用しないオプションを提供しますが、すべてのノードの 1 ラン
タイム グループのみあります。
デフォルトのすべてを削除し、名前を入力しない場合、名前として空の文字列のグループにノードを割り当てるこ
とになります。
4
同じランタイム グループにその他のノードを含むには、アプライアンス ツリーのこのノードを選択し、[一元管
理]を再度クリックして、[グループ ランタイム] フィールドに同じ名前を入力します。
同じランタイム グループに含むすべてのノードに、この手順を繰り返します。
5
[変更の保存]をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
403
13
一元管理
ノード グループにノードを割り当てる
更新グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして更新グループに割り当てるアプライアンスを選択し、[一元管理]をクリ
ックします。
3
[このノードは次のグループのメンバーです]セクションの[グループ更新]フィールドで、ノードを割り当てるラン
タイム グループの名前を入力します。
手順は、ランタイム グループにノードを割り当てるのと同じです。
また。グループにその他のノードを含み、ランタイム グループと同じ方法で続行します。
4
[変更の保存]をクリックします。
ネットワーク グループにノードを割り当てる
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに割り当てら
れます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして 1 つ以上のネットワーク グループに割り当てるアプライアンスを選択
し、[一元管理]をクリックします。
3
デフォルトのすべてグループ以外にノードをネットワーク グループに割り当てるには、[グループ ネットワーク]
インライン リストのツールバーの[追加]アイコンをクリックします。
デフォルト グループは、異なるネットワーク グループで使用しないオプションを提供しますが、すべてのノード
の 1 ネットワーク グループのみあります。
1 つ以上のネットワーク グループを持つ場合は、すべてグループを削除するか、名前を変更する必要があります。
[文字列の追加]ウィンドウが開きます。
4
新しいネットワーク グループを構成します。
a
[名前]フィールドで、ネットワーク グループ名を入力します。
b [オプション][コメント]フィールドで、ネットワーク グループの平文コメントを入力します。
c
[OK]をクリックします。
ウィンドウが閉じられ、新しいネットワーク グループが[グループ ネットワーク] インライン リストに表示
されます。
ノードがこのネットワーク グループのメンバーに追加されます。
[複数の追加]アイコンをクリックし、開いた[文字列の追加]ウィンドウで作業することで、複数のネットワーク
グループを 1 度に追加できます。
ウィンドウで、各自の新しい行を使用して、複数のグループ名を入力できます。
ウィンドウにはまた、同じコメントをすべてのグループに追加するか、異なるコメントを各グループに追加する
オプションもあります。
404
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
ベスト プラクティス - 集中管理構成でのノード グループの設定
5
13
同じネットワーク グループまたはグループにその他のノードを含むには、アプライアンス ツリーのこのノードを
選択し、[一元管理]を再度クリックして、[グループ ネットワーク] インライン リストに同じグループ名または名
前を入力します。
同じネットワーク グループまたはグループに含むすべてのノードに、この手順を繰り返します。
6
[変更の保存]をクリックします。
ベスト プラクティス - 集中管理構成でのノード グループの設定
集中管理構成では、ノードをノード グループに割り当て、ノード間の通信を異なる方法で行うことができます。
ノード グループには、物理的に異なる場所のノードを割り当てることもできます。
グループを設定する前に、次の条件を満たしているかどうか確認してください。
•
ネットワークに適切なルーターが構成され、ノード間の通信が可能になっている。
異なる場所のノードをファイアウォールで保護している場合、各ノードで設定されているポート (デフォルト ポ
ート: 12346) を使用してノード間の通信を行う必要があります。
•
時間が同期されている。同期されていないと、最新の構成になっているノードを確認するときに問題が発生しま
す。
各ノードで NTP サーバーの使用を設定して、同期が自動的に行われるようにしてください。この設定は、[構
成] トップレベル メニューの [日付と時刻] で行うことができます。
ネットワークで NTP サーバーを使用していない場合には、McAfee が提供するデフォルト サーバー
(ntp.webwasher.com) を設定できます。
•
ノードとして設定されているすべてのアプライアンスで、同じバージョン/ビルドの Web Gateway が実行され
ている。
小規模なサンプル構成
このサンプル構成では、2 つのノードが別々の場所 (東京とニューヨーク) に存在しています。いずれの場所でも、
ノードはランタイム、更新、ネットワークの固有のグループに割り当てられています。グループの種類に関わらず、
グループ名はそれぞれ tokyo と newyork に設定されています。
各場所の 1 つのノードが transit ネットワーク グループに割り当てられています。
以下の図はこの構成を表しています。
McAfee Web Gateway 7.5.0
製品ガイド
405
13
一元管理
ベスト プラクティス - 集中管理構成でのノード グループの設定
この構成では、次の処理が実行されます。
•
それぞれの場所に transit グループ ノードが存在するため、管理者が任意のノードで行ったポリシー変更は他の
すべてのノードに送信されます。これにより、すべてのノードで同じ Web セキュリティ ポリシーが適用されま
す。
transit ノードと transit 以外のノードは同じネットワーク グループに属しているため、ニューヨークの transit
以外のノードで行われた変更が transit ノードに送信されます。次に、この transit ノードから東京の transit
グループのノードに送信されます。
最後に、東京の transit ノードから東京の他のノードに変更が送信されます。
•
Web Gateway のモジュール (エンジン) のマルウェア対策と URL フィルタリング情報の更新は、同じ場所 (東
京またはニューヨーク) のノード間でのみ配布されます。
これにより、場所によるネットワーク構造の違いを考慮することができます。大量の更新ファイルをダウンロー
ドする可能性がある場合、この点は重要です。
たとえば、高速接続と LAN リンクが使用可能な場所のノードでは、これらの更新を共有できますが、低速の WAN
リンクの場所では、ノード間でこれらの更新を配布することはできません。
1 つの更新グループには同じ場所のノードだけを割り当てるようにしてください。
•
ユーザーのクォータ時間などのランタイム データは、同じ場所 (東京またはニューヨーク) のノード間でのみ配
布されます。
同じ場所のユーザーは Web アクセスを要求するときにローカル ノードに接続します。東京にいるユーザーのク
ォータの残り時間をニューヨークのノードに通知する必要はありません。
Web アクセスに対して、同じ場所のノードが異なるユーザー グループに割り当てられている場合、
これらのノードを異なるランタイム グループに設定すると、ノードでのオーバーヘッドを回避するこ
とができます。
大規模なサンプル構成
ノード数が 10 を超える場合には、ネットワーク グループに transit ノードを設定しません。大規模な場所の場合、
transit ネットワーク グループに複数のノードを設定する必要があります。
このサンプル構成では、東京に 22 のノードがあり、これを 2 つのネットワーク グループ (toknet1 と toknet2)
に分割しています。いずれのグループにも transit グループのメンバーであるノードが 1 つ含まれています。
ニューヨークには 18 のノードがあり、同じように構成されています。また、パーダーボルンには 9 のコードがあ
り、これらはすべて 1 つのネットワーク グループに属しています。このグループ内の 1 つのノードが transit グル
ープに設定されています。
406
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
ノードの同期を確認する
13
以下の図はこの構成を表しています。
ランタイムと更新のノード グループに関係なく、それぞれの場所にそれぞれのタイプが 1 つずつ存在します。
ポリシーの変更、マルウェア対策と URL フィルタリング情報の更新、ランタイム データの共有は、小規模のサンプ
ル構成と同じ方法で処理されます。
ノードの同期を確認する
ユーザー インターフェースには、他の全般情報と一緒に、集中管理構成の各ノードのタイムスタンプが表示されま
す。これにより、すべてのノードが同期されているかどうか確認することができます。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、[アプライアンス (クラスター)] を選択します。
設定ペインに、構成のステータスと全般情報、構成内のノードが表示されます。
[アプライアンス情報] に、各ノードの情報が 1 行で表示されます。タイムスタンプは各行の最後に表示されま
す。
3
すべてのノードのタイムスタンプを比較します。
すべてのノードで一致している場合には、集中管理構成が同期されています。
スケジュール設定されたジョブを追加
スケジュール設定されたジョブをアプライアンスのリストに追加し、構成したタイム スケジュールに従って実行でき
ます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、スケジュール設定されたジョブを追加するアプライアンスを選択し、[一元管理]をク
リックします。
McAfee Web Gateway 7.5.0
製品ガイド
407
13
一元管理
一元管理構成でのアプライアンス ソフトウェアの更新
3
設定パネルで、[詳細スケジュール設定ジョブ]を展開します。
スケジュール設定ジョブ リストがが表示されます。
4
リスト上のツールバーの[追加]をクリックします。
[スケジュール設定ジョブの追加]ウィンドウが開きます。
5
スケジュール設定ジョブの設定を構成します。
6
[OK]をクリックします。
ウィンドウが閉じ、新しいスケジュール設定ジョブがジョブ リストに表示されます。
7
[変更の保存]をクリックします。
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理構成のノードでアプライアンス ソフトウェアを更新するためには、最後に更新するノードの 1 つのユーザ
ー インターフェースから更新手順を実行できます。
開始する前に
現在の設定のバックアップを作成していることを確認します。
タスク
1
更新する製品バージョンのリポジトリを構成内のノードにあるアプライアンスにインストールします。
a
SSH を使用してシステム コンソールからアプライアンスにログオンします。
b
以下のコマンドを実行します。
yum install yumconf-<version number>-mwg
yumconf-<version number>-mwg はリポジトリーの名前です。バージョン番号の桁はドットで区切る必
要があります。
2
この構成の 1 つのアプライアンスのユーザー インターフェースにログオンします。
3
[構成] 、 [アプライアンス]を選択します。
アプライアンス ツリーで、ログインしたアプライアンス以外のものを選択します。
4
408
作業中のアプライアンスを除き、アプライアンス ツリーの各アプライアンスを更新します。
a
アプライアンス ツリーでアプライアンスを選択します。
b
設定ペインの上にあるツール バーで、[アプライアンス ソフトウェアの更新] をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
一元管理設定
5
13
構成内のノードにある作業中以外のすべてのアプライアンスで更新が実行されたら、作業中のアプライアンスで
更新を実行します。
a
アプライアンス ツリーのアプライアンスを選択します。
b
[アプライアンス ソフトウェアの更新]をクリックします。
構成のノードが、一部のノードが複数のグループのメンバーになっているときに、別のネットワーク
グループに割り当てられる場合、以下のように行うことを推奨します。
•
複数のメンバーシップをもつノードの 1 つから、更新手続きを実行します。
•
手続きの最後に、複数のメンバーシップをもつその他のノードを更新します。
•
最後に操作したノードを更新します。
たとえば、ノード 1、2、3、4 をもつネットワーク グループ A およびノード 3、4、5、6 をもつネ
ットワーク グループ B をもつ場合、ノード 3 または 4 を選択して、更新手順を実行してください。
最初にノード 1、2、5、6 を更新してから、4 (手順を実行するために 3 を選択した場合) を更新し、
最後に 3 を更新します。
アプライアンス ソフトウェアが更新されます。
一元管理設定
一元管理設定は、一般構成のノードとして管理するアプライアンスの構成に使用されます。
一元管理設定
一元管理構成でのノードの基本通信パラメーターの設定
表 13-1 一元管理設定
オプション
定義
[一元管理通信のこのノードの IP
アドレスおよびポート]
一元管理構成でその他ノードとの通信に使用するノードである IP アドレス
およびポート番号を入力するためのリストを提供します。
[その他のノードへメッセージを配
信するタイムアウト]
その他のノードが現在のノードからメッセージに応答できる時間(秒)を指定
値に制限します。
時間範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
以下の表は、IP アドレスおよびポート リストのエントリの要素を説明しています。
表 13-2 IP アドレスおよびポート – リスト エントリ
オプション
定義
[文字列]
ノードの IP アドレスおよびポート番号を指定します。
[コメント]
IP アドレスおよびポート番号の平文コメントを提供します。
詳細管理設定
一元管理構成の詳細管理設定
McAfee Web Gateway 7.5.0
製品ガイド
409
13
一元管理
一元管理設定
表 13-3 詳細管理設定
オプション
定義
[複数のノードへ配信 [一元管理設定]セクションのその他のノードへメッセージを配信するタイムアウトで構成さ
するときのタイムア れた時間間隔を増加させる係数を設定します。
ウトの乗算]
時間間隔を増加させることは、1 つのノードからその他まで、そこから次のノードなどまで
メッセージを処理する時間をより多く提供します。。
間隔は 1 ~ 2 の値ずつ長くすることが可能です。
値は、スライダーのスケールで設定されます。
[ノードの優先順位]
ノード グループ内で取得するノードの優先順位を設定します。
最高優先順位は 1 です。
ノードの構成データは、その他ノードとこれ以上同期しません。たとえば、ノードが少しの
間ダウンしたため、ノードが最高優先順位のノードからもっとも最近の構成データを受け取
るなどです。
これを意図していない場合は、すべてのノードが同じ優先順位で、推奨されている設定であ
ることを確認します。
ノードの優先順位は 1 から 100 の範囲です。
スライダーのスケールに設定されます。
[GUI サーバーにこ
のノードの添付を許
可]
選択されると、サーバーは追加のユーザー インターフェースをアプライアンスに提供し、ノ
ードに接続できます。
[非ローカル ホスト
選択されると、現在のノードで実行していない追加のユーザー インターフェースを備えたサ
からの GUI サーバー ーバーは、ノードに接続できます。
の接続を許可する]
[GUI コントロール
アドレス]
現在のノードに接続するために使用する追加ユーザー インターフェースの IP アドレスお
よびポート番号を指定します。
[GUI 要求アドレス]
要求を送信するときに使用されるこのサーバーの IP アドレスおよびポート番号を指定しま
す。
[暗号化されていない 選択すると、構成内でこのノードから他のノードに送信されるメッセージが暗号化されませ
他のノードへの接続] ん。
しかし、証明書を使用した認証は実行されています。
[その他のノードの
選択されると、構成でこのノードからその他のノードにメッセージを送信するとき IP アド
IP の確認を有効にす レスを確認できます
る]
この機能で Web セキュリティは強化されますが、NAT セットアップなど、いくつかのネッ
トワーク セットアップの問題を引き起こす可能性があります。
410
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
一元管理設定
13
表 13-3 詳細管理設定 (続き)
オプション
定義
[時間の差異を許可]
構成の変更を受け入れることを許可する時間の差異(秒)を指定値に制限します。
秒数の範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
[その他のノードのバ 選択されると、構成の変更がノード間に配布される前に、アプライアンス ソフトウェアのバ
ージョンの確認を有 ージョンが確認されます。
効にする]
このノードのアプライアンス ソフトウェアのバージョンが、変更を配布するノードのバージ
ョンと一致しない場合、構成の変更はノードに配布されません。
• [バージョン確認のレベル ]— 更新バージョンを確認するときの徹底レベルを設定しま
す。
レベルはスライダーのスケールに設定されます。次の値を選択できます。
• 1 - メジャー バージョン ナンバーのみ(7.3.0 の 7)が一致する必要があります。
• 2 - マイナー バージョン ナンバー(7.3.0 の 3)が一致する必要があります。
• 3 - フィーチャー バージョン ナンバー(7.3.0 の 0)が一致する必要があります。
• 4 - メンテナンス バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 1)も一致する必
要があります。
• 5 - Hotfix バージョン ナンバー(適宜、たとえば 7.3.0.1.2 の 2)も一致する必要があ
ります。
• 6 - ビルド ナンバー(たとえば 14379)も一致する必要があります。
このノードは次のグループのメンバーです
ノードをグループ内のノードに含める設定
表 13-4 このノードは次のグループのメンバーです
オプション
定義
[グループ ランタイ
ム]
ランタイム データをグループ内のすべてのノードと共有できるノードのグループ、たとえ
ば、時間のクォータを判別します。
[グループ更新]
更新をグループ内すべてのノードと共有できるノードのグループを判別します。
[グループ ネットワー
ク]
グループ内のその他すべてのノードに直ちに接続できるノードのグループを判別します。
ノードは複数のネットワーク グループのメンバーになれます。
この場合ノードは、このノードもメンバーである別のグループのノードにこのノードを通
して接続できるメンバーである 1 つのノードのグループです。
ノードがメンバーであるすべてのグループはグループ ネットワーク リストにリストされ
ています。
以下の表は、グループ ネットワーク リストのリスト エントリの要素を説明しています。
表 13-5 グループ ネットワーク – リスト エントリ
オプション
定義
[文字列]
ネットワーク ノード グループの名前を指定します。
[コメント]
ネットワーク ノード グループの平文コメントを提供します。
McAfee Web Gateway 7.5.0
製品ガイド
411
13
一元管理
一元管理設定
自動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の自動更新をスケジュール設定する設定
表 13-6 自動エンジン更新
オプション
定義
[自動更新を有効にする] 選択されると、データベース情報が自動的に更新されます。
[インターネットからの
更新のダウンロードを
許可する]
選択されると、データベース更新がインターネットからダウンロードされます。
[その他ノードからの更
新のダウンロードを許
可する]
選択されると、データベース更新が一元管理構成のその他ノードからダウンロードされま
す。
[更新間隔]
データベース情報が再び更新される前に経過する時間(分)を指定値に制限します。
時間はスライダーのスケールに設定されます。
許可されている値の範囲は 15 ~ 360 です。
[CRL 更新間隔]
フィルタリング SSL セキュア Web トラフィックに使用される証明失効リストが更新さ
れる前に経過する時間(分)を指定値に制限します。
この更新はその他の更新とは異なる方法を使用するため別々に構成される必要がありま
す。
時間はスライダーのスケールに設定されます
許可されている値の範囲は 3 ~ 168 です。
[更新プロキシを有効に
する]
選択した場合、プロキシ サーバーは更新されたデータベース情報のルーティングに使用
されます。
[プロキシの更新(フェー 更新されたデータベース情報のルーティングに使用するプロキシ サーバーを入力するた
ルオーバー)]
めのリストを提供します。
プロキシ サーバーはフェールオーバー モードで使用されます。リストの最初のサーバ
ーが最初に試行され、構成されたタイムアウトが経過した場合のみ次のサーバーが試行さ
れます。
以下の表は、更新プロキシ リストのエントリの要素を説明しています。
表 13-7 更新プロキシ – リスト エントリ
オプション
定義
[ホスト]
ルーティング更新のプロキシとして使用されるサーバーのホスト名または IP アドレスを指定しま
す。
[ポート]
更新要求をリスンするプロキシのポートを指定します。
[ユーザー]
ルーティング更新のためプロキシへのアクセスが許可されたユーザーのユーザー名を指定します。
[パスワード] このユーザーのパスワードを設定します。
コメント
プロキシの平文テキストのコメントを提供します。
詳細な更新設定
詳細更新機能の設定
412
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
一元管理設定
13
表 13-8 詳細な更新設定
オプション
定義
[その他ノードへの更新のアッ
プロードを許可する]
選択されると、更新されたデータベース情報が、アプライアンス(一元管理構成の
ノードとして)から他のノードへアップロードされます。
[初めて更新を開始するとき
更新が開始される前に経過する時間(秒)を指定値に制限します。
は、開始する前に適切な時間待
5 から 1200 までの値を使用できます。
つ]
[1 回目の自動更新の開始時、
更新の起動間隔を使用する]
自動更新を最初に開始する試行間に経過する時間(秒)を指定値に制限します。
更新中、更新された情報をアプライアンスに保管するコーディネーター サブシス
テムは、この情報を使用するモジュールのあるアプライアンス コアへ接続を試み
ます。
この間隔に対しての低い値は、コアがデータを受信する準備ができるまでの待ち時
間を短縮できるため、更新をスピード アップできます。
5 から 600 までの値を使用できます。
[起動間隔を使って更新する]
更新を開始したときにアプライアンスが行った試行の数(1 から 9)を指定値に制
限します。
[代替 URL を使用]
デフォルト サーバーの代わりに使用される更新 サーバーの URL を指定します。
[SSL トンネルを確認する]
選択されると、 SSL セキュア通信の更新 サーバーが確認されたことで、証明書が
ノードに送信されます。
[更新サーバーの特別なカスタ URL フィルタリング情報のアップデートは、ここに入力されている URL で指定さ
マー パラメーター シーケンス れた URL フィルター データベース サーバーから取得されます。
を入力する]
[定義された時間枠で更新され
ない]
データベース情報が更新されない間の毎日のタイム スロットを入力するためのリ
ストを提供します。
以下の表は、タイム スロット リストのエントリの要素を説明しています。
表 13-9 タイム スロット – リスト エントリ
オプション
定義
[タイム スロットの開始(時間)]
毎日のタイム スロットを開始する時間を設定します。
[タイム スロットの開始(分)]
毎日のタイム スロットを開始する分を設定します。
[タイム スロットの開始(秒)]
毎日のタイム スロットを開始する秒を設定します。
[タイム スロットの終了(時間)]
毎日のタイム スロットを終了する時間を設定します。
[タイム スロットの終了(分)]
毎日のタイム スロットを終了する分を設定します。
[タイム スロットの終了(秒)]
毎日のタイム スロットを終了する秒を設定します。
コメント
タイム スロットの平文テキストのコメントを提供します。
詳細な契約リスト設定
詳細な契約リスト機能の設定
McAfee Web Gateway 7.5.0
製品ガイド
413
13
一元管理
一元管理設定
表 13-10 詳細な契約リスト設定
オプション
定義
[顧客の契約リストの
ダウンロードを許可す
る]
選択されると、顧客契約リストが現在のアプライアンスからダウンロードできます。
アプライアンすが一元管理構成のノードであり、このオプションが他のノードでも選択さ
れている場合、ノードの 1 つがリストをダウンロードします。
特定のノードをリストにダウンロードする場合、他のすべてのノードのオプションが選択
解除されていることを確認する必要があります。
ノードが再起動され、1 つ以上の契約リストがこのノードで構成されている場合、リスト
コンテンツがダウンロードされ、有効な構成を確認します。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
ノードが契約リストが構成された他のノードとともに追加されるとき、リスト コンテンツ
が新しいノードのこれらのリストにダウンロードされます。
内部トラフィックを軽減するため、他のノードとの優先的な通信がなくダウンロードが実
行されます。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
手動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の手動更新を実行する設定
表 13-11 手動エンジン更新
オプション
定義
[手動エンジン更新] フィルター処理で使用されているモジュールのデータベース情報をすぐに更新します。
データベース情報は、現在作業しているアプライアンスのモジュールにのみ更新されます。
処理保管構成ファイル
ディスクの構成ファイル フォルダーの保管設定
表 13-12 処理保管構成ファイル
オプション
定義
[最小限の時間で保管され
た構成フォルダーを維持]
構成ファイル フォルダーがディスクに保管される最低限の時間(日数)を指定値に制
限します。
日数の範囲は 1 秒から 100 秒です。
[最小限の構成フォルダー
数を維持]
いつでもディスクに保管できる最小限の構成ファイル フォルダー数を指定値に制限し
ます。
数の範囲は 1 から 100 です。
[最小限の圧縮フォルダー
数を維持]
いつでもディスクに保管できる最小限の圧縮構成ファイル フォルダー数を指定値に制
限します。
ディスクでそれらを保管するために構成された最小限の時間が経過したとき、構成フォ
ルダーは圧縮されます。そして常にディスクに保管している最小限のフォルダー数は、
圧縮されないでいると超過してしまいます。
フォルダー数の範囲は 1 から 100 です。
414
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
一元管理設定
13
詳細スケジュール設定ジョブ
スケジュール設定ジョブの設定
表 13-13 詳細スケジュール設定ジョブ
オプション
定義
[ジョブ リスト]
スケジュール設定ジョブ リストを提供します。
以下の表はリスト エントリの要素を説明しています。
表 13-14 ジョブ リスト エントリ
オプション
定義
[ジョブの開始]
スケジュール設定ジョブを開始する時間の設定、たとえば、時間別、日別、
1 回を指定します。
[オリジナルのスケジュールで開始し オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジ
なかった場合、直ちにジョブを開始し ュール設定ジョブが直ちに開始されます。
ます]
[ジョブ]
ジョブのタイプ、たとえば、バックアップ構成を指定します。
[固有のジョブ ID]
スケジュール設定されたジョブを識別します。
[このジョブが ID でジョブの実行を
終了したとき]
このジョブの後に直ちに実行するジョブの ID を提供します。
コメント
スケジュール設定ジョブの平文テキストのコメントを提供します。
スケジュール設定ジョブ ウィンドウの追加
スケジュール設定ジョブの追加のウィンドウの設定
•
時間設定 - スケジュール設定ジョブの開始時間の設定
•
ジョブの設定 - スケジュール設定ジョブのタイプと ID の設定
•
パラメーターの設定 - スケジュール設定ジョブの追加パラメーターの設定
これらの設定は各ジョブ タイプによって以下のように異なります:
•
(構成のバックアップの設定) - アプライアンス構成のバックアップを作成するスケジュール設定ジョブの設
定
•
(バックアップの復元の設定) - アプライアンス構成のバックアップを復元するスケジュール設定ジョブの設
定
•
(ファイルのアップロードの設定) - HTTP または HTTPS プロトコルで外部サーバーにファイルをアップロ
ードするスケジュール設定ジョブの設定
•
(ファイルのダウンロードの設定) - HTTP または HTTPS プロトコルでアプライアンスにファイルをダウン
ロードするスケジュール設定ジョブの設定
yum 更新を実行するスケジュール設定ジョブに対して追加のパラメーター設定があります。
McAfee Web Gateway 7.5.0
製品ガイド
415
13
一元管理
一元管理設定
表 13-15 時間の設定
オプション
定義
[ジョブの開始]
時間設定を選択することができます。
(時間パラメータ
ーの設定)
• [時間別] — 毎時間スケジュール設定ジ
ョブを開始します。
• [月別] — スケジュール設定ジョブを 1
か月に 1 回開始します。
• [日別] - スケジュール設定ジョブを 1
日に 1 回開始します。
• [1 回] — 1 回のみスケジュール設定ジ
ョブを開始します。
• [週別] — スケジュール設定ジョブを 1
週間に 1 回開始します。
• [その他のジョブによる有効化] — その
他のジョブが完了した後にスケジュール
設定ジョブを開始します。
時間設定のパラメーターを指定する設定。例:時間別に実行されるジョブのスケジュール設定が
開始されるときの 1 時間内の分
どのパラメーター設定が選択された時間設定によって表示されますか。
例:時間別を選択した場合、時間内で分を構成できますが、月内で日は構成できません。
[オリジナルのス
ケジュールで開始
しなかった場合、
直ちにジョブを開
始します]
• [分] - 分を設定します。
• [曜日の入力] - 曜日を設定します。
• [時間] - 時間を設定します。
• [月] — 月を設定します。1 から 12 の
数字で指定します。
• [日にち] - 日にちを設定します。
• [年] - 年を 4 桁で設定します。
選択されると、オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジュー
ル設定ジョブが直ちに開始されます。
このケースの場合は、例えば、アプライアンスが負荷がかかりすぎたため一時的にシャットダウ
ンし、ダウンタイム中にジョブがスケジュールを実行したときなどです。
ジョブはアプライアンスが再びアップされてからすぐに実行されます。
表 13-16 ジョブ設定
オプション
定義
[ジョブ]
スケジュール設定されたジョブのタイプを選択できます。
• [構成のバックアップ] — アプライアンス構成のバックアップを作成します。
• [バックアップの復元] — アプライアンス構成のバックアップを復元します。
• [ファイルのアップロード] — HTTP または HTTPS プロトコルでファイルを外部サーバーに
アップロードします。
• [ファイルのダウンロード] — HTTP または HTTPS プロトコルでファイルをアプライアンス
にダウンロードします。
• [Yum の更新] — アプライアンス構成で yum 更新を実行します
このタイプのスケジュール設定ジョブは、アプライアンスが FIPS 対応モードで実行している場
合に利用できません。
416
[固有のジョブ
ID]
スケジュール設定されたジョブを識別します。
[ジョブ説明]
標準テキスト形式でのスケジュール設定ジョブのオプション説明を提供します。
ここに入力する文字は大文字と小文字が区別されます。
McAfee Web Gateway 7.5.0
製品ガイド
一元管理
一元管理設定
13
表 13-16 ジョブ設定 (続き)
オプション
定義
[このジョブが ここで構成したジョブを完了した後、直ちに実行するスケジュール設定ジョブの ID を提供しま
ID でジョブの す。
実行を終了した
このジョブに、[その他のジョブによって有効化]時間設定を構成する必要があります。
とき]
[リモート ノー スケジュール設定されたジョブを実行する構成の他のノードのリストを提供します。
ドでジョブを実
リストは他のノードのホスト名を表示します。
行する]
このアプライアンスで構成するスケジュール設定ジョブは、選択されたノードの時間およびパラ
メーターで実行されます。
メッセージはその他のノードに送信され、スケジュール設定ジョブについて通知します。
表 13-17 パラメーター設定 – バックアップ構成
オプション
定義
[一番最近の構成 選択されると、スケジュール設定されたジョブは、もっとも最近のアプライアンス構成からバッ
を使用する]
クアップを作成します。
形式:|<path name>/<file name with extension>
[バックアップ構 バックアップに使用される必要がある構成が保管されている場所のフォルダーへのパス名を提
成パス]
供します。
形式:/opt/mwg/storage/default/configfolder
[一番最近の構成を使用する]が選択解除された場合、この設定のみ利用できます。
[パスの構成を保 バックアップ構成のパスおよびファイル名を指定します。
存する]
形式:/<path name>/<file name with file name extension>
フォルダーにデータを書き込める所有者にアプライアンスを作成して、バックアップ構成を保管
するフォルダーに対しユーザー権限を設定する必要があります。
コマンド ラインが提供され、例えば、シリアル コンソールによって、適切なコマンド実行し、
フォルダーを作成または既存のフォルダーの権利を変更します。
表 13-18 パラメーター設定 – バックアップ復元
オプション
定義
[ファイルからバッ バックアップの復元に使用されるファイルのパスおよびファイル名を指定します。
クアップを復元す
形式:|<path name>/<file name with extension>
る]
[ポリシーのみ復
元]
選択されると、スケジュール設定ジョブはアプライアンスで実行された Web セキュリティ ポ
リシーに関連した設定のみバックアップします
その他の設定。例:アプライアンスのネットワークへの接続に必要な設定は復元しません。
[復元中のロック保 選択されると、スケジュール設定ジョブがバックアップ構成を完全に復元するまで他のファイ
ルはアプライアンスに保管できません
管]
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
McAfee Web Gateway 7.5.0
製品ガイド
417
13
一元管理
一元管理設定
表 13-19 パラメーター設定 – ファイルのアップロード
オプション
定義
[アップロードするフ アップロードするファイルのパスおよびファイル名を指定します。
ァイル]
形式:|<path name>/<file name with extension>
[ファイルをアップロ HTTP または HTTPS プロトコルでファイルをアップロードするサーバーのパス名およびサ
ードする送信先]
ーバーにファイルを保管するファイル名を指定します。
形式:http|https://<URL>/<file name with extension>
[基本認証を有効にす 選択されると、ファイルをアップロードするために基本認証が必要になります。
る]
[ユーザー名]
基本認証に送信するユーザー名を設定します。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
表 13-20 パラメーター設定 – ファイルのダウンロード
オプション
定義
[ダウンロードする
URL]
HTTP または HTTPS プロトコルでダウンロードされたファイルの場所の URL およびフ
ァイル名を指定します。
形式:http|https://<URL>/<file name with extension>
[ダウンロードしたフ
ァイルを保存する]
ダウンロードしたファイルを保管した場所のパスおよび保存するファイルの名前を指定し
ます。
形式:|<path name>/<file name with extension>
[基本認証を有効にす
る]
選択されると、ファイルをダウンロードするために基本認証が必要になります。
[ユーザー名]
基本認証に送信するユーザー名を設定します。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
[パスワード]
基本認証に送信するパスワードを設定します。
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します。
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが
開き、[設定]ボタンが[変更]ボタンに代わります。
この設定は基本認証を有効化が選択された場合のみ利用できます。
418
McAfee Web Gateway 7.5.0
製品ガイド
14
クラウド シングル サインオン
Web Gateway のサービスであるクラウド シングル サインオン (SSO) を使用すると、組織内のエンドユーザーは、
認証情報を 1 回入力するだけで、クラウド上の複数のサービスとアプリケーションにアクセスできます。 SSO サー
ビスは、SSO モジュールによって実装されています。
クラウド シングル サインオンの説明では、特に断りのない限り、以下のように用語を使用します。
•
クラウド サービスとクラウド アプリケーションは同じ意味で使用しています。
•
ユーザーは、祖組織内でクラウド サービスとアプリケーションにアクセスするエンドユーザーを意味します。 ユ
ーザーは、Web Gateway のランチパッドを使用して認証情報を送信し、アプリケーションを起動してアカウン
トの管理を行います。
•
ユーザー インターフェースは、管理者が SSO サービスを設定する Web Gateway のユーザー インターフェー
スを意味します。
目次
クラウド シングル サインオンの設置方法
プロキシ モードと非プロキシ モードでの SSO プロセス
対応する認証方法
SSO データソース
サポートされるクラウド サービスの SSO カタログ
SSO コネクター リスト
HTTP クラウド アプリケーションへの SSO サービスの提供
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
.NET と Java Web アプリケーションへの SSO サービスの提供
エンドユーザーによるアプリケーション ランチパッドの使用
クラウド サービスのブックマークの作成
ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング
シングル サインオン ルール セットのサマリー
クラウド シングル サインオン設定のキー要素
シングル サインオン ルール セットのリファレンス
シングル サインオンのリストと設定
SSO 問題の解決
McAfee Web Gateway 7.5.0
製品ガイド
419
14
クラウド シングル サインオン
クラウド シングル サインオンの設置方法
クラウド シングル サインオンの設置方法
クラウド サービスとアプリケーションに対する SSO アクセスを設定するには、次の作業を行います。
SSO タスクを実行するには、ルール セット ライブラリからシングル サインオン ルール セットをインポートする必
要があります。 すべての作業で、シングル サインオン ルール セットのキー要素ビューに表示されたデフォルト ル
ール、設定、リストを使用できます。 ルール セットを構成するルールを確認して固有のルール、設定、リストを作
成するには、キー要素ビューのロックを解除します。
タスク
1
ユーザーの認証方法を設定します。
2
ルール セット ライブラリからシングル サインオン ルール セットをインポートし、ルールを設定します。
シングル サインオン ルール セットは、クラウド サービス ルール セット グループにあります。キー要素ビューで
ルールを設定できます。また、[ビューのロック解除] をクリックして詳細を表示し、独自のルールを作成できま
す。
3
SSO モジュールのシングル サインオンを設定します。これにより、SSO ルール セットの SSO プロパティとイ
ベントから値とパラメーターが取得されます。SSO モジュールでは、Default という名前のデフォルトの設定
が用意されています。SSO ルールで、これらの設定を必要とするプロパティとイベントは、<Default> という
評価でこれらの情報を参照します。デフォルトの設定を変更したり、新しい設定を作成できます。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォルト] の
順に選択します。
4
SAML と IceToken クラウド サービスにシングル サインオンを行う場合には、X.509 証明書と秘密鍵のペアを
設定します。
これらの設定を検索するには、 [ポリシー] 、 [設定] 、 [エンジン] の順に選択し、[SSO 証明書] または [SSO
秘密鍵] を選択します。
5
シングル サインオン リストを使用すると、テンプレートからカスタム クラウド コネクターを設定できます。ま
た、ユーザーがアクセスを許可されているクラウド サーバーのコネクター リストも設定できます。
•
[SSO ホストとサービス ID の関連付け] - (オプション) 覚えやすい名前 (ホスト名) と設定済みのカスタ
ム コネクターのサービス ID を関連付けます。
このリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [マップ タイプ] の順に選択し
ます。
•
[SSO コネクター] - ユーザーにアクセスを許可するサービスのコネクター リストを設定できます。 SSO
サービスに付属のデフォルト リストにコネクターを追加したり、独自のリストを作成して設定することもで
きます。
SSO サービス リストを検索するには、 [ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [SSO コネクター]
の順に選択します。
•
[SSO カタログ] - 事前定義のコネクターとテンプレートから設定されたカスタム テンプレートを表示でき
ます。テンプレートから新しいコネクターを設定して、カスタム コネクター リストに表示できます。
カタログを使用するには、[ポリシー] 、 [リスト] 、 [システム リスト] の順に選択します。
420
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
プロキシ モードと非プロキシ モードでの SSO プロセス
6
14
すべてのランチパッド通信を HTTPS プロトコルで保護することをお勧めします。 保護するには、SSL 保護通信
の証明書を処理する CA 以外の SSL クライアント コンテキスト モジュールで使用されるランチパッド証明書
を設定します。
キー要素ビューで ランチパッドの証明書を検索するには、SSL スキャナーの設定を検索して [編集] をクリックし
ます。
7
Web Gateway とクラウド サービス間の接続を HTTPS プロトコルで保護するには、SSL スキャナー モジュー
ルを設定します。 プロキシ モードの場合、この手順は必須です。
8
クラウド サービスへの SSO で OTP 認証を行う場合には、OTP 認証を有効にして OTP サーバーの設定を行い、
OTP の配布方法を選択します。OTP 認証を行うサービスのコネクター リストを設定します。
この設定を検索するには、キー要素ビューで OTP の使用 (ワンタイム パスワード) を確認します。
9
変更を保存します。
プロキシ モードと非プロキシ モードでの SSO プロセス
SSO プロセスの手順は、ユーザーの認証情報がクラウド アプリケーションに直接送信されるのか (非プロキシ モー
ド)、Web Gateway 経由で送信されるのか (プロキシ モードまたはインライン モード) によって異なります。
Web Gateway はプロキシ モードまたは非プロキシ モードでユーザーの認証を行い、ランチパッドを表示します。
ランチパッドには、ユーザーがアクセス可能なクラウド アプリケーションのアイコンが表示されます。 ユーザーか
ら見ると、どちらのモードでも SSO プロセスは同じです。
1
ユーザーが Web Gateway クライアントの Web ブラウザーを使用してランチパッドを要求します。
2
ユーザーが認証されると、Web Gateway がランチパッドを送信します。
3
アプリケーションを開始するには、ランチパッドにあるアプリケーションのアイコンをクリックします。
4
Web Gateway がユーザーにログオン フォームを送信します。
5
初めてアクセスを要求する場合、ユーザーは認証情報を入力するように指示されます。入力した情報が Web
Gateway に送信されます。 2 回目以降は、ユーザーが Web Gateway に送信した認証情報がログイン フォー
ムに自動的に挿入されます。
6
認証情報が有効な場合、クラウド アプリケーションに対する SSO アクセスがユーザーに許可されます。
プロキシ モード
Web Gateway
McAfee Web Gateway 7.5.0
製品ガイド
421
14
クラウド シングル サインオン
プロキシ モードと非プロキシ モードでの SSO プロセス
プロキシ モードの場合、Web Gateway がユーザーの認証情報をクラウド アプリケーションに転送します。
図 14-1 プロキシ モードでのシングル サインオン
プロキシ モードでシングル サインオンを実行すると、Web Gateway は非プロキシ モードでは使用できない機能を
提供します。
•
動的なクラウド アプリケーション - Web Gateway は、ログオン ページに JavaScript を追加してログオン ペ
ージ情報を動的に提供する HTTP クラウド アプリケーション (DropBox など) に対応しています。 JavaScript
がページのフィールドに情報を入力します。
•
暗号化されたパスワード - パスワードは暗号化され、クライアント コンピューターに表示されません。
非プロキシ モード
非プロキシ モードの場合、ユーザーのブラウザーが認証情報をクラウド アプリケーションに転送します。
図 14-2 非プロキシ モードでのシングル サインオン
非プロキシ モードでシングル サインオンを実行する場合、Web Gateway は Web サーバーとして機能します。
DNS と SSO の設定を行うときに、ホスト名の代わりに Web Gateway アプライアンスの IP アドレスを使用する必
要があります。
422
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
対応する認証方法
14
対応する認証方法
一般に、それぞれのクラウド サービスまたはアプリケーションは、1 つの認証方法でエンド ユーザーのログオンを
処理します。
Web Gateway は、HTTP または SAML 2.0 認証を使用するクラウド アプリケーションに SSO サービスを提供し
ます。 Web Gateway は、IceToken というカスタム トークンによる専用の認証方法を使用するクラウド アプリ
ケーションにも SSO サービスを提供します。
Web Gateway は、個別のクラウド コネクターを使用して、多くの HTTP と SAML 2.0 クラウド アプリケーショ
ンに対応しています。 Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションに接続し、
識別情報と SSO サービスを提供します。 Web Gateway には、完全に設定された事前定義のクラウド コネクター
が用意されています。 クラウド コネクターのテンプレートは部分的に設定されています。使用する前に設定の一部
を変更する必要があります。
SSO データソース
Web Gateway がエンドユーザーの認証情報または情報を取得するデータソースは、シングル サイオンが HTTP サ
ービスか SAML サービスかによって異なります。
•
HTTP サービス - ユーザー名とパスワードを要求する HTTP サービスの場合、Web Gateway は マカフィー
Attribute Store (MAS) を使用します。
MAS は、HTTP サービスが必要とするユーザー名やパスワードなどの認証情報を格納するセキュアなデータベー
スです。 HTTP サービスにアクセスするユーザーは、このデータベースで認証を受ける必要があります。 MAS
は、Web Gateway と一緒にインストールされ、設定されます。ユーザー インターフェースで設定を行う必要は
ありません。
•
SAML サービス - SAML サービスのユーザー情報は、LDAP ディレクトリや Web サービスなど、不複数の外
部ソースから取得できます。 SAML のシングル サインオンの場合、Web Gateway は Common Federation
Module (CFM) を使用します。
CFM は、ユーザーと要求された SAML サービスの情報を使用して、ユーザーの身元を証明する SAML アサーシ
ョンを生成します。 CFM は、Web Gateway と一緒にインストールされ、設定されます。ユーザー インターフ
ェースで設定を行う必要はありません。
サポートされるクラウド サービスの SSO カタログ
SSO カタログは、Web Gateway がサポートするすべてのクラウド サービス、事前定義のコネクター、コネクタ
ー テンプレートから構成されます。 SSO カタログには、管理者がテンプレートから設定したコネクターも含まれま
す。
Web Gateway は、クラウド コネクターを使用してクラウド サービスまたはアプリケーションに接続し、識別情報
と SSO サービスを提供します。 設定済みのコネクターはファイルに保存されます。次のような情報が記録されま
す。
•
クラウド サービスに関する情報 (名前、カテゴリなど)
•
SSO プロセスに必要な URL
•
ログオン フォームを含むページ
•
ランチパッドの生成に使用するデータ
McAfee Web Gateway 7.5.0
製品ガイド
423
14
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
SSO カタログの表示
SSO カタログは、事前定義のコネクターとコネクター テンプレートから構成されます。このテンプレートから設定
したカスタム コネクターも含まれます。
SSO カタログを表示するには、次のオプションがあります。
•
Web Gateway ユーザー インターフェース
• 『SSO カタログ - サポートされるクラウド アプリケーションとサービス』 (テクニカル ノート)
Web Gateway ユーザー インターフェース
ユーザー インターフェースには、SSO カタログの最新情報が表示されます。 カタログを構成する事前定義のコネク
ター、コネクター テンプレート、テンプレートから設定したカスタム コネクターがすべて表示されます。
SSO カタログは月に 2 回更新されます。 変更は更新サーバーから配信されます。 新しいコネクターが追加され、
可能であれば、壊れたコネクターが修正されます。 サポート対象外になったコネクターはユーザー インターフェー
スで強調表示され、説明が付きます。
ユーザー インターフェースに事前定義のコネクターとカスタム コネクターを表示するには、 [ポリシー] 、 [リス
ト] の順に選択します。 [リスト] ツリーで、 [システム リスト] 、 [SSO カタログ] の順に展開します。
•
[事前定義のコネクター] - Web Gateway で事前に設定されたコネクターです。SSO カタログで選択するだけ
で使用できます。
•
[カスタム コネクター] - 組み込みのテンプレートを使用して設定したコネクターです。 SSO カタログに追加
して選択する前にコネクターを設定する必要があります。
ユーザー インターフェースにコネクター テンプレートを表示するには、 [ポリシー] 、 [リスト] の順に選択しま
す。 [リスト] ツリーで、 [システム リスト] 、 [SSO カタログ] の順に展開します。 [カスタム コネクター] を選
択して、[追加] アイコンをクリックします。 [コネクターの追加] ダイアログ ボックスで [テンプレート] ドロップ
ダウン リストを開きます。 汎用のコネクター テンプレートがリストの先頭に表示されます。
カスタム コネクターには、テンプレートから設定したすべてのコネクターが含まれます。 汎用のテンプレート (汎用
HTTP や汎用 SAML 2.0 など) から設定したコネクターもカスタム コネクターです。
SSO カタログのテクニカル ノート
テクニカル ノートには、Web Gateway のリリース時点で事前定義のコネクターまたはコネクター テンプレートで
サポートされるすべてのクラウド サービスとアプリケーションが記述されているわけではありません。 これは、リ
リース間で更新されません。
テクニカル ノートには、事前定義のコネクターとコネクター テンプレートが簡単な表形式で記述されています。こ
のノートは PDF 形式でダウンロードできます。 この表には、管理者がコネクター テンプレートから設定したカスタ
ム コネクターは含まれません。
この表には、各サービスが使用する認証方法が記載されています。また、サービスの状態も記述されている場合もあ
ります。 たとえば、以前にサポートされていたサービスがリリース時点でサポート対象外になった理由などが示され
ます。
サービスとしての SSO カタログ
SSO カタログはクラウド サービスです。 このため、Web Gateway の新しいリリースが公開されると、更新されま
す。
サービス プロバイダーがクラウド サービスへの接続に必要な設定を変更したり、クラウド サービスの提供を停止す
る場合があります。 これらの変更は更新サーバーから提供されますが、このとき、コネクターとの接続が一時的また
は完全に切断されます。 新しいコネクターや修正済みのコネクターも更新サーバーから提供されます。
424
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
14
SSO カタログが更新されると、Web Gateway のユーザー インターフェースに更新メッセージが表示され、管理者
に通知されます。次のような変更が発生します。
•
コネクター - 非対応のサービスに対する事前定義のコネクターとカスタム コネクターが SSO カタログで選択
可能になります。 ただし、これらのコネクターには黄色い三角形の印が付き、非対応であることを示すメッセー
ジが表示されます。
•
テンプレート - 非対応のサービスに対するカスタム コネクターのテンプレートが SSO カタログで選択可能に
なり、設定できるようになります。 ただし、これらのコネクターには黄色い三角形の印が付き、非対応であるこ
とを示すメッセージが表示されます。
•
SSO コネクター リスト - 非対応になったコネクターを含む SSO コネクター リストが黄色で強調表示されま
す。 非対応の SSO コネクター リストのコネクターは黄色で表示され、非対応であることを示すメッセージが表
示されます。
•
ランチパッド - 非対応のサービスがランチパッドから消えます。ユーザーはこのサービスを選択できません。
コネクター テンプレート (汎用と個別)
汎用のクラウド コネクター テンプレートは、指定した認証方法を使用するクラウド アプリケーションをサポートし
ます。 汎用のテンプレートは個別のコネクター テンプレートよりも柔軟ですが、設定する項目は多くなります。
個別のコネクター テンプレート
個別のクラウド コネクター テンプレートは、特定のクラウド アプリケーションとの接続を設定する場合に利用でき
ます。たとえば、Salesforce コネクター テンプレートを使用すると、クラウドの Salesforce アプリケーションへ
のカスタム接続を設定できます。
テンプレートは設定可能です。Salesforce などの 1 つのクラウド アプリケーションに複数のカスタム コネクター
を作成できます。カスタム コネクターを識別できるように、コネクターに固有の名前を割り当てます。
汎用のコネクター テンプレート
汎用のクラウド コネクター テンプレートを使用すると、指定した認証方法を使用するクラウド アプリケーションと
の接続を設定できます。 たとえば、汎用 HTTP コネクター テンプレートを使用すると、HTTP 認証でユーザーのロ
グオンを処理しているクラウド アプリケーションとの接続を設定できます。 汎用テンプレートを使用すると、SSO
カタログにないクラウド アプリケーションへのコネクターを設定できます。
Web Gateway では、次の認証方法に汎用のクラウド コネクター テンプレートを用意しています。
•
汎用 HTTP コネクター - Web Gateway が個別のコネクターで対応していない HTTP サービスに接続する場
合、このテンプレートを選択します。
•
汎用 SAML2 コネクター - Web Gateway が個別のコネクターで対応していない SAML 2.0 サービスに接続
する場合、このテンプレートを選択します。
•
汎用 IceToken コネクター - Web Gateway で対応していない認証方法を使用するサービスに接続する場合、
このテンプレートを選択します。
テンプレートを使用してカスタム クラウド コネクターを設定する
テンプレートを使用してクラウド サービスのコネクターを設定すると、組織内のユーザーは 1 回認証を受けるだけ
でサービスにアクセスできるようになります。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
McAfee Web Gateway 7.5.0
製品ガイド
425
14
クラウド シングル サインオン
サポートされるクラウド サービスの SSO カタログ
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
以下のフィールドに値を入力して設定します。
•
[名前] - クラウド コネクター インスタンスを一意に識別できる名前を指定します。
•
[説明] - (オプション) クラウド コネクター インスタンスの説明を入力します。
•
[テンプレート] - ドロップダウン リストで、SSO アクセスを設定するクラウド サービスのテンプレートを
選択します。
テンプレート固有の設定が表示されます。
•
[カテゴリ] - クラウド サービスまたはアプリケーションが提供するサービスの種類を指定します。テンプ
レートを選択した場合、デフォルトの値が自動的に読み込まれます。[選択] をクリックして、この値を変更で
きます。
•
[参照] - 作成するクラウド コネクターのログを追加または変更できます。
5
テンプレート固有の設定を行います。
6
[OK] をクリックします。
新たに設定したクラウド コネクターが SSO カタログに追加されます。 カタログ内のコネクターを表示するには、
[カスタム コネクター] を選択します。
カスタム クラウド コネクターを削除する
SSO コネクター リストにない場合、SSO カタログからカスタム クラウド コネクターを削除できます。 カスタム
クラウド コネクターは、テンプレートで設定されたコネクターです。
SSO カタログからカスタム クラウド コネクターを削除すると、このコネクターに入力されたすべてのエンドユーザー
の認証情報が削除されます。 同じ設定でコネクターを再度作成しても、コネクターの削除時に削除されたユーザー認
証情報は復元されません。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
削除するカスタム クラウド コネクターを選択して、[削除] アイコンをクリックします。
[削除の確認] ダイアログ ボックスが開きます。
4
削除するには、[はい] をクリックします。
SSO カタログからカスタム クラウド コネクターが削除されます。
426
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
SSO コネクター リスト
14
SSO コネクター リスト
Web Gateway は、SSO コネクター リストを使用して、クラウド サービスとアプリケーションに対するアクセスを
制御します。
SSO コネクター リストを使用したクラウド アクセスの設定
クラウド サービスとアプリケーションに対するアクセスはクラウド コネクターのリストで設定します。各コネクタ
ーは、SSO カタログの対応サービスに対応しています。
一部の SSO コネクター リストはすぐにアクセスできます。 他のリストは、アクセスする前に OTP 認証が必要にな
る場合があります。 ユーザーは、Web Gateway ポリシーによってリストに関連付けられます。
SSO コネクター リストにコネクターを追加すると、SSO カタログでコネクターを確認し、選択することができま
す。 SSO カタログでは、クラウド コネクターが次の 2 つのグループに分類されています。
•
事前定義のコネクター - Web Gateway で事前に設定されたコネクターです。SSO カタログで選択するだけ
で使用できます。
•
カスタム コネクター - 組み込みのテンプレートを使用して設定したコネクターです。 SSO カタログに追加し
て選択する前にコネクターを設定する必要があります。
汎用コネクターは、カスタム コネクターの特別なタイプです。
クラウド サービスへのアクセス設定は、次の手順で行います。
1
(カスタム コネクター) ユーザーがアクセスするクラウド サービスのクラウド コネクターを設定します。 コネ
クターが SSO カタログに追加されます。
2
SSO カタログから事前定義またはカスタムのクラウド コネクターを選択し、SSO コネクター リストに追加しま
す。
クラウド コネクターを SSO コネクター リストに追加する
クラウド サービスへのアクセスを制御するには、SSO カタログで対応するクラウド コネクターを選択して SSO コ
ネクター リストに追加します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[カスタム リスト] 、 [SSO コネクター] の順に展開して、変更するリストをクリックしま
す。
3
[編集] 記号をクリックします。
ダイアログ ボックスが開き、フォルダーが表示されます。指定したカテゴリのコネクターが各フォルダーに入っ
ています。
例: 旅行と交通
4
コネクターをリストに追加するには、カテゴリまたは個々のコネクターを選択し、[OK] をクリックします。
必要なコネクターが存在しない場合には、[新規作成] をクリックして作成できます。
5
[変更の保存] をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
427
14
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
HTTP クラウド アプリケーションへの SSO サービスの提供
Web Gateway は、HTTP 認証を使用する多くのクラウド サービスとアプリケーションに対応しています。事前定義
のクラウド コネクターまたは個別のクラウド コネクター テンプレートを使用してエンド ユーザーのログオンを処
理します。
Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションに接続し、識別情報と SSO サー
ビスを提供します。 Web Gateway では、汎用の HTTP コネクター テンプレートも用意しています。この汎用テン
プレートは、SSO カタログに未登録で HTTP を使用するクラウド アプリケーションに設定できます。
HTTP アプリケーションのコネクターを設定する前に、SSO カタログでアプリケーションを検索します。 事前定義
の HTTP コネクターは、SSO カタログで選択するだけで使用できます。 必要なコネクターが事前定義コネクター リ
ストまたはカスタム コネクター リストにない場合には、テンプレートを使用してコネクターを作成できます。
大半のコネクター テンプレートは、特定のクラウド アプリケーション用に部分的に設定されています。 HTTP アプ
リケーションにテンプレートが存在しない場合には、汎用 HTTP コネクター テンプレートを選択します。 汎用
HTTP テンプレートを使用すると、Web Gateway に事前定義コネクターやコネクター テンプレートが存在しない
HTTP アプリケーションのコネクターを設定できます。
Web Gateway は、ログオン ページに JavaScript を追加してログオン ページ情報を動的に提供する動的 HTTP ア
プリケーション (DropBox など) のシングル サインオンに対応しています。 ログオン ページを変更する前に、SSO
プロセスをプロキシ モードで実行する必要があります。 プロキシ モードの場合、Web Gateway は実際のパスワー
ドをトークンで置換し、クライアント コンピューターに表示されないようにします。
動的でない HTTP アプリケーションのシングル サインオンは、プロキシ モードまたは非プロキシ モードで実装でき
ます。
HTTP クラウド アプリケーションの SSO 認証情報モデル
HTTP クラウド サービスとアプリケーションの SSO 認証情報モデルは、クラウド サービスまたはアプリケーション
ンに複数のアカウントを持っているユーザーをサポートしています。 また、複数のエンドユーザーが同じ認証情報
で 1 つ以上のクラウド サービスまたはアプリケーションにアクセスできる共有アカウントもサポートしています。
大半の SSO プロパティとイベントに以下の認証情報が渡されます。
•
領域 - 現在のユーザーが認証されているドメインの名前。認証ドメインは、LDAP や Active Directory などの
識別ストアや認証サービスになります。
•
ユーザー ID - 現在のユーザーを識別する ID。デフォルトでは、Authentication.UserName プロパティと
同じ値になります。別の認証情報とユーザー ID を関連付けて、デフォルトの値を変更することもできます。
•
サービス ID - クラウド サービスまたはアプリケーションの ID。
•
アカウント ID - クラウド サービスまたはアプリケーションの個々のアカウントまたは共有アカウントの ID。
個々のユーザーは領域または認証ドメインに編成されています。認証ドメインのユーザーは、アクセスが許可されて
いるクラウド サービスまたはアプリケーションのリストと関連付けられています。各ユーザーは、それぞれのクラウ
ド サービスまたはアプリケーションに 1 つ以上のアカウントを持つことができます。アカウントは、個別アカウン
トまたは共有アカウントになります。
HTTP クラウド コネクターを設定する
テンプレートを使用して、HTTP サービスまたはアプリケーションに接続するコネクターを設定します。
タスク
428
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
3
14
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのクラウド コネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストで、HTTP サービスに対応するテンプレートを選択します。
6
[アプリケーション ドメイン名] フィールドに、HTTP サービスまたはアプリケーションのインスタンスのドメイ
ン名を指定します。
例: サービスの URL が https://myorg.cloudapp.com の場合、myorg はアプリケーション ドメインの名前
になります。
7
[OK] をクリックします。
新たに設定した HTTP コネクターが [SSO カタログ] の [カスタム コネクター ] リストに追加されます。
汎用 HTTP クラウド コネクターを設定する
Web Gateway が個別のコネクターで対応していない HTTP サービスに接続する場合、汎用の HTTP クラウド コネ
クターを設定します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストから [汎用 HTTP コネクター] を選択します。
6
動的な HTTP クラウド サービスにコネクターを設定するには、[動的サービス] を選択します。
7
ドロップダウン リストで、フォームの送信方法を表す HTTP メソッドを選択します。
8
[https://] フィールドに、フォームの送信元が URL 形式で表示されます。
9
フォームで送信された属性ごとに、1 つのフォーム フィールドを設定します。
10 ソースが認証情報ストアになっているフォーム フィールドで、ランチパッド フィールドを設定します。
11 (オプション) 1 つ以上のログオン ページを設定します。
動的 HTTP クラウド サービスを使用する場合、ログオン ページが 1 つ必要です。 クラウドサービスによっては、
複数のログオン ページが必要になる場合があります。
12 (オプション) ログオン ページのフィールドを設定します。
ログオン フィールドの設定が必要になるのは、フォーム フィールドと異なる場合だけです。
13 汎用の HTTP コネクターを設定するには、[新しいサインオン要求] をクリックします。
14 HTTP コネクターの設定を保存するには、[OK] をクリックします。
新たに設定した汎用 HTTP コネクターが [SSO カタログ] の [カスタム コネクター ] リストに追加されます。
McAfee Web Gateway 7.5.0
製品ガイド
429
14
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
汎用 HTTP コネクターの設定
汎用 HTTP コネクター テンプレートを使用して HTTP サービスまたはアプリケーションのコネクターを設定するに
は、以下の表にある設定に値を指定します。HTTP サービスですべての設定が必要になるわけではありません。動的
HTTP サービスなど、一部のサービスと状況では、より詳しい設定が必要になる場合があります。
表 14-1
汎用 HTTP コネクターの設定
オプション
定義
[動的サービス]
動的 HTTP クラウド サービスまたはアプリケーションのコネクターを指定します。
[POST]
HTTP メソッドを選択します。
• [POST] - (デフォルト) 選択したコンテンツ タイプのフォームが生成され、HTTP 要求の本
体で送信されます。
• [GET] - すべての情報が URL 文字列で送信されます。
[コンテンツ タ
イプ]
(POST) フォーム データのエンコーディングを指定します。次のオプションを選択します。
• [application/x-www-form-urlencoded] - (デフォルト) 大半の場合、このオプションを使
用します。
• [multipart/form-data] - 大量のフォーム データを送信する場合に使用します。
[https://]
フォーム データの送信先である サービス プロバイダーの URL を指定します。
ログオン フォームのデータを保護するため、HTTPS プロトコルの使用を強くお勧めします。
[正規表現 (オプ
ション)]
サービス プロバイダー URL の検出で使用する正規表現を指定します。 たとえば、https://
www.mycompany.com/login.* という正規表現を使用すると、次の URL を検出できます。
• https://www.mycompany.com/login
• https://www.mycompany.com/login?session=abc
動的 HTTP クラウド サービスに対する POST トランザクションを検出する場合にも使用できま
す。
430
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
表 14-1
14
汎用 HTTP コネクターの設定 (続き)
オプション
定義
[フォーム フィ
ールド]
ID プロバイダーのソース (SSO サービス) とサービス プロバイダーのターゲット (クラウド
サービスまたはアプリケーション) の属性名を関連付けます。 フォームで送信される属性ごと
に 1 つのフォーム フィールドを設定します。
1 つ以上のフォーム フィールドが必要です。
• [設定] - ([パラメーター]) フォームで送信される属性の名前を指定します。 この値は、クラ
ウド サービスまたはアプリケーションが予期する属性名になります。
• [宛先] - ([ソース]) 属性値のソースを指定します。 次のいずれかを選択します。
• [定数] - 属性値が定数値を持つことを指定します。 [値]フィールドに定数値を指定しま
す。
• [認証情報ストア] - 属性が MAS に保存されます。 [属性]フィールドに属性の名前を指定
します。 クラウド サービスまたはアプリケーションの属性名と異なる名前も使用できま
す。
ID プロバイダーからソース プロバイダーに関連付けられる属性には、ユーザー名とパスワ
ードが含まれます。 ユーザーを一意に識別する属性は、IdP ソースから SP ターゲットに関
連付けてください。
• [マスク] - (プロキシ モード) 属性の実際の値がトークン値で置換され、ユーザーが使用する
クライアント コンピューターに送信されます。 クライアント コンピューターからサーバー
にフォームが送信されると、トークン値が実際の値に置換されます。
ソース属性がパスワードの場合、このオプションはデフォルトで選択されています。
[ランチパッドの HTTP サービスに対する自分の認証情報の管理をユーザーに許可するには、ランチパッドのフィ
フィールド]
ールドを指定します。 ソースが認証情報ストアになっているフォーム フィールドに、1 つのラ
ンチパッド フィールドを設定します。
• ランチパッドで生成する入力フィールドのタイプをドロップダウン リストから選択します。
• [電子メール] - 有効な電子メールのフォームに含まれるテキストがフィールドに表示され
ます。
• [数字] - 数字で構成されるテキストがフィールドに表示されます。
• [パスワード] - フィールドの入力時にテキストがマスキングされます。
• [テキスト] - フィールドにテキストが表示されます。
• [プロンプト] - フィールドに表示するプロンプトを指定します。
• [検証用の正規表現 (オプション)] - ユーザーが入力したテキストの検証に使用する正規表現
を指定します。
McAfee Web Gateway 7.5.0
製品ガイド
431
14
クラウド シングル サインオン
HTTP クラウド アプリケーションへの SSO サービスの提供
表 14-1
汎用 HTTP コネクターの設定 (続き)
オプション
定義
[ログイン ペー
ジ]
(オプション) ユーザーがクラウド サービスまたはアプリケーションにログオンするページを指
定します。
• [https://] - ログオン ページの URL を指定します。
• [正規表現 (オプション)] — ログオン ページ URL の検出で使用する正規表現を指定します。
ユーザーがログオン ページにリダイレクトするときに動的 HTTP クラウド サービスが URL
に行った変更を検出する場合にも使用できます。
• [フォーム ロケーターの JavaScript (オプション)] - JavaScript を使用するページに複数
のフォームが存在する場合に、ログオン ページ内でのフォームの位置を指定します。
• [送信アクションの JavasSript (オプション)] — JavaScript を使用した別のフォーム送信ア
クションを指定します。
動的 HTTP クラウド サービスを使用する場合、ログオン ページが 1 つ必要です。 クラウドサー
ビスによっては、複数のログオン ページが必要になる場合があります。 たとえば、モバイル ブ
ラウザーとデスクトップ ブラウザーに別々のログオン ページを作成します。
[ログイン フィ
ールド]
(オプション) ログオン ページのフィールド名を指定します。 ログオン フィールド名の設定が
必要になるのは、フォーム フィールド名と異なる場合だけです。 この場合、ソースの設定は同
じになります。 ログオン ページの名前に合わせてパラメーター フィールドの名前だけが変更
されます。
• [設定] - ([パラメーター]) ログオン ページのフィールド名を指定します。
• [宛先] - ([ソース]) 属性値のソースを指定します。 フォーム フィールドとログオン フィー
ルドのソース設定は同じです。 次のいずれかを選択します。
• [定数] - 属性値が定数値を持つことを指定します。 [値]フィールドに定数値を指定しま
す。
• [認証情報ストア] - 属性が MAS に保存されます。 [認証情報ストア フィールド名]に属
性の名前を指定します。 クラウド サービスまたはアプリケーションの属性名と異なる名前
も使用できます。
• [要素ロケーターの JavaScript (オプション)] - フォーム フィールドが固有でない場合、
JavaScript を使用する対応フォーム フィールドの場所を指定します。
• [マスク] - (プロキシ モード) 属性の実際の値がトークン値で置換され、ユーザーが使用する
クライアント コンピューターに送信されます。 クライアント コンピューターからサーバー
にフォームが送信されると、トークン値が実際の値に置換されます。
ソース属性がパスワードの場合、このオプションはデフォルトで選択されています。
432
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
14
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
Web Gateway は、SAML 2.0 認証を使用する多くのクラウド サービスとアプリケーションに対応しています。個
別のクラウド コネクター テンプレートを使用してエンド ユーザーのログオンを処理します。
Web Gateway は、クラウド コネクターを使用してクラウド上のアプリケーションに接続し、識別情報と SSO サー
ビスを提供します。 Web Gateway には、汎用の SAML2 コネクター テンプレートも用意されています。 この汎用
テンプレートは、SSO カタログに未登録で SAML 2.0 を使用するクラウド サービスまたはアプリケーションに設定
できます。
SAML 2.0 クラウド アプリケーションのシングル サインオンを設定するには、SAML 2.0 アプリケーションの管理者
アカウントと Web Gateway ユーザー インターフェースの設定を行う必要があります。
SAML シングル サインオンの開始方法
SAML SSO プロセスは、ID プロバイダー (IdP) またはサービス プロバイダー (SP) によって開始されます。
ID プロバイダーは、エンドユーザーを認証するサービスです。 サービス プロバイダーは、ユーザーがアクセスす
る SAML クラウド サービスまたはアプリケーションです。 Web Gateway は、認証サービスを提供している場合
に ID プロバイダー役割を実行します。
ユーザーがクラウドの SAML アプリケーションへのアクセスを要求すると、SSO プロセスが開始します。 Web
Gateway がユーザーを認証し、ユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクト
します。 このリダイレクトは自動的に実行されます。ユーザーが背景で実行されている認証プロセスを意識するこ
とはありません。
IdP が開始する SAML シングル サインオン
Web Gateway は、次のように SSO プロセスを実行します。
1
Web Gateway がユーザーを認証します。
2
Web Gateway がユーザーにランチパッドを表示します。ここには、ユーザーがアクセスできる SAML アプリケ
ーションのアイコンが表示されます。 ユーザーがランチパッドのアイコンを選択して、Web Gateway (ID プロ
バイダー) 経由で SAML アプリケーション (サービス プロバイダー) を要求します。
3
Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。
4
SAML アプリケーションがユーザーにアクセス権を付与します。
図 14-3 IdP が開始する SAML シングル サインオン
McAfee Web Gateway 7.5.0
製品ガイド
433
14
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
SP が開始する SAML シングル サインオン
クラウド上の SML アプリケーションは、次のように SSO プロセスを実行します。
1
ユーザーが SAML アプリケーション (サービス プロバイダー) に直接アクセスを要求します。
2
SAML アプリケーションがユーザーの要求をユーザーのブラウザーを介して Web Gateway (ID プロバイダー)
にリダイレクトします。
3
Web Gateway がユーザーを認証します。
4
Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。
5
SAML アプリケーションがユーザーにアクセス権を付与します。
図 14-4 SP が開始する SAML シングル サインオン
SP だけで開始するピュア SAML シングル サインオン
すべての SAML アプリケーションが IdP 開始と SP 開始の両方のシングル サインオンに対応しているわけではあ
りません。 一部の SAML アプリケーションは片方の SSO しか対応していません。 SP 開始のシングル サインオン
だけに対応している SAML アプリケーションは、SP 開始のピュア シングル サインオンを実行します。
434
1
Web Gateway がユーザーを認証します。
2
Web Gateway がユーザーにランチパッドを表示します。ここには、ユーザーがアクセスできる SAML アプリケ
ーションのアイコンが表示されます。 ユーザーがランチパッドのアイコンを選択して、Web Gateway (ID プロ
バイダー) 経由で SAML アプリケーション (サービス プロバイダー) を要求します。
3
この SAML アプリケーションは SP 開始のシングル サインオンにのみ対応しているので、Web Gateway はユ
ーザーの要求をユーザーのブラウザーを介してアプリケーションにリダイレクトします。 ユーザーの認証は実行
されていないため、SAML アプリケーションがユーザーを Web Gateway にリダイレクトして、認証を要求しま
す。
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
14
4
Web Gateway がユーザーのブラウザーを介して認証結果を SAML アプリケーションにリダイレクトします。
5
SAML アプリケーションがユーザーにアクセス権を付与します。
図 14-5 SP だけで開始するピュア SAML シングル サインオン
SAML シングル サインオンの集中管理
SAML シングル サインオンでは、X.509 証明書と秘密鍵が必要になります。
X.509 証明書と秘密鍵を合わせて X.509 証明書キー ペアとも言います。X.509 証明書には、キー ペアと署名から
構成される公開鍵が含まれています。証明書には自己署名または証明機関の署名が付いています。
秘密鍵は、送信する SAML アサーションと要求に署名する場合に使用されます。また、X.509 証明書は受信した署
名の検証に使用されます。秘密鍵で SAML アサーションまたは要求に署名する側が署名を検証する側に X.509 証
明書を提供します。
SAML サービスやアプリケーションによって証明書の要件が異なります。以下では、一般的なシナリオで説明しま
す。
McAfee Web Gateway 7.5.0
製品ガイド
435
14
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
表 14-2 証明書管理
SSO プ
ロセス
証明書の管理手順
SSO の手順
IdP 開
1 Web Gateway のインターフェースで、管理者が秘密鍵 1 Web Gateway が秘密鍵を使用して、エ
始/SP 開
と証明書のペアを生成またはインポートし、サービス プ
ンドユーザーの身元を保証する署名付
始の SSO
きの SAML アサーションを作成します。
ロバイダーが使用する証明書をエクスポートします。
2 サービス プロバイダーのインターフェースで、管理者が 2 サービス プロバイダーが証明書を使用
秘密鍵に対応する証明書をアップロードします。
して署名を検証します。
SP 開始
の SSO
1 サービス プロバイダーのインターフェースで、管理者が 1 サービス プロバイダーが秘密鍵を使用
秘密鍵に対応する証明書をダウンロードします。
して、署名付きの SAML SSO 要求を作
成します。
2 Web Gateway のインターフェースで、管理者がサービ
2 Web Gateway が証明書を使用して署
ス プロバイダーの証明書をインポートします。
名を検証します。
SAML2 クラウド コネクターを設定する
テンプレートを使用して、SAML 2.0 サービスまたはアプリケーションに接続するコネクターを設定します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストで、SAML 2.0 サービスに対応するテンプレートを選択します。
6
SAML 設定の値を入力します。
7
[OK] をクリックします。
新たに設定した SAML2 コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。
SAML2 コネクターの設定
SAML 2.0 サービスまたはアプリケーションのコネクターを設定するには、以下の表にある設定に値を指定します。
SAML アプリケーションですべての設定が必要になるわけではありません。
Web Gateway は ID プロバイダーです。
表 14-3
SAML2 コネクターの設定
オプション
定義
[アプリケーシ クラウド サービスまたはアプリケーションのインスタンスのドメイン名を指定します。
ョン ドメイン 例: サービスの URL が https://myorg.cloudapp.com の場合、myorg はアプリケーション ド
名]
メインの名前になります。
[SAML アサー ユーザーの身元を証明する SAML アサーションを発行した SSO サービス (IdP) の URL を指定
ション発行者 します。
(IdP)]
436
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
表 14-3
14
SAML2 コネクターの設定 (続き)
オプション
定義
[アサーション クラウド サービスまたはアプリケーション (SP) が使用するアサーション コンシューマー サー
コンシューマ ビス (ACS) の URL を指定します。ACS は、SSO サービス (IdP) が生成した SAML アサーショ
ー サービスの ンを使用します。
URL (SP)]
この値は、サービス プロバイダーから取得できます。
[SAML SSO
要求作成 URL
(SP)]
シングル サインオンを SP が開始する場合に必要なクラウド サービスまたはアプリケーション
(SP) の URL を指定します。
[SAML サブジ SAML アサーションのサブジェクトとして使用する属性の名前を指定します。 SAML サブジェク
ェクト属性名] トは、ユーザーを一意に識別します。 この値は、クラウド サービスまたはアプリケーションが予
期する属性名になります。
他の属性名
(オプション) SAML サブジェクト以外に、他の属性の名前/値ペアを ID プロバイダーからサービ
ス プロバイダーに渡すことができます。 たとえば、メール アドレス、姓名などを渡すことができ
ます。
[秘密鍵
(IdP)]
SSO サービス (IdP) が SAML アサーション、要求、応答に署名するときに使用する秘密鍵に対応
する X.509 証明書をドロップダウン リストから選択します。 サービス プロバイダーが証明書を
使用して署名を検証します。
[秘密鍵 (SP)] クラウド サービスまたはアプリケーション (SP) が SAML アサーション、要求、応答に署名する
ときに使用する秘密鍵に対応する X.509 証明書をドロップダウン リストから選択します。 ID
プロバイダーが証明書を使用して署名を検証します。
[名前 ID フォ
ーマット]
クラウド サービスまたはアプリケーションが予期するサブジェクト属性のフォーマットを指定し
ます。 この属性は、ユーザーを一意に識別します。
[名前の修飾子 名前空間でクラウド サービスまたはアプリケーション (SP) を一意に識別する文字列を指定しま
(SP)]
す。
[認証コンテキ クラウド サービスまたはアプリケーション (SP) が使用する認証コンテキスト クラス参照に対応
スト クラス参 する URI を指定します。 この URI は、OASIS SAML 標準の一部です。
照]
例: urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport
[ライフタイム SAML アサーションの有効期間を計算するときに使用するライフタイム値を指定します。有効期
(秒)]
間が終了すると、SAML アサーションは無効になります。
[クロック ス
キュー (秒)]
2 つのクロックの時間差を指定します。この値は、SAML アサーションの有効期間を計算するとき
に使用します。
汎用 SAML2 クラウド コネクターを設定する
Web Gateway が個別のコネクター テンプレートで対応していない SAML2 サービスに接続する場合、汎用の
SAML2 クラウド コネクターを設定します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストから [汎用 SAML2 コネクター] を選択します。
McAfee Web Gateway 7.5.0
製品ガイド
437
14
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
6
汎用 SAML2 の設定に値を入力します。
7
[OK] をクリックします。
新たに設定した SAML2 コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。
汎用 SAML2 コネクターの設定
汎用 SAML2 コネクター テンプレートを使用して SAML2 サービスまたはアプリケーションのコネクターを設定す
るには、以下の表にある設定に値を指定します。
メタデータは、サービス プロバイダーから提供された SAML の設定から構成されます。 汎用の SAML2 コネクター
を設定する場合、メタデータを手動で入力することも、URL を使用して CFM からメタデータを自動的にダウンロード
することもできます。
表 14-4 SAML 認証情報のマッピング
オプション
定義
[サブジェク SAML サブジェクトは、クラウド サービスまたはアプリケーションへのアクセスを要求するユーザ
ト]
ーを一意に識別します。 SAML サブジェクトは、ソースと値のペアとして指定されます。 ドロップ
ダウン リストからソースを選択します。
• [定数] - サブジェクトに定数値を使用する場合に指定します。 [値] フィールドに定数値を入力
します。
• [認証結果] - サブジェクトに属性の値を使用する場合に指定します。 [認証結果] フィールドに
属性の名前を入力します。
属性名は、ユーザー情報を含む JSON オブジェクトの項目名です。
[属性]
(オプション) SAML アサーションで SAML サブジェクトと一緒に名前と値のペアとしてサービス
プロバイダーに渡される 1 つ以上のユーザー属性をしています。
[設定] - ([パラメーター]) SAML アサーションで送信される属性名を指定します。 この値は、サー
ビス プロバイダーが必要とする属性名です。
[宛先] - ([ソース]) SAML アサーションで属性名と一緒に送信される属性値を指定します。 属性
値は、ソースと値のペアとして指定されます。 ドロップダウン リストからソースを選択します。
• [定数] - SAML アサーションで送信する値を [値] フィールドで入力した定数に設定する場合に
指定します。
• [認証タイプ] - SAML アサーションで送信する値を [認証タイプ] フィールドで入力した属性の
値に設定する場合に指定します。
標準の LDAP 属性名のリストを表示するには、このフィールドの横にあるアイコンをクリックしま
す。
表 14-5 メタデーター - メタデータを自動的にダウンロードする
オプション
定義
[メタデータの URL] SAML メタデータを XML 形式でダウンロードする URL を指定します。
この形式は、SAML メタデータの仕様に準拠する必要があります。
[エンティティ ID]
438
サービス プロバイダーを一意に識別します。 この値は、SAML メタデータ ファイルの先頭
にあるタグ内の entityID 属性で指定されます。
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
14
表 14-6 メタデータ - メタデータを手動で指定する
オプション
定義
[アサーション コンシ
ューマー サービ
(ACS)] (オプション)
[ACS URL] - SAML アサーションが送信され、使用されるサービスの URL を指定しま
す。
[ACS バインド] - SAML アサーションの送信に使用する HTTP メソッドを指定します。
• [POST] - HTTP POST メソッドを指定します。
• [リダイレクト] - HTTP GET メソッドを指定します。
[IdP が開始する
SSO] (オプション)
[有効] - 選択すると、ID プロバイダーが開始するシングル サインオンを有効にします。
サービス プロバイダーが IdP 開始のシングル サインオンに対応している必要がありま
す。
[リレー状態] - シングル サインオンに成功した場合に表示されるクラウド サービスま
たはアプリケーションのページを指定します。
[SP が開始する SSO]
(オプション)
[有効] - 選択すると、サービス プロバイダーが開始するシングル サインオンを有効にし
ます。 サービス プロバイダーが SP 開始のシングル サインオンに対応している必要があ
ります。
[SP 発行者] - SAML 認証要求を受信してシングル サインオンを開始するサービス プロ
バイダーの名前を指定します。
[SSO URL] - (SP だけで開始するピュア SSO) SP 開始の SSO がサポートされている
場合に Web Gateway が SAML 認証要求をリダイレクトするサービス プロバイダーの
URL を指定します。
[署名] - (オプション) サービス プロバイダーが SAML 認証要求に署名する場合に使用
する秘密鍵の X.509 証明書を指定します。 Web Gateway が証明書を使用して署名を検
証します。
[署名] ドロップダウン リストから証明書を選択するには、次の操作を行う必要がありま
す。
1 サービス プロバイダーのインターフェースで証明書をダウンロードします。
2 Web Gateway のインターフェースで証明書をインポートします。
表 14-7 メタデータ - SAML アサーション
オプション 定義
[署名キー] Web Gateway が SAML アサーションの署名に使用する秘密鍵の X.509 証明書キー ペアをドロップ
ダウン リストから選択します。
ドロップダウン リストからキー ペアを選択する前に、Web Gateway のインターフェースでキー ペア
をインポートする必要があります。
[発行者]
SAML アサーションの発行者として Web Gateway の名前を指定します。
McAfee Web Gateway 7.5.0
製品ガイド
439
14
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
表 14-8 詳細
オプシ
ョン
定義
[サブ
ジェク
ト]
[名前 ID の形式] - SAML アサーションで送信するサブジェクトの形式を表すオプションをドロップダ
ウン リストから選択します。
例: urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress
詳細については、OASIS SAML 2.0 の仕様 (『Assertions and Protocols for the OASIS Security
Assertion Markup Language (SAML) V2.0』) を参照してください。
1 この文書を開くには、http://docs.oasis-open.org/security/saml/v2.0/
saml-core-2.0-os.pdf をクリックします。
2 開いた文書で、「Name Identifier Format Identifiers」セクションを参照します。
[認証
ステー
トメン
ト]
[認証方法] - SAML アサーションで送信するサブジェクトの認証方法を表す認証コンテキスト クラスを
ドロップダウン リストから選択します。
例: urn:oasis:names:tc:SAML:2.0:ac:classes:Password
詳細については、OASIS SAML 2.0 の仕様 (『Authentication Context for the OASIS Security
Assertion Markup Language (SAML) V2.0』) を参照してください。
1 この文書を開くには、http://docs.oasis-open.org/security/saml/v2.0/
saml-authn-context-2.0-os.pdf をクリックします。
2 開いた文書で、「Schemas」セクションを参照します。
[条件]
[対象] - (オプション) 1 つまたは複数の SAML アサーション コンシューマーに対象を制限できます。
対象を指定するには:
1 [追加] アイコンをクリックします。
2 [対象の URI] フィールドで、サービス プロバイダー発行者の文字列を入力します。 この値は、サービ
ス プロバイダーから取得できます。
[クロック スキュー (秒)] - サーバーの時計の時差を表す値を指定します。たとえば、ID プロバイダー
のサーバーとサービス プロバイダーのサーバーの時間差を指定します。 この値は、SAML アサーション
の有効期間を計算するときに使用します。
デフォルト値: 20
[ライフタイム (秒)] - SAML アサーションの有効期間を計算するときに使用するライフタイム値を指定
します。 有効期間が終了すると、SAML アサーションは無効になります。 この設定を使用すると、リプ
ライ攻撃を防ぐことができます。
デフォルト値: 60
[署名]
[方法] - ドロップダウン リストから署名方法を選択します。
• [応答全体に署名] - Web Gateway が SAML 応答全体に署名する場合に指定します。
• [アサーションに署名] - Web Gateway が SAML 応答の SAML アサーションだけに署名する場合に
指定します。
[署名の生成方法] - 署名の生成に使用するアルゴリズムをドロップダウン リストから選択します。
• [rsaWithSha1]
• [rsaWithSha256]
440
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
14
SAML シングル サインオンで使用する外部データソースの設定
HTTP サービスに対するシングル サインオンの認証情報は MAS に保存されますが、SAML の認証情報は、LDAP サ
ーバー、データベース、Web サービスなどの外部のデータソースから取得します。
識別情報は、ユーザー属性の名前と値のペアで外部データソースから取得されます。名前は、クラウド コネクターの
作成時に設定した属性名と一致する必要があります。
SAML シングル サインオンの LDAP 認証設定
SAML シングル サインオンでデータソースとして 1 つ上の LDAP サーバーを使用するように、認証モジュールを設
定できます。 1 つのサーバーが使用不能になると、認証モジュールは別のサーバーへのフェールオーバーをサポート
します。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [認証] の順に選択します。
表 14-9 SAML シングル サインオンの LDAP 認証設定
オプション
定義
[名前]
認証モジュールの設定名を指定します。
例:SAML SSO の LDAP
[認証方法]
ドロップダウン リストから [LDAP] を選択します。
[LDAP サーバーの接続先] 1 つ以上の LDAP サーバーを追加して、サーバーの URI を指定します。
形式:ldap[s]://server[:port]
[証明機関のリスト]
(安全な LDAP 接続プロトコル) ドロップダウン リストから証明機関を選択します。
[認証情報]
LDAP サーバーとの接続で必要になるユーザー名を指定します。
[パスワード]
LDAP サーバーとの接続で必要になるパスワードを指定します。
[ユーザー オブジェクトの ユーザーを検索する LDAP ツリー項目の識別名を指定します。
基本識別名]
形式:attribute=value{, attribute=value}
[ユーザー名を DN にマッ
ピングする]
フィルター式を設定するには、このチェックボックスを選択します。
[ユーザー オブジェクトを 項目またはユーザーのフィルタリングに使用する LDAP 式を指定します。%u はユー
検索するための表現をフ
ザー名を表すプレースホルダーです。
ィルタリングする]
Active Directory の例:(samaccountname=%u)
OpenLDAP の例:(cn=%u)
[ユーザー属性の取得]
ユーザー属性を設定するには、このチェックボックスを選択します。
[取得するユーザー属性]
以下の属性はすべての SAML コネクターで必要となります。 取得するユーザー属性
のリストに追加します。
• mail - 電子メール アドレスを指定します。
• cn - (commonName) 名前と苗字を指定します。
• gn - (givenName) 名前を指定します。
• sn - (surname) 苗字を指定します。
SAML シングル サインオンでデータソースに Web サービスを使用する
外部リストを設定すると、SAML シングル サイオンのデータを JSON 対応の Web サービスから取得できます。
これらの設定を検索するには、 [ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。
McAfee Web Gateway 7.5.0
製品ガイド
441
14
クラウド シングル サインオン
SAML 2.0 クラウド アプリケーションへの SSO サービスの提供
オプション
定義
[名前]
外部リストの名前を指定します。
例:SAML SSO の Web サービス
[データ ソース タイプ]
ドロップダウン リストから [Web サービス] を選択します。
[データ タイプ]
ドロップダウン リストから [JSON] を選択します。
[Web サービスの URL]
Web サービスの URL を指定します。
例:https://webservice.com:5984/users/${0}
users には、ユーザー情報を含むテーブルを指定します。
${0} は、Web サービスに渡すユーザー ID です。
SAML シングル サインオンでデータソースにデータベースを使用する
外部リストを設定すると、SAML シングル サイオンのデータをデータベースから取得できます。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。
以下に、SQLite3 データベースを使用する場合の設定を示します。
オプション
定義
[名前]
外部リストの名前を指定します。
例:SAML SSO のデータベース
[データ ソース タイプ]
ドロップダウン リストから [データベース] を選択します。
[SQL クエリ]
データベースからデータを取得する SQL クエリを指定します。
select firstname as gn, lastname as sn, email as mail from
users where uid = '${0}';
${0} は、データベースに渡すユーザー ID です。
データベースの属性名は、SAML コネクターに設定した名前に対応しています。
[データベースのタイプ]
ドロップダウン リストから [SQLite3] を選択します。
[SQLite3 データベースのフ
ァイル パス]
SQLite3 データベースのパスを指定します。
SAML シングル サインオンでデータソースに LDAP サーバーを使用する
外部リストを設定すると、SAML シングル サイオンのデータを LDAP サーバーから取得できます。これらの設定を
使用すると、データソースとして 1 つの LDAP サーバーを設定できます。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [外部リスト] の順に選択します。
オプション
定義
[名前]
外部リストの名前を指定します。
例:SAML SSO の LDAP サーバー
[データ ソース タイプ]
ドロップダウン リストから [LDAP] を選択します。
[LDAP サーバーの URL]
LDAP サーバーの URL を指定します。
形式:ldap[s]://server[:port]
442
[ユーザー名]
LDAP サーバーとの接続で必要になるユーザー名を指定します。
[LDAP パスワード]
LDAP サーバーとの接続で必要になるパスワードを指定します。
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
.NET と Java Web アプリケーションへの SSO サービスの提供
オプション
定義
[検索 DN]
ユーザーを検索する LDAP ツリー項目の識別名を指定します。
14
形式:attribute=value{, attribute=value}
[検索範囲]
ドロップダウン リストから [サブツリー] を選択します。
[検索フィルター]
項目のフィルタリングとユーザーの検索に使用する LDAP 式を指定します。
例:(uid=${0})
${0} は、データベースに渡すユーザー ID です。
[属性]
SAML コネクターが必要とする属性をすべて指定します。
[取得する追加の LDAP 属性 (JSON
タイプの場合のみ)]
• mail - 電子メール アドレスを指定します。
• cn - (commonName) 名前と苗字を指定します。
• gn - (givenName) 名前を指定します。
• sn - (surname) 苗字を指定します。
.NET と Java Web アプリケーションへの SSO サービスの提供
シングル サインオン ルール セットと汎用の IceToken クラウド コネクター テンプレートを使用すると、.NET ま
たは Java Web アプリケーションにシングル サインオンを設定できます。 このオプションは、Web Gateway の事
前定義のコネクターまたはコネクター テンプレートで Web アプリケーションがサポートされていない場合に使用
します。
Web Gateway は、IceToken 認証を使用してシングル サインオンを実行します。この方法は、SAML 認証でシング
ル サインオンを実装する場合と同じです。 この 2 つの認証方法でシングル サインオンを実行する場合の相違点は
次のとおりです。
•
いずれの場合も、ID プロバイダーがアサーションでユーザー情報をサービス プロバイダーに送信します。 アサ
ーションのユーザー情報の形式は、使用する認証方法によって異なります。
•
SAML 認証よりも IceToken 認証を使用したシングル サインオンのほうが簡単に設定できます。
汎用 IceToken クラウド コネクターを設定する
.NET または Java Web アプリケーションへのシングル サインオンを設定するには、汎用の IceToken クラウド コ
ネクター テンプレートを使用します。
タスク
1
[ポリシー] 、 [リスト] の順に選択します。
2
[リスト] ツリーで、[システム リスト] 、 [SSO カタログ] の順に展開し、[カスタム コネクター] をクリックし
ます。
3
[追加] アイコンをクリックします。
[コネクターの追加] ダイアログ ボックスが開きます。
4
フィールドに値を入力し、すべてのコネクターに共通の設定を行います。
5
[テンプレート] ドロップダウン リストから [汎用 IceToken コネクター] を選択します。
6
汎用 IceToken の設定に値を入力します。
7
[OK] をクリックします。
McAfee Web Gateway 7.5.0
製品ガイド
443
14
クラウド シングル サインオン
.NET と Java Web アプリケーションへの SSO サービスの提供
新たに設定した IceToken コネクターが、[SSO カタログ] の [カスタム コネクター] リストに追加されます。
汎用 IceToken コネクターの設定
汎用 IceToken コネクター テンプレートを使用して .NET または Java アプリケーションにコネクターを接続する
には、以下の表にある設定に値を指定します。
表 14-10 認証情報
オプショ
ン
定義
[サブジェ IceToken サブジェクトは、.NET または Java Web アプリケーションへのアクセスを要求するユーザ
クト]
ーを一意に識別します。 IceToken サブジェクトは、ソースと値のペアとして指定されます。 ドロップ
ダウン リストからソースを選択します。
• [定数] - サブジェクトに定数値を使用する場合に指定します。 [値] フィールドに定数値を入力し
ます。
• [認証結果] - サブジェクトに属性の値を使用する場合に指定します。 [認証結果] フィールドに属
性の名前を入力します。
属性名は、ユーザー情報を含む JSON オブジェクトの項目名です。
[属性]
(オプション) IceToken アサーションで IceToken サブジェクトと一緒に名前と値のペアとしてサービ
ス プロバイダーに渡される 1 つ以上のユーザー属性をしています。
[設定] - ([パラメーター]) IceToken アサーションで送信される属性名を指定します。 この値は、サ
ービス プロバイダーが必要とする属性名です。
[宛先] - ([ソース]) IceToken アサーションで属性名と一緒に送信される属性値を指定します。 属性
値は、ソースと値のペアとして指定されます。 ドロップダウン リストからソースを選択します。
• [定数] - IceToken アサーションで送信する値を [値] フィールドで入力した定数に設定する場合に
指定します。
• [認証結果] - IceToken アサーションで送信する値を [認証結果] フィールドで入力した属性の値に
設定する場合に指定します。
標準の LDAP 属性名のリストを表示するには、このフィールドの横にあるアイコンをクリックします。
表 14-11 アサーション コンシューマー サービ (ACS)
オプション
定義
[ACS URL]
IceToken アサーションが送信され、使用されるサービスの URL を指定します。
[ACS バインド]
IceToken アサーションの送信に使用する HTTP メソッドを指定します。
• [POST] - HTTP POST メソッドを指定します。
• [リダイレクト] - HTTP GET メソッドを指定します。
表 14-12 IceToken アサーション
オプション 定義
[署名キー] Web Gateway が IceToken アサーションの署名に使用する秘密鍵の X.509 証明書キー ペアをドロ
ップダウン リストから選択します。
ドロップダウン リストからキー ペアを選択する前に、Web Gateway のインターフェースでキー ペア
をインポートする必要があります。
[発行者]
444
IceToken アサーションの発行者として Web Gateway の名前を指定します。
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
エンドユーザーによるアプリケーション ランチパッドの使用
14
表 14-13 条件
オプション
定義
[対象]
(オプション) 1 つまたは複数の IceToken アサーション コンシューマーに対象を制限できます。
対象を指定するには:
1 [追加] アイコンをクリックします。
2 [対象の URI] フィールドで、サービス プロバイダー発行者の文字列を入力します。 この値は、
サービス プロバイダーから取得できます。
[クロック ス
キュー (秒)]
異なるサーバーの 2 つのクロックの時間差を指定します。 この値は、IceToken アサーションの有
効期間を計算するときに使用します。
デフォルト値: 20
[ライフタイ
ム (秒)]
IceToken アサーションの有効期間を計算するときに使用するライフタイム値を指定します。 有効
期間が終了すると、IceToken アサーションは無効になります。 この設定を使用すると、リプライ
攻撃を防ぐことができます。
デフォルト値: 60
エンドユーザーによるアプリケーション ランチパッドの使用
ランチパッドを使用すると、アプリケーションを起動したり、アプリケーションのアカウントを選択または管理でき
ます。
全体のワークフロー
ユーザーの側から見ると、ランチパッドのワークフローは次のようになります。
1
管理者から提供されたランチパッドの URL を使用してランチパッドを開きます。
2
ランチパッドが開き、ログオン フォームが表示されます。ここに認証情報を入力します。
3
認証に成功すると、ユーザーにアクセスが許可されているアプリケーションのアイコンがランチパッドに表示さ
れます。アプリケーションを実行するため、ユーザーが該当するアイコンをクリックします。
表示されるアプリケーションがフィルタリングされます。 たとえば、非プロキシ モードの動的 HTTP アプリケーショ
ンや非対応のアプリケーション、ユーザーが許可されていないアプリケーションは表示されません。
ランチパッドを開く
管理者から提供されたランチパッドの URL を使用して、Web Gateway クライアントの Web ブラウザーでランチ
パッドを開きます。
Web ブラウザーで JavaScript を有効にする必要があります。
ランチパッドの URL には、SSO で設定した管理ホストの名前が含まれている必要があります。たとえば、ホスト名
が sso.mwginternal.com の場合、ランチパッドの URL には次のいずれかの値が含まれます。
•
https://sso.mwginternal.com
•
https://sso.mwginternal.com/launchpad
クラウド アプリケーションの選択
左パネルにクラウド アプリケーションのアイコンが表示されます。 ユーザーがアイコンをクリックすると、右ペイ
ンにアプリケーションのアカウント情報が表示されます。 アカウント情報が表示されない場合、いくつかの原因が考
えられます。
McAfee Web Gateway 7.5.0
製品ガイド
445
14
クラウド シングル サインオン
エンドユーザーによるアプリケーション ランチパッドの使用
•
HTTP アプリケーション - HTTP アプリケーションに初めてアクセスした場合、ユーザーが [アカウントの追
加] をクリックして認証情報を入力する必要があります。 追加したアカウントを編集または削除することもでき
ます。
•
SAML アプリケーション - SAML ユーザー情報が外部ソースから取得されるため、アカウント情報が表示また
は要求されません。
左または右パネルのアプリケーション リンクをクリックすると、SAML アプリケーションと HTTP アプリケーショ
ンにシングル サインオンを開始できます。
ユーザーがアプリケーションい複数のアカウントを持っている場合、左パネルにアプリケーションのアイコンが複数
回表示されます。 それぞれのアイコンにアカウントのユーザー名が表示されます。 特定のアプリケーション アカ
ウントを開く場合には、アプリケーションとアカウントのペアに対応するアイコンをダブルクリックします。
ランチパッドのオプション
ランチパッドには、クラウド アプリケーションを選択するオプションが用意されています。また、アプリケーション
のアカウントを操作したり、他のアプリケーションを表示することもできます。 以下の表は、これらのオプションに
ついて説明します。
表 14-14 ランチパッドのオプション
オプション
定義
アプリケーションのロゴ
クラウド アプリケーションを選択できます。
[アプリケーションの検索] 文字列を入力して、表示するクラウド アプリケーションを名前でフィルタリングでき
ます。
表示モード
ドロップダウン リストから表示モードを選択します。
• [アイコン] - 行内にアプリケーション アイコンが表示されます。
• [リスト] - アプリケーションのアイコンがリスト形式で表示されます。アプリケ
ーションのカテゴリも表示されます。
アプリケーションのソート クラウド アプリケーションのソート方法をドロップダウン リストから選択します。
• [名前別] - 名前でソートされたクラウド アプリケーションが表示されます。
• [カテゴリ別] - カテゴリと名前でソートされたクラウド アプリケーションが表示
されます。
[名前]
ユーザーが選択したクラウド アプリケーションのアイコンと名前が表示されます。
次のアカウント情報は、HTTP アプリケーションでのみ使用できます。 SAML ユーザー情報は外部ソースから取得され
ます。
[アカウント]
ユーザーが選択したクラウド アプリケーション アカウントのメール アドレスが表示
されます。
[アカウントの編集]
選択したクラウド アプリケーションのアカウントを編集できます。
[アカウントの追加]
クラウド アプリケーションにアカウントを追加できます。
[Web Gateway ユーザー] クラウド アプリケーションを選択したユーザーの名前が表示されます。
446
[カテゴリ]
ユーザーが選択したクラウド アプリケーションのカテゴリが表示されます。
[説明]
ユーザーが選択したクラウド アプリケーション アカウントの説明が表示されます。
[アカウントの削除]
選択したクラウド アプリケーションのアカウントを削除できます。
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
クラウド サービスのブックマークの作成
14
クラウド サービスのブックマークの作成
組織のユーザーがアクセスするクラウド サービスやアプリケーションにブックマークを作成できます。
ブックマークを作成するには、次の形式でリンクを記述します。
https://sso.mwginternal.com/login?service=<S>
<S> は、SSO カタログのサービス ID です。
ユーザーがサービスのリンクをクリックすると、SSO モジュールがログオン ページ用の HTML テンプレートを送信
します。 HTML テンプレートの JavaScript がユーザーのアカウント情報を取得し、サービスに渡します。 ユーザ
ーが持っているアカウントの数に応じて、次のいずれかのアクションが実行されます。
•
ユーザーがサービスのアカウントを持っていない場合 - ランチパッドに移動し、アカウントの作成オプションが
表示されます。 アカウントの作成後、SSO プロセスに従ってサービスにログオンできます。
•
ユーザーがサービスに 1 つのアカウントを持っている場合 - アカウントの作成後、SSO プロセスに従ってサー
ビスにログオンできます。
•
ユーザーがサービスに複数のアカウントを持っている場合 - ランチパッドに移動し、アカウントの選択オプショ
ンが表示されます。 アカウントの選択後、SSO プロセスに従ってサービスにログオンできます。
ダッシュボードを使用したクラウド アサービスへのログオンのモニタリング
ユーザー インターフェースのダッシュボードに、クラウド サービスまたはアプリケーションのログオンに関する統
計情報を表示できます。
[ダッシュボード] 、 [シングル サインオン統計] の順に選択します。次の情報が表示されます。
•
ログインの合計数 (累計)
•
クラウド アプリケーションまたはサービスごとのログイン数 (累計)
•
最もアクセスの多いクラウド サービスまたはアプリケーションのリスト
•
無効なトークンの数 (累計)
シングル サインオン ルール セットのサマリー
シングル サインオンを設定し、管理するには、シングル サインオン ルール セット、関連リストと設定を使用しま
す。
シングル サインオン ルール セットにはデフォルトの値が設定されています。この値をそのまま使用することも、変
更することができます。 ルール セットを初めてインポートして選択すると、ロックされたビューでデフォルトの設
定が表示されます。 シングル サインオンの設定と管理は、ロックされたビューで行います。
ルール セットの詳細にアクセスするには、ビューのロックを解除します。 ビューのロックを解除してこの操作を行
った場合、操作を元に戻すことはできません。 ロックされたビューに戻すには、ルール セットを削除して再度イン
ポートする必要があります。
デフォルト設定のロックを解除して表示すると、ネストされたルール セットが表示されます。これらのルール セッ
トは次の順番に処理されます。 特に断りのない限り、すべてのルール セットがデフォルトで有効になっています。
McAfee Web Gateway 7.5.0
製品ガイド
447
14
クラウド シングル サインオン
クラウド シングル サインオン設定のキー要素
1
サービスの選択 - このルール セットのルールは内部マップにサービスを追加します。このマップにより、現在
のユーザーが要求されたクラウド サービスにアクセス可能かどうかが判断されます。サービスはデフォルトのリ
ストから追加されます。
2
SSO 管理 - このルール セットには、シングル サインオンを管理するルール セットがネストされています。
3
SSO の実行 - このルール セットには、ログオン フォームを処理するルールが含まれています。
SSO 管理 ルール セットには次のルール セットがネストされています。 これらは、表示された順番に処理されま
す。
1
HTTPS 処理 - このルール セットのルールは、HTTPS プロトコルを使用してランチパッドとの通信をすべて保
護します。
2
ランチパッド - このルール セットのルールは、必要な情報をすべて使用してランチパッドまたはログオン ペー
ジを生成します。
3
OTP 認証 - このルール セットのルールは、2 番目の認証方法として OTP 認証を施行します。このルール セッ
トは、デフォルトで無効になっています。
4
ログイン アクションの取得 - このルール セットのルールは、ユーザーが要求しているサービスのコネクターに
関する情報を取得します。 HTTP サービスの場合、このルールは、ログオン アクションに必要なすべての情報を
含む応答を生成し、要求されたサービスに対するユーザーのアクセス権を確認します。
5
フォーム認証情報の管理 - このルール セットのルールは、認証情報の管理をユーザーに許可します。
6
未勝利の管理要求のブロック - このルール セットのルールは、存在しない SSO リソースに対するアクセスを
ブロックします。
ログイン アクション取得 ルール セットには次のルールが含まれています。 これらは、表示された順番に処理されま
す。
1
オンプレミスでのデータの取得 - このルール セットのルールは、外部の LDAP データソースから SAML シング
ル サインオンのユーザー情報を取得します。 このルール セットは、Web Gateway がオンプレミスにインスト
ールされ、実行されている場合にのみ適用されます。
2
クラウドでの属性の取得 - このルール セットは、SAML シングル サイオンに必要なデータを認証済みのユーザ
ー名から作成します。 これは、Web Gateway がクラウド上にインストールされ、実行されている場合にのみ適
用されます。
3
SAML SSO の実行 - このルール セットは、要求された SAML サービスでのシングル サインオンの完了に必要
な情報を含む応答を生成します。
4
IceToken SSO の実行 - このルール セットは、Web Gateway が提供するカスタム IceToken を使用して、要
求されたサービスでのシングル サインオンの完了に必要な情報を含む応答を生成します。
クラウド シングル サインオン設定のキー要素
シングル サインオン ルール セットのキー要素ビューを使用すると、よく使用する SSO 設定を変更できます。
SSO の設定
SSO 設定により、SSO モジュールを設定できます。 SSL スキャナーの設定により、ランチパッドと SSO のすべて
の通信が HTTPS プロトコルで保護されます。 シングル サインオンがプロキシ モードで実装されている場合には、
SSL スキャナー モジュールも有効にする必要があります。
448
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
クラウド シングル サインオン設定のキー要素
14
表 14-15 SSO の設定
オプション
定義
[SSO の設定]
[編集] をクリックすると、SSO モジュールが使用するデフォルトの SSO 設定が表示さ
れます。
[SSL スキャナーの設定] [編集] をクリックすると、証明書の設定が表示されます。これにより、ランチパッドと
SSO の通信を保護することができます。
SSO サービス
この設定により、ユーザーにアクセスを許可するサービスのコネクター リストを設定できます。
表 14-16 SSO サービス
オプション
定義
[認証ユーザーのサ [編集] をクリックすると、デフォルトの SSO サービス リストが開きます。個々のユーザーに
ービス]
アクセスが許可されているサービスのコネクターが表示されます。このリストにコネクターを
追加したり、リストからコネクターを削除できます。
[共有 SSO サービ [編集] をクリックすると、共有 SSO サービスのリストが開きます。アカウントを共有するユ
ス]
ーザーにアクセスが許可されているサービスのコネクターが表示されます。このリストにコネ
クターを追加したり、リストからコネクターを削除できます。
簡易ログインのホスト名
この設定を使用すると、サービス ID として使用するホスト名を設定できます。
表 14-17 ホスト名の関連付け
オプション
定義
[ホスト名の関連
付け]
[編集] をクリックすると、[SSO ホストとサービス ID の関連付け] リストが開きます。ここ
で、ホスト名とサービス ID の関連付けを行います。 関連付けを設定すると、ユーザーはブラ
ウザーのアドレス バーに次のいずれかの簡易 URL を入力して、クラウド サービスにアクセス
できます。
• http://<ホスト名>
• https://<ホスト名>
SAML と IceToken SSO のサポート
これらの設定を使用すると、SAML または IceToken 認証を使用するクラウド サービスとアプリケーションへのシ
ングル サインオンに LDAP データの取得方法を設定できます。
表 14-18 SAML と IceToken SSO のサポート
オプション
定義
[SAML と IceToken
SAML または IceToken 認証を使用するサービスとアプリケーションに対するシングル
SSO サポートを有効に サインオンを有効にします。
する]
[追加属性の取得]
LDAP データの取得方法を選択します。
• [LDAP] - 認証モジュールを使用して、1 つ以上の LDAP サーバーからデータを取得し
ます。
複数の LDAP サーバーを設定している場合、認証モジュールがフェールバックに対応し
ています。
• [外部リストとしての LDAP] - 外部リスト モジュールを使用して、1 つの LDAP サー
バーからデータを取得します。
McAfee Web Gateway 7.5.0
製品ガイド
449
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
表 14-18 SAML と IceToken SSO のサポート (続き)
オプション
定義
[LDAP の設定]
[編集] をクリックすると、認証モジュールの設定が表示されます。ここで、データソース
として 1 つ以上の LDAP サーバーを設定できます。
[外部リスト設定として [編集] をクリックすると、外部リスト モジュールの設定が表示されます。ここで、デー
の LDAP]
タソースとして 1 つの LDAP サーバーを設定できます。
OTP の使用 (ワンタイム パスワード)
この設定により、OTP 認証を設定できます。
表 14-19 OTP (ワンタイム パスワード) の使用
オプション
定義
[サービスへのアクセス 選択すると、シングル サインオン時に基本的な認証方法以外にワンタイム パスワードの
に OTP が必要]
入力が必要になります。
[OTP サーバーの設定]
[編集] をクリックすると、OTP の設定が開きます。
[OTP の配布方法]
オプションを選択して、ワンタイム パスワードの配布方法を指定します。
• [生成された OTP (Pledge)] - Pledge (デスクトップ コンピューターまたは携帯端
末の OTP クライアント) がワンタイム パスワードを生成します。
• [配布された OTP] - OTP サーバーがワンタイム パスワードを生成し、電子メールま
たは SMS を配布します。
[OTP を必要とするサ
ービス]
[編集] をクリックすると、[OTP で保護された SSO サービス] リストが表示されます。
ここで、サービスをリストに追加できます。
シングル サインオン ルール セットのリファレンス
シングル サインオン ルール セット ライブラリにあるネストされたルール セットを使用すると、組織内のエンドユ
ーザーにクラウド サービスとアプリケーションに対する SSO アクセスを設定できます。
ライブラリ ルール セット - シングル サインオン
条件 - Always
サイクル - 要求 (IM)、応答
シングル サインオン ルール セットには次のルールが含まれています。
•
•
450
サービスの選択
SSO 管理
•
HTTPS 処理
•
ランチパッド
•
OTP 認証
•
ログイン アクションの取得
•
オンプレミスでの属性の取得
•
クラウドでの属性の取得
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
•
•
SAML SSO の実行
•
IceToken SSO の実行
•
フォーム認証情報の管理
•
未処理の管理要求のブロック
14
SSO の実行
SSO 管理グループにネストされているルール セットは、SSO.IsManagementRequest プロパティが true を戻し
たときに実行されます。 このプロパティは、内部または外部の SSO 要求が次の場合に true に設定されます。
•
内部 SSO 要求 - SSO.Action プロパティが内部 SSO 要求アクションに対応する文字列を戻した場合。
•
外部 SSO 要求 - 外部 SSO 要求が Web Gateway の SSO サービス URL に送信された場合。
ログイン アクションの取得グループにネストされたルール セットは、ユーザー情報を取得し、SAML クラウド サー
ビスまたはアプリケーションにシングル サインオンを実行します。
サービス選択ルール セット
このルール セットのルールは、クラウド サービスのリストを取得します。このリストに従って、認証ユーザーまた
は共有アカウントのユーザーにアクセスが許可されます。 他の SSO 操作のモジュールでは、このリストだけでな
く、このルール セットのルールを使用して設定した情報も使用できます。
ネストされたライブラリ ルール セット - サービスの選択
条件 - Always
サイクル - 要求 (IM)
サービス選択ルール セットには次のルールが含まれています。
サービスの追加 (個々のアドレス)
ルール要素
定義
[条件]
Authentication.IsAuthenticated equals true AND
String.IsEmpty(Authentication.UserName) equals false
[アクション]
Continue
[イベント]
SSO.AddServices ("defaultIDP",
Authentication.UserName,
Default SSO Services, {
"label":"Individual",
"permit-usage":"yes",
"permit-management":"yes"
})<Default>
ユーザーが認証されると、SSO モジュールがクラウド サービスのリストを取得します。このリストに基づいて、ユ
ーザーにアクセスが許可されます。
SSO モジュールが次のプロパティと設定でイベントを実行します。
•
"defaultIDP" - ユーザー アカウント情報が保存されている認証情報ストアのドメイン (MAS)。
•
Authentication.UserName - 認証ユーザーの名前。
McAfee Web Gateway 7.5.0
製品ガイド
451
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
•
•
•
デフォルトの SSO サービス - 認証ユーザーにアクセスが許可されているサービスのリスト。
以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。
•
"label" - アカウントのタイプ:"Individual" または "Shared"
•
"permit-usage" - リストのサービスに対する認証済みユーザーのアクセスを許可または拒否します。ある
いは、OTP 認証を要求します。アクセスを設定するには、"yes"、"no" または "otp" を指定します。
•
"permit-management" - 認証済みユーザーによるアカウント管理機能へのアクセスを許可または拒否し
ます。あるいは、OTP 認証を要求します。アクセスを設定するには、"yes"、"no" または "otp" を指定しま
す。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
サービスの追加 (個々のアカウント、OTP 認証後の使用)
ルール要素
定義
[条件]
Authentication.IsAuthenticated equals true AND
String.IsEmpty(Authentication.UserName) equals false
[アクション]
Continue
[イベント]
SSO.AddServices ("defaultIDP",
Authentication.UserName,
OTP Secured SSO Services, {
"label":"Individual",
"permit-usage":"otp",
"permit-management":"otp"
})<Default>
ユーザーが認証されると、SSO モジュールがクラウド サービスのリストを取得します。 ランチパッドに入力された
ワンタイム パスワードで再度認証を実行した後で、OTP で保護されたサービスに対するアクセスまたは管理を認証
済みユーザーに許可します。
SSO モジュールが次のプロパティと設定でイベントを実行します。
•
"defaultIDP" - ユーザー アカウント情報が保存されている認証情報ストアのドメイン (MAS)。
•
Authentication.UserName - 認証ユーザーの名前。
•
OTP で保護された SSO サービス - ワンタイム パスワードで再度認証を受けた後に認証ユーザーにアクセスが
許可されるサービスのリスト。
•
以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。
•
452
•
"label" - アカウントのタイプ:"Individual" または "Shared"
•
"permit-usage" - リストのサービスに対する認証済みユーザーのアクセスで、OTP 認証を要求します。
値:"otp"
•
"permit-management" - 認証済みユーザーによるアカウント管理機能に対するで、OTP 認証を要求しま
す。値:"otp"
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
14
サービスの追加 (共有アドレス)
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
SSO.AddServices ("defaultIDP",
"sharedAccounts",
Shared SSO Services, {
"label":"Shared",
"permit-usage":"yes",
"permit-management":"yes"
})<Default>
SSO モジュールがクラウド サービスのリストを取得します。このリストに従って、共有アカウントの認証ユーザー
にアクセスが許可されます。
•
"defaultIDP" - ユーザー アカウント情報が保存されている認証情報ストアのドメイン (MAS)。
•
"sharedAccounts" - 共有アカウント。
•
共有 SSO サービス - 共有アカウントの認証ユーザーにアクセスを許可するサービスのリスト。
•
以下のオプションは、JSON 形式で 1 つのパラメーターに指定されます。
•
•
"label" - アカウントのタイプ:"Individual" または "Shared"
•
"permit-usage" - リストのサービスに対する共有アカウント ユーザーのアクセスを許可または拒否しま
す。あるいは、OTP 認証を要求します。アクセスを設定するには、"yes"、"no" または "otp" を指定します。
•
"permit-management" - 共有アカウントのユーザーによるアカウント管理機能へのアクセスを許可また
は拒否します。あるいは、OTP 認証を要求します。アクセスを設定するには、"yes"、"no" または "otp" を
指定します。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
覚えやすいホスト名でのシングル サインオンの処理
ルール要素
定義
[条件]
Map.HasKey (SSO Host to Service ID mapping, URL.Host) equals true
[アクション] Redirect (リダイレクト)
[イベント]
Set Redirect.URL = "http://"+ SSO.ManagementHost<Default> + "/login?service=" +
Map.GetStringValue (SSO Host to Service ID mapping, URL.Host)
SSO ホストとサービス ID のマップに、要求されたサービスのホスト名が含まれている場合、そのサービスに設定さ
れた URL に要求がリダイレクトされます。
SSO モジュールが指定された文字列、以下のプロパティと設定からリダイレクト URL を作成します。
•
SSO.ManagementHost - Web Gateway 提供の SSO サービスのホスト名。
•
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
•
Map.GetStringValue (SSO Host to Service ID mapping, URL.Host) - SSO ホストとサービス ID のマッ
プで要求されたサービスのホスト名を検索し、サービスのサービス ID を戻します。
McAfee Web Gateway 7.5.0
製品ガイド
453
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
HTTPS 処理ルール セット
このルール セットは、HTTPS プロトコルで実行されるエンドユーザーとランチパッド間の SSO 通信を保護します。
ネストされたライブラリ ルール セット - HTTPS の処理
条件 - Always
サイクル - 要求 (IM)
HTTPS 処理ルール セットには、次のルールが含まれています。
証明書の定義
ルール要素
定義
[条件]
Command.Name equals "CONNECT"
[アクション]
Stop Cycle
[イベント]
Enable SSL Client Context without CA <Launchpad certificate>
Enable SSL Scanner <Enable Content Inspection>
SSO 接続が必要な場合、このルールは要求サイクルを停止します。SSO モジュールが SSL 証明書を提供し、コン
テンツ検査を有効にします。
SSO モジュールが次の設定でイベントを実行します。
•
<ランチパッドの証明書> - SSL 証明書と設定を指定します。デフォルトの証明書を使用することも、インポー
トして使用することもできます。
•
<コンテンツ検査を有効にする> - SSL スキャン モジュールによるコンテンツ検査を有効にするように設定を
行います。
HTTPS へのアップグレード
ルール要素
定義
[条件]
Connection.Protocol equals "HTTP"
[アクション]
Redirect<Default>
[イベント]
Set URL.Protocol = "https"
Set Redirect.URL = URL
接続プロトコルが HTTP の場合、SSO モジュールが SSO プロトコルを "https" に設定し、SSO 要求を指定の URL
にリダイレクトします。
ルールが次の設定でリダイレクト アクションを実行します。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
ランチパッド ルール セット
このルール セットは、必要な情報をすべて使用してランチパッドまたはログオン ページを生成します。
ネストされたライブラリ ルール セット - ランチパッド
条件 - Always
サイクル - 要求 (IM)
ランチパッド ルール セットには、以下のルールが含まれます。
454
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
14
ランチパッドの作成
ルール要素
定義
[条件]
URL.Path equals "/" OR URL.Path equals "/launchpad"
[アクション]
Block<SSO Launchpad>
[イベント]
HTTP.SetStatus (200)
要求された URL が SSO サービスまたはランチパッドを指定している場合、このルールが次の設定を使用してラン
チパッドを生成します。
<SSO Launchpad> - ランチパッドの生成に使用する言語とテンプレートの設定を指定します。
ランチパッドの設定は変更しないことをお勧めします。
SSO モジュールは HTTP ステータス コードを 200 (OK) に設定します。
自動ログイン ページの作成
ルール要素
定義
[条件]
URL.Path equals "/login"
[アクション]
Block<SSO Loginpage>
[イベント]
HTTP.SetStatus (200)
要求された URL が SSO ログオン ページを指定している場合、このルールが次の設定を使用して、JavaScript を含
むログオン ページを生成します。
<SSO Loginpage> - ログオン ページの生成に使用する言語とテンプレートの設定を指定します。
ログオン ページの設定は変更しないことをお勧めします。
SSO モジュールは HTTP ステータス コードを 200 (OK) に設定します。
自動ログイン ページの作成 (一部のサービスとの互換性)
ルール要素
定義
[条件]
URL.Path matches regex(/login-.+)
[アクション]
Block<SSO Loginpage>
[イベント]
Set URL.Parameters = List.OfString.Append
(URL.Parameters, String.Concat
("service=", String.SubString
(URL.Path, 7, -1)))
Set URL.Path = "/login"
HTTP.SetStatus (200)
このルールは、要求された URL がデフォルトの形式ではなく、/login-<Service ID> という形式で SSO ログオ
ン ページを指定している場合に適用されます。SSO サービスが予期する形式は /login?service=<Service ID>
です。 このルールは、次の設定を使用してログオン ページを生成します。
<SSO Loginpage> - ログオン ページの生成に使用する言語とテンプレートの設定を指定します。
ログオン ページの設定は変更しないことをお勧めします。
McAfee Web Gateway 7.5.0
製品ガイド
455
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
SSO モジュールは、要求された URL をデフォルトの形式で再構築し、HTTP ステータス コードを 200 (OK) に設
定します。
シングル サインオンを SP で開始した場合、一部の SAML サービスは IdP URL でクエリ パラメーターを使用できま
せん。
ツールの取得
ルール要素
定義
[条件]
SSO.Action<Default> equals "GetTools"
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (SSO.GetTools<Default>)
SSO アクションの名前が GetTools の場合、このルールは要求サイクルを停止します。 SSO モジュールがログオ
ン ページまたはランチパッドの要求に対する応答を生成します。 応答は、JavaScript ツールで構成された文字列で
す。
このルールは次の設定で実行されます。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
サービスの取得
ルール要素
定義
[条件]
SSO.Action<Default> equals "GetServices"
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (SSO.GetServices
(JSON.ReadFromString (URL.GetParameter ("conditions")))<Default>
SSO 要求がクラウド サービスに対する要求の場合、このルールは要求サイクルを停止します。SSO モジュールが現
在のユーザーに対する応答を JSON 形式で生成します。この応答には、サービス選択ルール セットで追加された情
報がすべて含まれています。ユーザーにアクセスが許可されたクラウド サービスの名前やすべてのアカウント情報
などが戻されます。
このルールは次の設定で実行されます。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
OTP 認証ルール セット
このルール セットを有効にすると、クラウド サービスとアプリケーションにアクセスするエンド ユーザーの 2 番目
の認証方法として OTP 認証を施行できます。
ネストされたライブラリ ルール セット — OTP 認証
条件 - SSO.OtpRequired<Default> equals true
サイクル - 要求 (IM)
このルール セットのルールは、SSO アクションで OTP 認証が必要な場合に実行されます。
456
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
14
OTP コンテキストの準備
ルール要素
定義
[条件]
URL.HasParameter ("requestOTP") equals true OR
URL.HasParameter ("pledgeOTP") equals true
[アクション]
Continue
[イベント]
Authentication.SendOTP<OTP>
認証ユーザーからワンタイム パスワードが要求されると、SSO モジュールがユーザーにパスワードを送信します。
OTP 要求の種類は次のとおりです。
•
requestOTP - ユーザーが McAfee OTP サーバーを介してワンタイム パスワードを要求します。
•
pledgeOTP - ユーザーが Pledge を介してワンタイム パスワードを要求します。Pledge は、コンピューター
または携帯端末のローカルで実行される OTP クライアントです。
SSO モジュールが次の設定でイベントを実行します。
<OTP> - OTP 認証の設定
OTP コンテキストを戻す
ルール要素
定義
[条件]
URL.HasParameter ("requestOTP") equals true
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (JSON.ToString
(JSON.StoreByName (JSON.CreateObject,
"otp-context", JSON.FromString
(Authentication.OTP.Context<OTP>))))
HTTP.SetStatus (403)
認証ユーザーからワンタイム パスワードが要求されると、このルールが要求サイクルを停止します。SSO モジュー
ルが OTP コンテキストを含む応答を JSON オブジェクトとして生成します。McAfee OTP サーバーがワンタイム
パスワードに応答すると、OTP コンテキストはヘッダー フィールドで提供されます。
SSO モジュールが次の設定でこのイベントを実行します。
<OTP> - OTP 認証の設定
SSO モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。
配布された OTP の検証
ルール要素
定義
[条件]
Authentication.Authenticate<OTP> equals false
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse
("{"authentication-required":"delivered-otp"}")
HTTP.SetStatus (403)
OTP 認証に失敗すると、このルールが要求サイクルを停止します。SSO モジュールが認証結果と方法を含む応答を
生成します。この方法 (配布された OTP) は、McAfee OTP サーバーからワンタイム パスワードが配布されたこと
を意味します。
McAfee Web Gateway 7.5.0
製品ガイド
457
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
SSO モジュールが次の設定でこのイベントを実行します。
<OTP> - OTP 認証の設定
SSO モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。
ワンタイム パスワードが McAfee OTP サーバーから配布される場合には、このルールを有効にします。
Pledge で生成された OTP の検証
ルール要素
定義
[条件]
Authentication.Authenticate<OTP> equals false
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse
("{"authentication-required":"generated-otp"}")
HTTP.SetStatus (403)
OTP 認証に失敗すると、このルールが要求サイクルを停止します。SSO モジュールが認証結果と方法を含む応答を
生成します。この方法 (生成された OTP) は、Pledge OTP クライアントがワンタイム パスワードを生成したことを
意味します。
SSO モジュールが次の設定でこのイベントを実行します。
<OTP> - OTP 認証の設定
SSO モジュールは HTTP ステータス コードを 403 (Forbidden) に設定します。
ワンタイム パスワードが Pledge OTP クライアントで生成される場合には、このルールを有効にします。
ログイン アクション取得ルール セット
このルール セットは、要求されたクラウド サービスまたはアプリケーションのコネクターに関する情報を取得しま
す。 次に、ログオンと SSO プロセスの完了に必要な情報を含む応答を生成します。
ネストされたライブラリ ルール セット - ログイン アクションの取得
条件 - SSO.Action<Default> equals "GetLoginAction"
サイクル - 要求 (IM)
ログイン アクションの取得ルール セットには、以下のルールが含まれます。
コネクター情報の取得
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
Set User-Defined.sso-conn-info = SSO.GetConnectorInfo
(String.ToSSOConnector (URL.GetParameter ("service")))
SSO モジュールが、ユーザーから要求されたサービスのコネクターに関する情報を取得し、sso-conn-info とい
うローカル変数に JSON オブジェクトとして保存します。次の情報が取得されます。
458
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
•
名前 (文字列) - クラウド コネクターのユーザー定義の名前。
•
サービス ID (文字列) - クラウド サービスまたはアプリケーションの ID。
•
タイプ (文字列) - クラウド サービスが使用する認証方法。
14
値: HTTP、SAML2
•
インライン (ブール値) - true の場合、クラウド コネクターはプロキシ モードまたはインライン モードでのシ
ングル サインオンを必要とする動的 HTTP クラウド サービスをサポートしています。
•
廃止 (ブール値) - true の場合、クラウド コネクターはサポートされていません。
ログイン アクションの取得 (フォームによるログイン)
ルール要素
[条件]
定義
JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type"))
equals "http"
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (SSO.GetPOSTLoginAction
(URL.GetParameter ("realm"),
URL.GetParameter ("user"),
URL.GetParameter ("service"),
URL.GetParameter ("account"))<Default>)
クラウド コネクター タイプが HTTP の場合、このルールは要求サイクルを停止します。 SSO モジュールが、要求
された HTTP サービスまたはアプリケーションでのシングル サインオンの完了に必要な情報を含む応答を生成しま
す。
SSO モジュールが次の設定で HTTP.GenerateResponse イベントを背実行します。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
ユーザーのアクセス権限の検証
ルール要素
定義
[条件]
SSO.UserHasAccessToService (URL.GetParameter ("realm"),
URL.GetParameter ("user"),
URL.GetParameter ("service"),
"usage")<Default> equals false
[アクション]
Block<SSO:User Has No Access To Service>
[イベント]
このルールは、"service" と "usage" パラメーターを検証し、要求されたサービスまたはアプリケーションに対する
アクセス権がユーザーに付与されているかどうか確認します。 "service" パラメーターが空か、"usage" パラメータ
ーが "no" に設定されている場合、要求されたサービスに対するアクセスをブロックします。
このルールは次の設定で実行されます。
•
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
•
<SSO: User Has No Access To Service> - ユーザーに表示するブロック メッセージに使用する言語とテン
プレートの設定を指定します。
McAfee Web Gateway 7.5.0
製品ガイド
459
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
「オンプレミスでの属性の取得」ルール セット
このルール セットのルールは、外部の LDAP データソースから SAML シングル サインオンのユーザー情報を取得し
ます。 このルール セットはデフォルトで無効になっています。インストールされた Web Gateway がオンプレミ
スで実行され、SSO タイプが SAML2 の場合にのみ、このルール セットが適用されます。
ネストされたライブラリ ルール セット - オンプレミスでの属性の取得
条件 - InTheCloud equals false AND JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info,
"type")) does not equal "HTTP"
サイクル - 要求 (IM)
「オンプレミスでの属性の取得」ルール セットには次のルールが含まれています。
LDAP からの追加属性の取得
ルール要素
定義
[条件]
Always
[アクション] Continue
[イベント]
Set Authentication.RawUserName = Authentication.UserName
Set User-Defined.sso-user-data = Authentication.GetUserGroupsJSON<LDAP
Authentication>
SSO モジュールが、認証フィルターを使用して外部の LDAP データ ソースからユーザー情報を取得します。
sso-user-data というローカル変数に JSON オブジェクトとして情報を保存します。 ユーザー情報は、
name-value ペア属性から構成されます。このペアが SAML サービスまたはアプリケーションで使用されます。
このイベントは次の設定で実行されます。
<LDAP Authentication> - 外部 LDAP データソースに設定した認証フィルターを指定します。
外部リストによる LDAP からの追加属性の取得
ルール要素
定義
[条件]
Always
[アクション] Continue
[イベント]
Set User-Defined.sso-user-data = ExtLists.JSON (Authentication.UserName, "",
"")<LDAP Source>
SSO モジュールが、外部リスト フィルターを使用して外部の LDAP データ ソースからユーザー情報を取得しま
す。 sso-user-data というローカル変数に JSON オブジェクトとして情報を保存します。 ユーザー情報は、
name-value ペア属性から構成されます。このペアが SAML サービスまたはアプリケーションで使用されます。
このイベントは次の設定で実行されます。
<LDAP Source> - 外部 LDAP データソースに設定した外部リスト フィルターを指定します。
460
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
14
「クラウドでの属性の取得」ルール セット
このルール セットは、SAML シングル サイオンに必要なデータを認証済みのユーザー名から作成します。 これはデ
フォルトで無効になっています。インストールされた Web Gateway がクラウドで実行され、SSO タイプが
SAML2 の場合にのみ、このルール セットが適用されます。
ネストされたライブラリ ルール セット - クラウドでの属性の取得
条件 - InTheCloud equals true AND JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info,
"type")) does not equal "HTTP"
サイクル - 要求 (IM)
「クラウドでの属性の取得」ルール セットには次のルールが含まれています。
ユーザー名からユーザー データを取得する
ルール要素
定義
[条件]
Authentication.IsAuthenticated equals true AND
Authentication.UserName matches *@* AND
JSON.Size (User-Defined.sso-user-data) equals 0
[アクション]
Continue
[イベント]
Set User-Defined.sso-user-data =
JSON.StoreByName
(User-Defined.sso-user-data, "mail",
JSON.FromString (Authentication.UserName))
このルールは、ユーザーが認証済みの場合にのみ適用されます。ユーザー名は電子メール アドレス、sso-user-data
変数は空です。このルールは、name-value ペア属性を mail で保存します。ユーザーの電子メール アドレスは
JSON オブジェクトとして sso-user-data 変数に保存されます。
SAML SSO 実行ルール セット
このルール セットは、要求された SAML サービスまたはアプリケーションでのシングル サインオンの完了に必要な
情報を含む応答を生成します。
ネストされたライブラリ ルール セット - SAML SSO の実行
条件 - Always
サイクル - 要求 (IM)、応答、埋め込みオブジェクト
SAML SSO 実行ルール セットには、次のルールが含まれています。
ログイン アクションの取得 (SAML)
ルール要素
定義
[条件]
JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type"))
matches saml*
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (SSO.GetSAMLLoginAction
(URL.GetParameter ("service"),
User-Defined.sso-user-data)<Default>)
McAfee Web Gateway 7.5.0
製品ガイド
461
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
クラウド コネクター タイプが SAML2 の場合、このルールは要求サイクルを停止します。 SSO モジュールが、要
求された SMAL サービスまたはアプリケーションでのシングル サインオンの完了に必要なユーザー情報を含む応答
を生成します。
このイベントは次の設定で実行されます。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
IceToken SSO 実行ルール セット
このルール セットは、要求されたサービスまたはアプリケーションでのシングル サインオンの完了に必要な情報を
含む応答を生成します。
ネストされたライブラリ ルール セット - IceToken SSO の実行
条件 - Always
サイクル - 要求 (および IM)
ログイン アクションの取得 (IceToken)
IceToken SSO 実行ルール セットには、次のルールが含まれています。
ルール要素
[条件]
定義
JSON.AsString (JSON.GetByName (User-Defined.sso-conn-info, "type"))
equals "icetoken"
[アクション]
Stop Cycle
[イベント]
HTTP.GenerateResponse (SSO.GetIceTokenLoginAction
(URL.GetParameter ("service"),
User-Defined.sso-user-data)<Default>)
クラウド コネクター タイプが IceToken の場合、このルールは要求サイクルを停止します。 SSO モジュールが、
要求されたサービスまたはアプリケーションでのシングル サインオンの完了に必要なユーザー情報を含む応答を生
成します。
このイベントは次の設定で実行されます。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
「フォーム認証情報の管理」ルール セット
このルール セットのルールを使用すると、HTTP クラウド サービスとアプリケーションのアクセスに必要な認証情
報の管理をエンドユーザーに許可できます。
ネストされたライブラリ ルール セット - フォーム認証情報の管理
条件 - Always
サイクル - 要求 (IM)
フォーム認証情報管理ルール セットには、以下のルールが含まれます。
462
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
14
認証情報の追加
ルール要素
定義
[条件]
SSO.Action<Default> equals "AddCredentials"
[アクション]
Stop Cycle
[イベント]
SSO.AddCredentials (URL.GetParameter ("realm"),
URL.GetParameter ("user"),
URL.GetParameter ("service"),
JSON.ReadFromString (Body.ToString (0, Body.Size)))<Default>
SSO.Generate.Response ("done")
SSO アクションの名前が AddCredentials の場合、このルールは要求サイクルを停止します。 SSO モジュールが、
指定された HTTP サービスのシングル サインオンに必要な認証情報を URL 文字列から取得します。 ユーザー情報
のデータベースに認証情報を追加します。 SSO モジュールが認証情報を JSON 形式で戻し、ユーザーへの応答を生
成します。
このルールは次の設定で実行されます。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
認証情報の更新
ルール要素
定義
[条件]
SSO.Action<Default> equals "UpdateCredentials"
[アクション]
Stop Cycle
[イベント]
SSO.UpdateCredentials (URL.GetParameter ("realm"),
URL.GetParameter ("user"),
URL.GetParameter ("service"),
URL.GetParameter ("account"),
JSON.ReadFromString (Body.ToString (0, Body.Size)))<Default>
SSO.Generate.Response ("done")
SSO アクションの名前が UpdateCredentials の場合、このルールは要求サイクルを停止します。 SSO モジュール
が、指定された HTTP サービスのシングル サインオンに必要な認証情報を URL 文字列から取得します。 ユーザー
情報のデータベースで認証情報を更新します。 SSO モジュールが認証情報を JSON 形式で戻し、ユーザーへの応答
を生成します。
このルールは次の設定で実行されます。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
McAfee Web Gateway 7.5.0
製品ガイド
463
14
クラウド シングル サインオン
シングル サインオン ルール セットのリファレンス
認証情報の削除
ルール要素
定義
[条件]
SSO.Action<Default> equals "DeleteCredentials"
[アクション]
Stop Cycle
[イベント]
SSO.DeleteCredentials (URL.GetParameter ("realm"),
URL.GetParameter ("user"),
URL.GetParameter ("service"),
URL.GetParameter ("account"))<Default>
SSO.Generate.Response ("done")
SSO アクションの名前が DeleteCredentials の場合、このルールは要求サイクルを停止します。 SSO モジュール
がユーザー情報のデータベースから認証情報を削除し、ユーザーへの応答を生成します。
このルールは次の設定で実行されます。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
未処理の管理要求ブロック ルール セット
このルール セットは、存在しない SSO リソースに対するアクセスをブロックします。
ネストされたライブラリ ルール セット - 管理要求ブロック
条件 - Always
サイクル - 要求 (IM)
管理要求ブロック ルール セットには、以下のルールが含まれます。
無効な管理要求または未処理の管理要求のブロック
ルール要素
定義
[条件]
Always
[アクション]
Block<File Not Found>
[イベント]
HTTP.SetStatus (404)
このルールは、要求されたリソースが存在せず、以下の設定で実行されている場合に、リソースに対するアクセスを
ブロックします。
<File Not Found> - エンドユーザーに表示するブロック メッセージに使用する言語とテンプレートの設定を指定
します。
SSO モジュールは HTTP ステータス コードを 404 (Not Found) に設定します。
SSO 実行ルール セット
このルール セットを使用すると、シングル サインオンがプロキシ (インライン) モードで実装されている場合に、エ
ンドユーザーが HTTP クラウド サーバーまたはアプリケーションにログオンンできます。
ネストされたライブラリ ルール セット - SSO の実行
条件 - Always
サイクル - 要求 (IM)、応答
SSO 実行ルール セットには、次のルールが含まれています。
464
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオンのリストと設定
14
ログイン フォームの処理
ルール要素
定義
[条件]
Always
[アクション]
Continue
[イベント]
SSO.ProcessFormLogin<Default>
SSO モジュールがログオン フォームを処理します。ユーザーは、このフォームを使用してプロキシ (インライン) モ
ードの HTTP クラウド サービスまたはアプリケーションにアクセスします。 SSO.ProcessFormLogin イベントの
処理は、ログオン プロセスの手順によって異なります。
•
ユーザーがログオン フォームを要求したとき - ログオン ページに JavaScript が追加されます。これにより、
動的 HTTP クラウド サービスへのシングル サインオンが可能になります。また、実際のパスワードがパスワー
ド トークンに置換されます。
•
ユーザーがログオン フォームを送信したとき - パスワード トークンが実際のパスワードに置換されます。
SSO モジュールが次の設定でこのイベントを実行します。
<Default> - Web Gateway 提供の SSO サービスに接続する設定。
シングル サインオンのリストと設定
SSO モジュールは、SSO の設定に従って、SSO ルール セットのルールで使用されている SSO プロパティとイベ
ントから値とパラメーターを取得します。 SSO モジュールが使用する設定の一部はリストとして設定されます。
シングル サインオン リスト
SSO モジュールが使用する設定の一部はリストとして設定されます。
SSO ホストとサービス ID の関連付け
SSO ホストとサービス ID の関連付けを行うと、覚えやすい名前 (ホスト名) と設定済みのコネクターのサービス
ID を関連付けることができます。 ユーザーが Web ブラウザーのアドレス フィールドにホスト名を入力します。
SSO サービスがマップでホスト名を検索し、サービス ID を取得します。 ホスト名とサービス ID はキー/値ペアと
して保存されます。
SSO モジュールがカスタム コネクターに割り当てたサービス ID が数値の場合、この機能は非常に便利です。
このリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [マップ タイプ] の順に選択します。
表 14-20
SSO ホストとサービス ID の関連付け
オプション 定義
[キー]
設定済みのコネクターに分かりやすい名前を指定します。
例:MyConnector
[値]
設定済みのコネクターのサービス ID を指定します。サービス ID は SSO カタログで検索できます。
SSO サービス
SSO モジュールのデフォルトのリストを使用すると、ユーザーにアクセスを許可するクラウド サービスを設定でき
ます。 独自のアクセス制御リストを作成して設定することもできます。
これらのリストを使用するには、[ポリシー] 、 [リスト] 、 [カスタム リスト] 、 [SSO コネクター] の順に選択し
ます。
McAfee Web Gateway 7.5.0
製品ガイド
465
14
クラウド シングル サインオン
シングル サインオンのリストと設定
表 14-21 SSO サービス
リスト名
定義
[デフォルトの SSO サービ
ス]
ユーザーにアクセスを許可するクラウド サービスのコネクターが記述されたデフォ
ルトのリストです。
[OTP で保護された SSO サ
ービス]
基本的な認証方法以外に OTP 認証を必要とするクラウド サービスのコネクターが
記述されたリストです。
[共有 SSO サービス]
アカウントを共有しているユーザーにアクセスを許可するクラウド サービスのコネ
クターが記述されたリストです。
SSO カタログ
SSO カタログでは、事前定義のクラウド コネクターとカスタム クラウド コネクターの情報を確認できます。テン
プレートから新しいコネクターを設定して、カスタム コネクターのリストに表示できます。
これらのリストを使用するには、[ポリシー] 、 [リスト] 、 [システム リスト] 、 [SSO カタログ] の順に選択しま
す。
表 14-22
SSO カタログ
オプショ
ン
定義
[アイコ
ン]
デフォルトのアイコンは、コネクターが設定されているクラウド サービスまたはアプリケーションのロ
ゴです。カスタム コネクターの場合、デフォルトのアイコンを任意の画像で置換できます。
[名前]
事前定義コネクターまたはカスタム コネクターの名前です。
• 事前定義のコネクター - デフォルトの名前はサービス ID ですが、この名前は管理者が変更してい
る場合があります。
• カスタム コネクター - コネクター インスタンスを設定した管理者によって割り当てられた名前で
す。
[説明]
(オプション) コネクター インスタンスの説明。
[カテゴ
リ]
クラウド サービスまたはアプリケーションがユーザーに提供するサービスの種類。 デフォルトの値を
変更したり、複数のカテゴリを設定できます。
例:ビジネス インテリジェンス、コンテンツ管理、セキュリティ
[サービス 各コネクターを一意に識別する ID。
ID]
• 事前定義のコネクター - ID はクラウド サービスまたはアプリケーションの名前になります。
例:ABIresearch
• カスタム コネクター - ID は SSO サービスが割り当てた番号になります。
例:229
[タイプ]
コネクターが設定されているクラウド サービスまたはアプリケーションが使用する認証方法。
値: HTTP、SAML2
シングル サインオンの設定
SSO モジュールは、SSO の設定に従って、SSO ルール セットのルールで使用されている SSO プロパティとイベ
ントから値とパラメーターを取得します。
デフォルトの SSO 設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [シングル サインオン] 、 [デフォ
ルト] の順に選択します。
466
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
シングル サインオンのリストと設定
14
シングル サインオン
Web Gateway 提供の SSO サービスとの接続に必要な設定を指定します。
表 14-23 シングル サインオン
オプション
定義
[管理ホスト] Web Gateway がインストールされ、SSO プロセスが実行されるサーバーの URL を指定します。
SSO 要求は、この URL で解決されます。 Web Gateway は、この URL で受信した要求を SSO
要求として認識します。 SSO 要求を受信すると、SSO.IsManagementRequest プロパティ
が true に設定されます。
デフォルト値: sso.mwginternal.com
非プロキシ モードの場合、この設定は Web Gateway アプライアンスの IP アドレスとして使用され
ます。 プロキシ モードと非プロキシ モードの要求を処理するには、2 つのルール セットを使用し、
それぞれのルール セットで異なる管理ホストを設定します。
ログイン フォーム
プロキシ モードを有効にして、秘密鍵を PEM 形式でインポートまたはエクスポートします。
表 14-24 ログイン フォーム
オプション
定義
[MWG をインラインで実行する (必
須: SSL スキャン有効)]
選択すると、Web Gateway はプロキシ (またはインライン) モードで SSO
プロセスを処理します。
[SSO トークンの署名に使用する秘
密鍵]
SSO プロセスで生成された SAML アサーションの署名に使用する秘密鍵
を PEM ファイル形式でインポートできます。秘密鍵は、PEM ファイル形式
でエクスポートできます。
詳細設定
SSO プロセスの P3P 文字列とデバッグ ロギング レベルを設定します。
表 14-25 詳細設定
オプション
定義
[SSO トークン Cookie
の設定に使用する P3P 文
字列]
P3P (Privacy Preferences Project) プラットフォームで必要な設定文字列を指定し
ます。この値は、エンドユーザーのブラウザーのプライバシー設定に一致させる必要が
あります。多くの場合、デフォルト値 (CP="NOI CUR OUR STP STA") を使用しま
す。
Internet Explorer の場合、このデフォルト値を変更する必要があります。P3P 文字列
を正しく設定しないと、SSO プロセスに失敗します。
[デバッグ ロギング レベ
ル (必須: SSO デバッグ
ログ ルール セット)]
ドロップダウン リストからデバッグ ロギング レベルを選択します。
• 無効
• エラー
• 情報
• 追跡
デバッグ ロギングを有効にするには、ルール セット ライブラリから [SSO デバッグ
ログ] ルール セットをインポートし、[ログ ハンドラー] ルール セットに追加します。
必要に応じて、デフォルトのロギング設定を変更します。
McAfee Web Gateway 7.5.0
製品ガイド
467
14
クラウド シングル サインオン
シングル サインオンのリストと設定
SSO 証明書と秘密鍵の設定
SAML のシングル サインオンでは、SAML アサーションと要求に署名し、SAML 署名を検証するため、X.509 の証
明書と秘密鍵が必要です。
SSO 証明書
SSO プロセスは、SAML サービス プロバイダーが提供した X.509 証明書を使用して、SP 要求を検証します。X.
509 証明書は、[SSO 証明書] でインポートできます。
この設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [SSO 証明書] の順に選択します。
表 14-26
SSO 証明書
オプション
定義
[名前]
ユーザー インターフェースで区別できるように、インポートする X.509 証明書に固有の名前を指
定します。
[インポート]
このオプションをクリックすると、インポートする X.509 証明書を検索して選択できます。
[SSO 証明書] 証明書をインポートすると、次の証明書データが表示されます。
• [サブジェクト] - X.509 証明書を含む項目の識別名。この値は、サービス プロバイダーに対応
しています。
• [発行者] - 証明書に署名した証明機関 (CA) の識別名。サブジェクトと発行者が同じ場合、証明
書は自己署名になります。
• [有効性] - 証明書の有効期間。
• [拡張] - 証明書に追加されるカスタム フィールド (コメントなど)。
SSO 秘密鍵
SSO プロセスは、エンドユーザーの身元を証明する SAML アサーションに秘密鍵で署名します。 SAML サービス
プロバイダーは、対応する X.509 証明書を使用して署名を検証します。 SAML SSO プロセスを実行するには、X.
509 証明書と秘密鍵の 1 つ以上のペアを生成またはインポートする必要があります。 キー ペアを生成またはイン
ポートすると、証明書と秘密鍵が Web Gateway ユーザー インターフェースのドロップダウン リストで選択可能に
なります。
これらの設定を使用するには、[ポリシー] 、 [設定] 、 [エンジン] 、 [SSO 秘密鍵] の順に選択します。
表 14-27 SSO 秘密鍵
オプショ
ン
定義
[名前]
ユーザー インターフェースで区別できるように、生成またはインポートする X.509 証明書と秘密鍵に
固有の名前を指定します。
[生成]
このオプションをクリックすると、X.509 証明書と秘密鍵のペアが生成されます。 以下のフィールド
により、秘密鍵で指定された証明書のサブジェクトが一意に識別されます。 証明書サブジェクトは、
証明書または組織の情報を保存する項目です。 設定を行うときに、組織の値を入力します。
• [コモン ネーム (必須)]
• [州]
• [組織 (必須)]
• [国/地域]
• [組織単位]
• [電子メール アドレス]
• [ローカリティ (必須)]
[有効期間] - 証明書の有効期間。年単位で指定します。
値:10 | 20
[コメント] - (オプション) 証明書データにコメントを追加できます。
468
McAfee Web Gateway 7.5.0
製品ガイド
クラウド シングル サインオン
SSO 問題の解決
14
表 14-27 SSO 秘密鍵 (続き)
オプショ
ン
定義
[インポー
ト]
このオプションをクリックすると、X.509 証明書と秘密鍵のペアをインポートできます。このオプシ
ョンは、すでに X.509 証明書ファイルと秘密鍵のペアがあり、ユーザー インターフェースにインポー
トする場合に使用します。
[秘密鍵と
証明書]
X.509 証明書と秘密鍵のペアを生成またはインポートすると、次のデータが表示されます。
• [サブジェクト] - X.509 証明書を含む項目の識別名。 この値は、Web Gateway に対応していま
す。
• [発行者] - 証明書に署名した証明機関 (CA) の識別名。サブジェクトと発行者が同じ場合、証明書
は自己署名になります。
• [有効性] - 証明書の有効期間。
• [拡張] - 証明書に追加されるカスタム フィールド (コメントなど)。
• [秘密鍵] - 秘密鍵が存在するかどうかを表します。
[エクスポ
ート]
このオプションをクリックすると、X.509 証明書をエクスポートできます。SAML サービス プロバイ
ダーは、このファイルを使用して署名付きの SAML アサーションと要求を検証します。
[キーのエ
クスポー
ト]
このオプションをクリックすると、秘密鍵をエクスポートできます。
SSO 問題の解決
SSO の問題とその解決方法については、以下の表を参照してください。
表 14-28
SSO 問題の解決
問題
解決策
MAS が認証情報を戻しませ エラー ログで MAS エラー (3450–3499) を確認してください。 MAS サーバーが
ん。
エラー コード 65512 を戻した場合、Web Gateway は設定を作成できません。 こ
の場合、次の操作を行ってください。
1 サーバーとクライアントの証明書が存在し、アクセス可能かどうか確認します。
2 存在しない場合には、MAS サービスを再起動して証明書を生成します。
3 Web Gateway のコア サブシステムを再起動します。
証明書が突然消えた場合には、さらに調査を行ってください。
エンド ユーザーは選択した
クラウド サービスにログオ
ンできません。
サービスのコネクターが壊れている可能性があります。 SSO カタログのサポート
チームに連絡してください。
エンド ユーザーがクラウド
サービスの認証情報を更新
できません。
シングル サインオン ルール セット内のルールの順序を確認してください。 SSO
コネクターにサービスを追加するサービス選択ルール セットは、フォームの認証情
報を管理するルール セットより前にある必要があります。
McAfee Web Gateway 7.5.0
製品ガイド
469
14
クラウド シングル サインオン
SSO 問題の解決
表 14-28
SSO 問題の解決 (続き)
問題
解決策
SAML シングル サインオン
に失敗します。
SAML SSO エラーで考えられる原因は次のとおりです。
• CFM が実行されていないか、エラーを戻す - 詳細については、エラー ログで
CFM エラー (3400–3449) を確認してください。
• 一部のユーザー情報が入力されていない - 一部のクラウド アプリケーションが
特別なユーザー属性を必要としています。 不足しているユーザー属性を調べるに
は、エラー ログで SSO エラー (3400–3449) を確認してください。
• シングル サインオンが正しく設定されていない - Web Gateway ユーザー イン
ターフェースと SAML アプリケーションの管理者アカウントでシングル サイン
オンが正しく設定されているかどうか確認してください。
SAML メタデータの自動ダ
ウンロードが設定されてい
ると、CFM がメタデータの
ダウンロードを試行し、エラ
ーが発生します。 要求され
たサービスが存在しないこ
とを通知するエラーが戻さ
れます。
このエラーで考えらえる原因は次のとおりです
• CFM が、信頼された証明書のない HTTPS URL からメタデータをダウンロードし
ている。
• SAML メタデータの署名が間違っている。
• SAML メタデータ ファイルに署名がない。
このエラーの詳細については、/opt/mcfc/log/mcfc.log ファイルを確認してくださ
い。
470
McAfee Web Gateway 7.5.0
製品ガイド
15
クラウド ストレージの暗号化
ネットワークのユーザーがクラウド ストレージ サービスを介してクラウド上のデータを使用する場合、Web
Gateway はデータの暗号化機能と復号機能を提供します。
•
クラウド ストレージの暗号化 - ユーザーがクラウド ストレージ サービスにデータをアップロードするときに、
データを暗号化します。
•
クラウド ストレージの復号 - ユーザーがクラウド すとれーじサービスから暗号化データをダウンロードすると
きに、データを復号し、ユーザーが操作できるようにします。
Web Gateway のルール セット ライブラリから適切なルール セットを使用すると、クラウド ストレージの暗号化
と復号を設定できます。
目次
クラウド ストレージ データの暗号化と復号
クラウド ストレージ データの暗号化と復号を設定する
データの暗号化と暗号化解除を設定する
クラウド ストレージ暗号化の設定
クラウド ストレージ暗号化サポートの設定
クラウド ストレージ データを手動で復号する
クラウド ストレージ暗号化ルール セット
クラウド ストレージ データの暗号化と復号
ユーザーがクラウド ストレージ サービスにアップロードするデータを暗号化すると、ネットワークのユーザーがク
ラウド上で行う操作のセキュリティを強化することができます。データをダウンロードすると、ユーザーが操作でき
るように暗号化が解除されます。
Web Gateway のクラウド ストレージ暗号化モジュール (クラウド ストレージ暗号化フィルターまたはエンジン)
がメタデータを含むデータの暗号化と復号の両方を処理します。暗号化と復号は自動的に行われます。
暗号化と復号は、要求サイクルと応答サイクルで処理されるトップ レベル データに実行されます。要求または応答
に埋め込まれているデータと、埋め込みオブジェクト サイクルで処理されるデータは暗号化も復号も行われません。
McAfee Web Gateway 7.5.0
製品ガイド
471
15
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号
このモジュールは、標準的なアルゴリズムでデータの暗号化と復号を行います。使用するアルゴリズムは以下のいず
れかです。
•
AES-128
•
AES-192
•
AES-256
このアルゴリズムは暗号ともいいます。
暗号化プロセスまたは復号プロセスでは、パラメーターとしてパスワードを設定する必要があります。
このモジュールは、プロセスを実行するためにサービス記述ファイルを使用します。このファイルは、クラウド スト
レージ サービスごとに存在します。
このファイルには、異なるデータ形式の処理方法、アップロードまたはダウンロード要求で使用可能なメソッド (PUT
または POST)、要求で送信される URL が記述されています。この URL により、データのアップロードまたはダウ
ンロードを行う場所が識別されます。
新しいバージョンの Web Gateway をインストールすると、サービス記述ファイルが更新されます。更新サーバーか
ら新しいバージョンの記述ファイルをダウンロードすることはできません。
データの暗号化と復号は、以下のクラウド ストレージ サービスに実行されます。
•
Box
•
Dropbox
•
Google Drive
•
Microsoft SkyDrive
Box クラウド ストレージ サービスで暗号化と復号がサポートされるのは、Web ブラウザーまたはネイティブの
Box クライアントでデータのアップロードとダウンロードを行う場合です。Dropbox、Google Drive、Sky Drive
の場合、Web ブラウザーでアップロードまたはダウンロードを実行するときに暗号化や復号が行われます。
暗号化と復号の設定
暗号化プロセスと復号プロセスを設定するには、Web Gateway で適切なルールを実装する必要があります。これら
のルールは、ライブラリからインポート可能なクラウド ストレージ暗号化ルール セットに含まれています。
ライブラリ ルール セットのルールでクラウド ストレージ暗号化モジュールを制御し、暗号化プロセスと復号プロセ
スにデフォルトのパスワードを設定します。ルール セットには、プロセスを記録するオプションのルールも含まれて
います。
暗号化モジュールを制御するルールは、設定済みのストレージ サービスにデータをアップロードする要求を Web
Gateway で受信した場合に適用されます。同様に、これらのサービスからデータをダウンロードする要求を受信す
ると、復号モジュールを呼び出すルールが適用されます。
いずれかのルールが適用されると、モジュールが暗号化または復号を実行します。
復号は、ルール処理モジュール (ルール エンジン) が関連するルールの適用を確認するとすぐに実行されますが、暗
号化は、後続のルール (埋め込みオブジェクト サイクルで処理されるルールも含む) がすべて処理されるまで実行さ
れません。
これにより、他のルールは、アップロード要求またはダウンロード要求と一緒に送信されたデータを暗号化されてい
ない形式で処理することができます。
472
McAfee Web Gateway 7.5.0
製品ガイド
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号
15
ライブラリ ルール セットをインポートすると、モジュールの設定が実装されます。この設定では次の項目を指定す
る必要があります。
•
暗号化と復号に使用するアルゴリズム (暗号)
•
サポートされるクラウド ストレージ サービス
データ トリックルと復号
データの転送モードとしてデータ トリックルを実装すると、クラウド ストレージ サービスからダウンロードされた
暗号化ファイルの復号に失敗する場合があります。したがって、これらの機能を次のように設定してください。
•
ルール セット ツリーで、データ トリックルの実装に使用したルール セットの直前または直後に、クラウド スト
レージ暗号化ルール セットを配置してください。
これにより、復号とデータ トリックルの間に他のルール セットのルールが処理されなくなり、復号エラーが発生
しなくなります。
データ トリックルを有効にするルールは、進行状況表示ルール セットに含まれています。これは、デフォルト ル
ール セットの共通ルール セットに組み込まれています。
次の操作を行うと、データ トリックルによる復号の失敗を確実に防ぐことができます。
•
データ トリックル ルールの条件にある Always を CloudEncryption.IsDecryptionSupported
equals false に置換します。
これにより、ダウンロード データの復号中にデータ トリックルが開始しません。ただし、このような条件を設定
すると、データ トリックル プロセスのパフォーマンスが低下します。
クラウド ストレージ サービスからダウンロードされたファイルが壊れていて開くことができない場合、復号エラーが
報告されません。このため、復号とデータ トリックルで矛盾が生じます。
複数の暗号化データ
クラウド ストレージ サービスへのデータのアップロード要求を受信したときに、異なる設定を使用してデータの暗
号化を複数回行うことができます。
それぞれの暗号化にルールを設定する必要があります。たとえば、1 つのルールにユーザー グループのパスワードを
指定して特定のアルゴリズムで暗号化を実行し、次のルールにユーザーのパスワードを指定して別のアルゴリズムで
暗号化を実行することができます。
データをダウンロードするときに、両方のパスワードが正しい場合にだけデータが復号されます。
複数のルールで暗号化されたデータを復号する場合、同じ数の復号ルールが必要になります。暗号化と同じアルゴリ
ズムとパスワードを使用する必要がありますが、ルールの順序は暗号化ルールの配置順と逆にする必要があります。
SSL で保護されたアップロード/ダウンロード要求
SSL セキュア接続でクラウド ストレージ サービスへのデータのアップロード要求またはデータのダウンロード要求
を処理するには、SSL スキャナー ルール セットを有効にする必要があります。
Web Gateway のデフォルト ルール セットでは、このルール セットは無効になっています。
ユーザーがアップロード要求とダウンロード要求の送信に使用する Web ブラウザーに、SSL セキュア通信に必要な
証明書をインストールする必要があります。
McAfee Web Gateway 7.5.0
製品ガイド
473
15
クラウド ストレージの暗号化
クラウド ストレージ データの暗号化と復号を設定する
手動でのデータの復号
ネットワークで Web Gateway が一時的に使用不能になった場合、またはパスワードに矛盾がある場合、クラウド
ストレージ データを手動で暗号化する必要があります。
この操作を行うには、データの暗号化に使用したアルゴリズムとパスワードを使用する必要があります。クラウド ス
トレージ サービスからシステムにデータを直接ダウンロードし、アルゴリズムとパスワードのパラメーターを指定し
て手動復号のコマンドを実行します。
ダッシュボードでの暗号化と復号の監視
クラウド ストレージ データの暗号化と復号に関する統計をユーザー インターフェースのダッシュボードで監視す
ることができます。
次のパラメーターが表示されます。
•
暗号化と復号の操作回数とエラーの数 (累計)
•
暗号化されたデータと復号されたデータの量 (累計)
•
各クラウド ストレージ サービスで実行された暗号化と復号の操作回数とエラーの数
•
各クラウド ストレージ サービスで暗号化されたデータと復号されたデータのボリューム
クラウド ストレージ データの暗号化と復号を設定する
クラウド ストレージ サービスにアップロードまたはダウンロードするデータの暗号化と復号を設定するには、次の
手順に従います。
タスク
1
ルール セット ライブラリからクラウド ストレージ暗号化ルール セットをインポートします。
このルール セットは、クラウド サービス ルール セット グループにあります。
2
クラウド ストレージ データの暗号化と復号を設定します。
3
データの暗号化と復号を行う通信を SSL セキュア モードで実行するように設定します。
4
a
Web Gateway デフォルト ルール セットの SSL スキャナー ルール セットを有効にします。
b
クラウド ストレージ データのアップロードとダウンロードを行う Web Gateway クライアントのブラウザ
ーに、SSL セキュア通信に必要な証明書をインストールします。
設定を保存します。
データの暗号化と暗号化解除を設定する
クラウド ストレージ データの暗号化と暗号化解除を設定するには、2 つの異なるモジュール (エンジン) を使用しま
す。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーの [エンジン] ブランチで [クラウド ストレージの暗号化] を展開して、必要なクラウド ストレージ
暗号化モジュールの設定 (たとえば、[デフォルト]) を選択します。
設定パネルに設定が表示されます。
474
McAfee Web Gateway 7.5.0
製品ガイド
クラウド ストレージの暗号化
クラウド ストレージ暗号化の設定
15
3
必要に応じて、これらの項目を設定します。
4
[クラウド ストレージの暗号化サポート] を展開し、必要なクラウド ストレージ暗号化サポート モジュールの設
定 ([デフォルト] など) を選択します。
設定パネルに設定が表示されます。
5
必要に応じて、これらの項目を設定します。
6
[変更を保存] をクリックします。
クラウド ストレージ暗号化の設定
クラウド ストレージ暗号化の設定は、クラウド ストレージ データの暗号化と復号を設定するときに使用します。
暗号化パラメーター
クラウド ストレージ データの暗号化と復号の設定
表 15-1 暗号化パラメーター
オプション
定義
[暗号]
クラウド ストレージ データの暗号化と復号に使用するアルゴリズムをリストから選択します。
以下のアルゴリズムを選択できます。
• AES 128
• AES 192
• AES 256
クラウド ストレージ暗号化サポートの設定
クラウド ストレージ暗号化サポートの設定は、Web Gateway でサポートされ、データが暗号化または復号される
クラウド ストレージ サービスの設定に使用されます。
サポートされるクラウド ストレージ サービス
クラウド ストレージ サービスの設定
表 15-2 サポートされるクラウド ストレージ サービス
オプション
定義
クラウド ストレージ サービ データが暗号化または復号されるときに、Web Gateway でサポートされているク
ス リスト
ラウド ストレージ サービスを選択します。
以下のサービスを選択できます。
• Box
• Dropbox
• Google Drive
• Microsoft SkyDrive
デフォルトでは、すべてのサービスが選択されています。
McAfee Web Gateway 7.5.0
製品ガイド
475
15
クラウド ストレージの暗号化
クラウド ストレージ データを手動で復号する
クラウド ストレージ データを手動で復号する
Web Gateway でクラウド ストレージ データを復号できない場合、暗号化のアルゴリズムとパスワードが分かれば、
適切なコマンドを実行して手動で復号することができます。
タスク
1
データが保存されているクラウド ストレージ サービスから暗号化データをシステムにダウンロードします。
2
以下のコマンドを実行して、データを復号します。
openssl enc -<暗号> -d -in <暗号化されたファイル> -out <復号後のファイル> -k <パスワード
> -md sha256
変数パラメーターの意味は次のとおりです。
<暗号>
データの暗号化に使用されたアルゴリズム
<暗号化されたファイル>
暗号化されたデータを含むファイルのパスとファイル名
<復号後のファイル>
復号後のデータを書き込むファイルのパスとファイル名
<パスワード>
データの暗号化で使用したパスワード
データが復号され、指定したファイルに書き込まれます。
クラウド ストレージ暗号化ルール セット
クラウド ストレージ暗号化ルール セットは、クラウド ストレージにアップロードされるデータの暗号化とクラウ
ド ストレージ サービスからダウンロードされるデータの復号を処理するライブラリ ルール セットです。
ライブラリ ルール セット - クラウド ストレージ暗号化
条件 - Always
サイクル - 要求 (IM)、応答
このルール セットには、以下のルールが含まれます。
暗号化パスワードを設定する
Always –> Continue – Set User-Defined.Encryption Password = "webgateway"
このルールは、イベントを使用して Web Gateway のデフォルトのパスワードを設定します。このパスワードはデ
ータの暗号化で使用されます。
暗号化を有効にする
CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue –
CloudEncryption.Encrypt(User-Defined.Encryption Password)<Default>
このルールは、CloudEncryption.IsEncryptionSupported プロパティを使用して、データの暗号化が実行可能か
どうかを確認します。条件を満たす場合、イベントを使用して暗号化を実行します。
復号を有効にする
CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue –
CloudEncryption.Decrypt(User-Defined.Encryption Password)<Default>
このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、データの復号が実行可能かど
うかを確認します。条件を満たす場合、イベントを使用して復号を実行します。
476
McAfee Web Gateway 7.5.0
製品ガイド
クラウド ストレージの暗号化
クラウド ストレージ暗号化ルール セット
15
復号後にコンテンツ タイプを修正する
CloudEncryption.IsDecryptionSupported<Default> equals true –> Continue –
MediaType.Header.FixContentType
このルールは、CloudEncryption.IsDecryptionSupported プロパティを使用して、クラウド ストレージ データ
の復号が実行されているかどうかを確認します。
条件を満たすと、イベントが発生し、Web Gateway へのデータ配信の応答ヘッダー情報にある Content-Type フ
ィールドを変更します。デフォルトでは、クラウド ストレージ サービスがこのフィールドに application/
octet-stream を設定しています。データが暗号化されていると、実際のメディア タイプを認識することはできま
せん。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設
定されます。
クラウド ストレージ サービスは、デフォルトでこのフィールドに application/octet-stream を設定するた
め、データが暗号化されると他のメディア タイプが認識できなくなります。このルールはこの問題を修正するもの
です。MediaType.Header.FixContentType イベントにより、実際のメディア タイプの値がフィールドに設
定されます。
このルールは、デフォルトでは有効になっていません。
暗号化パスワードを記録する
CloudEncryption.IsEncryptionSupported<Default> equals true –> Continue –
Set User-Defined.encrypt-log.=
DateTime.ToGMTString
+ ", User: "
+ Authentication.UserName
+ ", IP: "
+ IP.ToString (Client.IP)
+ ", Service: "
+ CloudEncryption.ServiceName
+ ", Cipher: "
+ CloudEncryption.CipherName<Default>
+ ", Password: "
+ User-Defined.EncryptionPassword
FileSystemLogging.WriteLogEntry (User-Defined.encrypt-log)<Encryption Log>
このルールは、イベントを使用して暗号化をログに記録します。
2 番目のイベントは、この項目をイベントの設定で指定された Encryption Log に書き込むために使用されます。
データは暗号化された形式でログに記録されるため、このデータにアクセスするにはパスワードが必要になります
(デフォルト パスワード: webgateway)。
このルールは、デフォルトでは有効になっていません。
McAfee Web Gateway 7.5.0
製品ガイド
477
15
クラウド ストレージの暗号化
クラウド ストレージ暗号化ルール セット
478
McAfee Web Gateway 7.5.0
製品ガイド
16
ハイブリッド ソリューション
Web Gateway ではハイブリッド ソリューションを実装できます。これにより、ローカル ネットワーク以外で発生
した Web 利用も保護することができます。このソリューションを有効にするには、McAfee SaaS Web
Protection を Web Gateway と一緒に統合プロセスで実行します。
®
このソリューションで重要な概念は次のとおりです。
•
ハイブリッド ポリシー - ローカル ネットワークの内部と外部の Web 利用に同じポリシーを適用できます。
•
ハイブリッド同期 - ポリシーを同期して、ローカル ネットワークの内外の Web 利用に一貫したポリシーを適
用します。
従来のソリューションでも、ホスト名、IP アドレス、URL カテゴリなどの一部のポリシー要素は同期が可能です。
ハイブリッド ソリューションは、最新の限定リリースである Web Gateway 7.5.0 で提供されます。 こ
のソリューションを使用する場合には、マカフィー までご連絡ください。弊社で登録を行います。
詳細については、Web Gateway のユーザー インターフェースに表示されるメッセージを参照してくだ
さい。
目次
ハイブリッド ソリューションの使い方
ハイブリッド ソリューションを設定する
ハイブリッド ソリューションを設定する
ハイブリッド ソリューションのルール セットを選択する
同期を手動で実行する
ハイブリッド ソリューションの制限
Web Hybrid の設定
レガシー ハイブリッド ソリューション
McAfee Web Gateway 7.5.0
製品ガイド
479
16
ハイブリッド ソリューション
ハイブリッド ソリューションの使い方
ハイブリッド ソリューションの使い方
ハイブリッド ソリューションを使用すると、ローカル ネットワークの内部と外部のユーザーに同じポリシーを使用
して Web セキュリティを実行できます。
組織内のユーザーは、ローカル ネットワーク内に物理的にインストールされたシステムから Web にアクセスできま
す。多くの場合、オンプレミスという用語は、このような利用形態を指すときに使用されます。また、このネットワ
ークに仮想プライベート ネットワーク (VPN) 経由で接続するユーザーにも使用される場合があります。
組織の中には、自宅や移動中など、このような方法でローカル ネットワークに接続していないシステムで作業を行う
ユーザーもいます。
ハイブリッド ソリューションでは、オンプレミス ユーザーの Web 利用は Web Gateway が保護し、それ以外のユ
ーザーは McAfee SaaS Web Protection で保護します。この製品を使用して Web にアクセスすると、クラウ
ド内通信が実行されます。
ハイブリッド ソリューションでは、この両方のユーザーに同じセキュリティ ポリシーを使用して Web 利用を保護
できます。
•
Web Gateway で設定済みのポリシーから、McAfee SaaS Web Protection に適用するルール セットを選択で
きます。
•
ポリシーは設定した間隔で同期されます。これにより、両方の製品で同じルール セットが使用されます。Web
Gateway で行った変更も反映されます。
•
設定した間隔に関わらず、同期は手動でも実行できます。
Web Gateway の新しいバージョンで使用可能になった追加機能は、ハイブリッド ソリューションにすぐに追加でき
ます。
ハイブリッド ソリューションにはいくつかの制約があります。Web Gateway のポリシーの一部は McAfee SaaS
Web Protection に適用されません。これらの制約については、Web Gateway のユーザー インターフェースに警告
として表示されます。
ハイブリッド ソリューションの製品
ハイブリッド ソリューションは、次の 2 つの機能を提供します。
•
Web Gateway - オンプレミス ユーザーの Web 利用を保護する
•
McAfee SaaS Web Protection - クラウド ユーザーの Web 利用を保護する
McAfee SaaS Web Protection の詳細については、『Web Protection Services セットアップ ガイド』を参照
してください。
Web Gateway と McAfee SaaS Web Protection は McAfee Web Protection 製品スイートに含まれていま
す。このため、ハイブリッド ソリューションは McAfee Web Protection – Hybrid ともいいます。
ソリューション全体の詳細については、『McAfee Web Protection – Hybrid 配備ガイド』を参照してください。こ
のガイドには、ソリューションと一緒に使用できる製品 (McAfee ePolicy Orchestrator、McAfee Client Proxy な
ど) の情報も記載されています。
ハイブリッド ソリューションと McAfee Client Proxy を一緒に使用することをお勧めします。このソリューショ
ンは、アクセス要求の送信元がネットワークの内部かどうかを識別します。要求が内部からの場合、Web Gateway
が Web セキュリティ ジョブを実行し、外部からの要求は McAfee SaaS Web Protection にリダイレクトされま
す。
480
McAfee Web Gateway 7.5.0
製品ガイド
ハイブリッド ソリューション
ハイブリッド ソリューションを設定する
16
Web Gateway でのハイブリッド ソリューションの設定
Web Gateway でハイブリッド ソリューションを設定する場合には、このソリューションの設定を行い、McAfee
SaaS Web Protection に適用する Web セキュリティ ポリシーのルール セットを選択する必要があります。
ポリシー要素がソリューションに追加できず、警告が表示された場合には、適切な処置を行い、問題を解決してくだ
さい。
ハイブリッド ソリューションを設定する
Web Gateway のセキュリティ ポリシーを McAfee SaaS Web Protection にも提供するハイブリッド ソリュー
ションを設定するには、次の手順を行います。
タスク
1
ハイブリッド ソリューションを設定する
ここでは、McAfee SaaS Web Protection に接続するアドレス、2 つの製品間で通信を行う場合に必要になる認
証情報、その他のパラメーターを設定します。
また、Web Gateway が行ったポリシー変更を McAfee SaaS Web Protection に適用し、同期間隔を設定しま
す設定した間隔に関わらず、同期は手動でも実行できます。
2
ハイブリッド ソリューションに含まれるルール セットを選択します。
ハイブリッド ソリューションの制約事項を検討し、問題を未然に防ぎます。このソリューションのすべてのポリ
シー要素が使用できるとは限りません。
3
変更を保存します。
ハイブリッド ソリューションを設定する
ハイブリッド ソリューションを設定するには、次の手順に従います。
タスク
1
[設定] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーの [クラスター] ブランチで、[Web Hybrid] をクリックします。
設定ペインにハイブリッド ソリューションの設定が表示されます。
3
必要に応じて、これらの項目を設定します。
4
[変更の保存] をクリックします。
関連トピック:
485 ページの「Web Hybrid の設定」
McAfee Web Gateway 7.5.0
製品ガイド
481
16
ハイブリッド ソリューション
ハイブリッド ソリューションのルール セットを選択する
ハイブリッド ソリューションのルール セットを選択する
ハイブリッド ソリューションにルール セットを選択するには、Web Gateway のユーザー インターフェースで選択
して必要なオプションを有効にします。
タスク
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
ルール セット ツリーで、ハイブリッド ソリューションに追加するルール セットを選択します。
ルール セットがキー要素ビューに表示されます。
3
このビューの先頭にある [クラウドで有効にする] を選択します。
この操作は次の手順でも実行できます。
•
ルール セットを選択して右クリックし、表示されたコンテキスト メニューから [クラウドで有効
にする] を選択します。
•
キー要素ビューを終了し、完全ルール セット ビューで [クラウドで有効にする] を選択します。
制限のため、ルール セットがハイブリッド ソリューションに含まれていない場合には、警告が表示されます。 こ
の場合、問題を解決する必要があります。たとえば、ソリューションで使用できないイベントを削除したり、完
全なルール セットを削除します。
キー要素ビューでネストするルール セットに [クラウドで有効にする] を使用している場合、ネスト
されたルール セットがハイブリッド ソリューションに追加されます。
完全なルール ビューで [クラウドで有効にする] を使用している場合、ネストされたルール セットは
次のようになります。
•
コンテキスト メニューの使用 - ネストされたルール セットが追加されます。
•
ボタンのクリック - ネストされたルール セットは追加されません。
追加するには、ネストされたルール セットのボタンをクリックします。
コンテキスト メニューを使用すると、複数のルール セット (ネストされたルール セットを含む) を選
択し、ハイブリッド ソリューションにまとめて追加できます。
4
[変更の保存] をクリックします。
ルール セットがハイブリッド ソリューションに追加され、McAfee SaaS Web Protection にも適用されます。
ルール セットをソリューションから削除するには、[クラウドで有効にする] オプションの選択を解除するか、コン
テキスト メニューで [クラウドで無効にする] を選択します。
関連トピック:
483 ページの「ハイブリッド ソリューションの制限」
482
McAfee Web Gateway 7.5.0
製品ガイド
ハイブリッド ソリューション
同期を手動で実行する
16
同期を手動で実行する
ハイブリッド ソリューションの Web セキュリティ ポリシーを手動で同期するには、以下の手順に従います。設定
した間隔に関わらず、同期は手動でも実行できます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[SaaS 同期] を選択します。
3
設定パネルで、[SaaS 同期] の [同期] をクリックします。
Web セキュリティ ポリシーが同期され、Web Gateway で行われた変更が McAfee SaaS Web Protection に反映
されます。
個々のポリシー要素を同期すると、関連するメッセージが [結果] に表示されます。問題がある場合には、対応する
メッセージで問題が通知されます。
ハイブリッド ソリューションの制限
Web Gateway で設定した Web セキュリティ ポリシーを McAfee SaaS Web Protection にも適用する場合、い
くつかの制限事項があります。
たとえば、ネットワーク内から Web アクセス要求を送信するときに NTLM 認証で認証できますが、この認証方法を
使用するように NTLM サーバーが構成されている必要があります。
ユーザーからの Web アクセス要求が McAfee SaaS Web Protection で処理されている場合、NTLM サーバーをユ
ーザー認証に使用することはできません。NTLM 認証方法の一部はハイブリッド ソリューションで使用できません。
Web Gateway Web セキュリティ ルールのすべてのプロパティをハイブリッド ソリューションで使用できるわけ
ではありません。同様に、すべてのイベントが使用できるわけでもありません。たとえば、カウンターを増分するイ
ベント、管理者に電子メールを送信するイベント、ログ ファイルへの書き込みなどのイベントは使用できません。
McAfee Web Gateway 7.5.0
製品ガイド
483
16
ハイブリッド ソリューション
ハイブリッド ソリューションの制限
一般に、次の場合にはポリシー要素をハイブリッド ソリューションで使用できません。
•
特定のネットワーク コンポーネントまたは外部サービスに依存している
たとえば、このルールはメール サーバーの設定を行うプロパティや、SMTP サーバーなどのメール サーバーが使
用可能でなければならないプロパティに適用されます。
また、トラップ シンクを必要とする SNMP プロパティに適用されます。また、ネクスト ホップ プロキシ サー
バーを必要とするネクスト ホップ プロキシにも適用されます。
•
関連機能がハイブリッド ソリューションでまだ使用できない場合
これは、クォータ管理と PDStorage 機能に適用されます。ランタイム データの交換が必要な他の機能でも使用
されます。たとえば、集中管理構成の複数の Web Gateway アプライアンス間で使用できます。
制約については、Web Gateway のユーザー インターフェースに警告として表示されます。
•
イベントに関する警告は無視できます。イベントが実行されなくても、ハイブリッド ソリューション
は影響を受けません。
•
デフォルトの値に設定しているプロパティの警告は、その後に予期しない動作を行う可能性がありま
す。ハイブリッド ソリューションで有効な利用方法がないプロパティにはデフォルトの値が設定さ
れます。
このようなプロパティを含むルールが McAfee SaaS Web Protection で正常に動作するかどうかよ
く確認してください。
認証制限
ハイブリッド ソリューションでは、ローカル ネットワーク以外のユーザーの認証は McAfee SaaS Web
Protection で行っています。Web Gateway の認証設定は、これらのユーザーに適用する認証方法と互換性がなけ
ればなりません。
Web Gateway でハイブリッド ソリューションを設定するときに、Authentication.UserName プロパティと
Authentication.UserGroups プロパティを使用できます。ここで設定する値は、McAfee SaaS Web
Protection が使用する認証方法に合わせる必要があります。
ここでは主に次の方法を使用します。
484
•
クライアントの IP アドレスを使用するが、個々のユーザーに関する情報は提供しない
•
McAfee Client Proxy とクライアントを使用して、ユーザー名とグループに関する情報を提供する
•
基本認証 (ユーザーのセットアップが必要) McAfee SaaS Web Protection
McAfee Web Gateway 7.5.0
製品ガイド
ハイブリッド ソリューション
Web Hybrid の設定
16
ハイブリッド ソリューションでの制限に関するサンプル警告
以下では、同じ警告を使用していますが、ハイブリッド ソリューションの制約を表しています。
•
Web Gateway のルールのプロパティは McAfee SaaS Web Protection で使用できません。
この問題の警告が表示され、ルールとプロパティが通知されます。また、次のような文章を含みます。
Property PDStorage.GetAllData must not be used in SaaS.
•
Web Gateway のルールのイベントは McAfee SaaS Web Protection で使用できません。
この問題の警告が表示され、ルールとイベントが通知されます。また、次のような文章を含みます。
Event SNMP.Trap.Send.User(Number, String) must not be used in SaaS.
Web Hybrid の設定
[Web Hybrid] の設定は、ハイブリッド ソリューションで Web Gateway に実装した Web セキュリティ ポリシー
を McAfee SaaS Web Protection に適用する場合に設定します。
Web Hybrid 設定
ハイブリッド ソリューションの設定
表 16-1 Web Hybrid 設定
オプション
定義
[SaaS をポリシー
を同期する]
Web Gateway で設定した Web セキュリティ ポリシーを同期し、McAfee SaaS Web
Protection に変更を適用します。
同期は一定の間隔で実行されます。この時間は [ローカル ポリシーの変更が上記と
同じ間隔でアップロードされます] で設定します。
設定した時間に関係なく、同期を手動で実行することもできます。ただし、手動で実
行するには、[SaaS をポリシーを同期する] オプションを有効にする必要がありま
す。
同期を手動で実行する場合でも、スケジュール同期は無効になりません。
[同期するアプライ
アンス]
同期データを取得する Web Gateway アプライアンスを指定します。
[SaaS アドレス]
McAfee SaaS Web Protection のアドレスを指定します。
集中管理構成で複数のアプライアンスを実行している場合、このオプションを使用すると、動
的データが常に同じアプライアンスから取得されます。
アドレスの形式は次のとおりです。
(http|https)://<サーバー名>[:<ポート>]
例:https://msg.mcafeesaas.com
[SaaS 管理者のア
カウント名]
McAfee SaaS Web Protection 管理者のユーザー名を指定します。
例:[email protected]
このユーザー名は、Customer Admin 役割を割り当てられた McAfee SaaS
Web Protection のユーザー名と同じでなければなりません。
McAfee Web Gateway 7.5.0
製品ガイド
485
16
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
表 16-1 Web Hybrid 設定 (続き)
オプション
定義
[SaaS 管理者アカ
ウントのパスワー
ド]
管理者のパスワードを設定します。
Customer Admin 役割を割り当てられた McAfee SaaS Web Protection のユ
ーザー名のパスワードを設定する必要があります。
[変更] をクリックすると、新しいパスワードを設定するウィンドウが開きます。
[SaaS 顧客 ID]
McAfee SaaS Web Protection を購入して Web Gateway と一緒にハイブリッド ソリュー
ションで実行している顧客を指定します。
[ローカル ポリシー 次の同期を実行して Web Gateway のポリシー変更を McAfee SaaS Web Protection に適
の変更が上記と同 用するまでの経過時間を分単位で設定します。
じ間隔でアップロ
10 分から 60 分までの時間を設定します。
ードされます ]
ポリシーの変更は、ここで設定した間隔で同期されます。手動で同期を実行しない限
り、変更はすぐに適用されません。
同期の詳細設定
ハイブリッド ソリューションの詳細設定
表 16-2 同期の詳細設定
オプション
定義
[同期にプロキシを使用す
る]
同期データの転送にプロキシを使用します。
[プロキシ ホスト]
プロキシとして使用するサーバーの IP アドレスまたはホスト名を指定します。
[プロキシ ポート]
同期データの転送要求を待機するププロキシ サーバーのポートを指定します。
[プロキシ ユーザー]
同期データの転送時に Web Gateway がプロキシーに送信するユーザー名を指定し
ます。
[プロキシ パスワード]
ユーザー名のパスワードを設定します。
[設定] をクリックすると、パスワードを設定するウィンドウが開きます。
レガシー ハイブリッド ソリューション
従来のソリューションでも、Web セキュリティ ポリシーを同期してオンプレミスとクラウドの両方の Web アクセ
スを保護することができます。
レガシー ハイブリッド ソリューションの設定の同期
レガシー ハイブリッド ソリューションで Web Gateway と McAfee SaaS Web Protection を使用している場合、
Web フィルタリングの設定を製品間で同期し、共通の Web セキュリティ ポリシーを使用できます。
McAfee Web Protection ソリューションを使用すると、会社のネットワーク内のシステムを使用するユーザーと自
宅や移動中に作業を行うユーザーに共通の Web セキュリティ ポリシーを施行できます。
このため、このソリューションでは、Web Gateway などのオンプレミス製品と McAfee SaaS Web
ProtectionMcAfee SaaS 型 Web 保護サービス などのクラウド製品を組み合わせて使用します。
486
McAfee Web Gateway 7.5.0
製品ガイド
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
16
2 つの製品間の Web フィルタリング設定の同期は双方向で行われます。Web Gateway で Web フィルタリングの
設定を変更すると、これらの変更は McAfee SaaS Web Protection に適用されます。
同様に、McAfee SaaS Web Protection の管理者が製品に行った変更が Web Gateway に適用されます。
データの転送は REST (Representational State Transfer) という内部インターフェースが処理します。
同期を有効にするには、McAfee Web Gateway 側でいくつかの設定を行う必要があります。たとえば、McAfee
SaaS Web Protection Service にアクセスするポータルのホスト名または IP アドレスを設定します。
集中管理構成で複数の Web Gateway アプライアンスを 1 つのノードとして管理している場合、構成内の任意のノ
ードで同期を実行できます。
同期のための Web フィルタリングの設定
種々のタイプの Web フィルタリング設定を McAfee Web Gateway および McAfee SaaS 型 Web 保護サービス
の間で同期させることができます。
2 つの製品の間の同期のための Web フィルタリング設定には、以下が含まれます。
•
ポリシー設定 — ホスト名や URL カテゴリーなどの Web セキュリティ ポリシーのパラメーターを指定する設
定
•
ユーザー グループ設定 — ユーザー グループを指定する設定
これらの設定を処理するさまざまな方法は、McAfee Web Gateway アプライアンスで実行できます。
同期のためのポリシー設定
特定のフィルタリング設定は、McAfee SaaS 型 Web 保護サービスで組み合わせられ、Web セキュリティ ポリシ
ーを作成します。以下のパラメーターの設定は、以下のとおりです。
•
ポリシーの名前
•
ホスト名ごとの信頼されている Web サイト
•
ポリシーの説明
•
ホスト名ごとのブロックされている Web サイト
•
SafeSearch フィルタリングの有効化/無効化
•
IP アドレスごとの信頼されている Web サイト
•
URL カテゴリーの許可
•
IP アドレスごとのブロックされている Web サ
イト
•
ブロックされている URL カテゴリー
これらのパラメーターの設定は、McAfee Web Gateway と McAfee SaaS Web Protection Service で変更できま
す。変更内容は 2 つの製品間で同期されます。
同期のためのユーザー グループ設定
ユーザー グループの設定では、McAfee SaaS 型 Web 保護サービス で特定の Web セキュリティ ポリシーが割り
当てられたユーザーのグループも設定します。
これらの設定は、McAfee SaaS 型 Web 保護サービスで変更できます。ユーザーをグループに追加するか、新しい
グループを作成できます。McAfee Web Gateway では、これらの設定は表示だけができ、変更されません。
McAfee SaaS 型 Web 保護サービス の変更は常に同期されるので、McAfee Web Gateway で最新の設定を確認で
きます。
McAfee Web Gateway 7.5.0
製品ガイド
487
16
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
同期設定の構成
Web Gateway と McAfee SaaS Web Protection Service で同期されたポリシーの使用を有効にするには、同期を
設定する必要があります。
タスク
1
[構成] 、 [アプライアンス] の順に選択します。
2
同期を設定するアプライアンスを選択して、[Web Hybrid レガシー] をクリックします。
設定ペインに同期の設定が表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
Web Hybrid レガシーの設定
[Web Hybrid レガシー] の設定は、Web Gateway と McAfee SaaS Web Protection で Web セキュリティ ポリ
シーの同期を設定する場合に使用します。
Web Hybrid の設定
設定、Web セキュリティ ポリシーの同期
表 16-3 Web Hybrid の設定
オプション
定義
[SaaS アドレス]
McAfee SaaS Web Protection にアクセスするポータルの IP アドレスまたはホ
スト名を指定します。
[SaaS 顧客 ID]
McAfee SaaS Web Protection を実行する顧客を指定します。
[SaaS 管理者のアカウント
名]
McAfee SaaS Web Protection を管理する管理者アカウントのユーザー名を指定
します。
McAfee SaaS Web Protection で Customer Admin 役割が割り当てられてい
るユーザー名を指定する必要があります。
[SaaS 管理者アカウントの
パスワード]
管理者アカウントのパスワードを設定します。
[SaaS 管理者の赤運地名] で指定した McAfee SaaS Web Protection ユーザー
のパスワードを設定する必要があります。
[設定] をクリックすると、新しいパスワードを設定するウィンドウが開きます。
[SaaS への同期を有効にす
る]
Web Gateway で Web フィルタリングの設定に行った変更を McAfee SaaS
Web Protection に適用します。
[SaaS からの同期を有効に
する]
McAfee SaaS Web Protection で Web フィルタリングの設定に行った変更を
McAfee Web Gateway に適用します。
[ローカル ポリシーの変更を Web Gateway に適用したポリシー設定の変更を Web Gateway にすぐにアップ
すぐに SaaS にアップロード ロードします。
します]
[ローカル ポリシーの変更が
以下と同じ間隔でアップロー
ドされます]
設定した間隔が経過した後で、Web Gateway に適用したポリシー設定の変更を
McAfee SaaS Web Protection にアップロードします。
時間間隔に使用できる値は 10 分から 60 分の間です。
時間間隔はスライダーのスケールで設定します。
488
McAfee Web Gateway 7.5.0
製品ガイド
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
16
Web Hybrid アクション
Web フィルタリング設定の同期オプション
表 16-4 Web Hybrid の設定
オプション
定義
[SaaS に同期する]
Web Gateway の Web フィルタリング設定を McAfee SaaS Web Protection の設定に
すぐに反映します。
[SaaS から同期する] McAfee SaaS Web Protection の Web フィルタリング設定を Web Gateway の設定に
すぐに反映します。
McAfee Web Gateway 7.5.0
製品ガイド
489
16
ハイブリッド ソリューション
レガシー ハイブリッド ソリューション
490
McAfee Web Gateway 7.5.0
製品ガイド
17
モニタリング
アプライアンスがネットワークの Web セキュリティを確保するフィルタリングを実行するとき、それをモニタリン
グできます。
モニタリングはさまざまな方法で実行されます。アプライアンスのデフォルト モニタリングには以下が含まれます。
•
ダッシュボード — アプライアンス システムとアクティビティに関する主要な情報が表示されます。
•
ログ — アプライアンス上での重要なイベントに関する情報をログ ファイルに書き込みます。
•
エラー処理 — アプライアンス上でインシデントまたはエラーが発生する際に対策を取ります
アプライアンスの機能のパフォーマンスを測定すること、およびモニタリングのために McAfee ePO サーバーまた
は SNMP エージェントなどの外部デバイスを使用することもできます。
目次
ダッシュボード
ログ
エラー処理
パフォーマンス測定
SNMP でのイベント モニタリング
McAfee ePO を監視するためのデータの転送
McAfee Enterprise Security Manager への syslog データの送信
ダッシュボード
アプライアンスのユーザー インターフェースのダッシュボードは、アラート、フィルタリング アクティビティ、ス
テータス、Web 使用およびシステム動作など、キー イベントおよびパラメーターのモニタリングを可能にします。
情報は、次の 2 つのタブで提供されます。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
アプライアンスが集中管理構成のノードである場合、その他のアプライアンスのステータスおよびアラートも表示さ
れます。
McAfee Web Gateway 7.5.0
製品ガイド
491
17
モニタリング
ダッシュボード
ダッシュボードへのアクセス
アプライアンスのユーザー インターフェースでダッシュボードにアクセスできます。
タスク
1
トップレベル メニューの[[ダッシュボード]]を選択します。
2
表示するタブに応じて、次の 2 つのタブのうち 1 つを選択します。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
関連トピック:
492 ページの「ステータスとアラートの情報の表示」
495 ページの「グラフと表の情報の表示」
アラート タブ
[アラート]タブは、アプライアンスのステータスおよびアラートの情報を表示し、アプライアンスが集中管理構成の
ノードである場合、その他のアプライアンスの情報も表示します。
ステータスとアラートの情報の表示
[アラート]タブでは、アプライアンスのステータスおよび発生したアラートに関する情報を表示できます。
タスク
1
[ダッシュボード] 、 [アラート]を選択します。
2
オプションで、以下の 2 つのオプションのうちいずれかを使用して、アラートに関する情報を更新します。
•
[自動更新] — 定期的に自動更新を実行します
このオプションはデフォルトで有効になっています。
•
[今すぐ更新] - 直ちに更新を実行します
関連トピック:
492 ページの「ステータス情報の概要」
493 ページの「アラート フィルタリング オプション」
ステータス情報の概要
アプライアンスのステータスに関する情報は、ダッシュボードの[アラート]タブの[アプライアンス ステータス]に表
示されます。
アプライアンスが集中管理構成のノードである場合は、その他のノードに関する情報も表示されます。
次の表では、この情報の概要を示しています。
492
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ダッシュボード
17
表 17-1 ステータス情報の概要
情報
説明
[アプライアンス]
基本アプライアンス情報を提供します。
• [名前] — アプライアンスの名前を指定します。
[パフォーマンス]
主要なパフォーマンス パラメーターを提供します。
• [アラート ピーク(過去 7 日間)] — アプライアンスにおいて過去 7 日間以内で最も重大な
アラートを示します。
色付きのフィールドが日ごとに表示されます(右端のフィールドが今日):
• 灰色 — この日アラートはなかった
• 緑色 — この日最も重大なアラートは情報であった
• 黄色 — この日最も重大なアラートは警告であった
• 赤色 — この日最も重大なアラートはエラーであった
• [1 秒あたりの要求数] — アプライアンスで受信した HTTP と HTTPS のモードにおける
Web 要求の数が過去 30 分間でどのように変化したかを示す図を提供します。
図の右側にある値は、過去 10 分間における 1 秒あたりの平均要求数です。
[McAfee マルウ
ウイルスとマルウェアのフィルタリングで使用されるモジュールで更新およびバージョン情報
ェア対策バージョ を提供します。
ン]
• [最終更新] — モジュールが最後に更新されてから経過した分数を示します。
• [Gateway エンジン] — McAfee Web Gateway Gateway マルウェア対策エンジンのバー
ジョン番号を示します。
• [プロアクティブ データベース] — プロアクティブ データベースのバージョン番号を示しま
す。
• [DAT] — DAT ファイルのバージョン番号(ウイルス シグネチャを含む)を示します。
[URL フィルター] URL フィルタリングで使用されるモジュールに対する更新およびバージョン情報を提供しま
す。
• [最終更新] — モジュールが最後に更新されてから経過した日数を示します。
• [バージョン] — モジュールのバージョン番号を示します。
アラート フィルタリング オプション
アプライアンスの[アラート]についての情報は、ダッシュボードの[アラート] タブのアラートで提供されます。さま
ざまなフィルタリング オプションを使用して、この情報をフィルタリングできます。
アプライアンスが集中管理構成のノードである場合、他のノードのアラートも表示されます。次に、アラートを表示
するノードもフィルタリングできます。
次の表では、フィルタリング オプションについて説明します。
McAfee Web Gateway 7.5.0
製品ガイド
493
17
モニタリング
ダッシュボード
表 17-2
アラート フィルタリング オプション
オプション
定義
[アプライアン 集中管理構成で発生したノードに従って、アラートをフィルタリングします。
ス フィルター]
このボタンをクリックすると、アラートを表示するノードを選択するウィンドウが開きます。
フィルターはウィンドウを閉じてからすぐに適用されます。
[日付フィルタ
ー]
発生した期間に従ってアラートをフィルタリングします。
このボタンをクリックすると、アラートを表示する機関を選択するメニューが開きます。
以下から 1 つを選択できます。
• [ すべて ]
• [今日 ]
• [ 昨日 ]
• [先週]
• [カスタム]
[カスタム]で、2 つのカレンダー上で開始日および終了日を設定でき、2 つのフィルター フィ
ールド上で開始時間および終了時間を入力できます。時間形式は 24 時間表記を使用した
hh:mm:ss です。例: 午後 1:00 は 13:00:00。
アプライアンスが集中管理構成のノードであり、[アプライアンス フィルター]でこの構成のノー
ドがいくつか選択されたとき、これらのノードのアラートが表示されます。
ただし、それらは[日付フィルター]を設定するために、特定のノードで作業していたユーザー イ
ンターフェースの日付および時刻に従って表示されます。
例: 現地時間でアムステルダムの午後 7 時にノードの[日付フィルター]で 今日 を選択する。
これは 19 時間以内に発生したすべてのアラートを表示します。ニューヨークのノードでは、フィ
ルターを設定した時点で現地時間は午後 1 時です。
ニューヨークのノードで発生したアラートは、ニューヨーク ノードで今日に対応する 13 時間で
はなく 19 時間表示されます。
[メッセージ フ メッセージ テキスト内のアラート メッセージ タイプと文字列によるアラートのフィルタリング
ィルター]
フィルター オプションを設定したら、フィルターはすぐに適用されます。
次の方法でこれらのオプションを設定します。
• [エラー、警告、情報] — 表示するアラート メッセージのタイプ、または任意の組み合わせのタ
イプのを選択します。
• [フィルター] - 必要に応じて、このフィールドにフィルタリング条件を入力します。この条件
に該当するメッセージ テキストとタイプのアラートだけが表示されます。
一致する用語の検索は、ユーザー インターフェースに表示されているものだけではなく、アプ
ライアンスの内部インターフェースに保管されているアラート エントリに実行されます。
アラートがユーザー インターフェースに表示されるとき、アラート メッセージ テキストは追加
部分を含む可能性があります。
例: origin という単語はアラートの元の場所であるコンポーネント名に追加されます。しか
し、origin またはその他の追加された用語をアラートのフィルタリングに使用できません。
494
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ダッシュボード
17
グラフおよび表のタブ
[グラフおよび表]のタブはアプライアンスの Web 使用、フィルタリング アクティビティ、およびシステム動作を表
示します。また、アプライアンスが集中管理構成のノードの場合、その他すべてのノードの情報も表示されます。
グラフと表の情報の表示
[グラフおよび表]タブでは、Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報を
表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[アプライアンス]ドロップダウン リストから、グラフと表の情報を表示するアプライアンスを選択します。
3
オプションで、[更新]をクリックし、最新情報が表示されるようにします。
4
ナビゲーション ペインのリストから、表示する情報のタイプ([Web トラフィック サマリ]など)を選択します。
関連トピック:
495 ページの「グラフおよび表の表示オプション」
496 ページの「グラフと表の情報の概要」
グラフおよび表の表示オプション
提供された情報のタイプに応じて、[グラフおよび表] タブで情報を表示するオプションを選択できます。
情報のタイプには、以下のものがあります。
•
発展データ — 選択された時間間隔にわたり、特定パラメーターがどのように変化したかについて表示します
例: 選択された時間間隔にわたってブロックまたは許可された URL 要求数がどのように発展したかを表示でき
ます。
•
トップ スコア — 表示した時点までの、フィルタリング プロセスのキー項目に関連したアクティビティまたはバ
イト量の最高数を表示します
経時変化ではなく、これらの数を表示します。
例: 最も頻繁に要求された URL カテゴリを表示できます。またはこれらのタイプの Web オブジェクトがダウン
ロードされたときに転送された量にによって順位化されたメディア タイプを表示できます。
いかなる時点で、トップ スコアを表示するためにアプライアンスに保管される項目の最大数は 1500 です。この
数を超えると、最も発生回数が少ない項目、またはバイト量が最も低い項目は削除されます。
•
その他の情報 — 表で示されている他の情報が表示されます
例: マルウェア対策モジュールまたは URL フィルター モジュールなどアプライアンスのキー モジュール (エン
ジンとも呼ばれる) の現在のバージョンを表示できます。
以下の表では、様々な種類の情報を表示するオプションについて説明します。
McAfee Web Gateway 7.5.0
製品ガイド
495
17
モニタリング
ダッシュボード
表 17-3 グラフおよび表の表示オプション
オプション
定義
[最後を表示] 時間間隔を選択するためのドロップダウン リストを提供します。1 時間 | 3 時間 | ...| 1 年
[解決]
選択された時間間隔にわたるパラメーターの変化が表示される図に使用する時間単位を表示します。
解決は間隔によって異なります。
例: 1 時間が選択されたら、図は時間単位として分を使用し、1 年が選択されたら、図は 1 日を使用
します。
[表示]
選択するためのドロップダウン メニューを提供します。
• 表示モード: 行 | スタック
• 平均値
更新アイコン 表示を更新します。
[トップ]
最高スコアの項目で表示可能な数をドロップダウン リストから選択できます。10 | 25 | ...|
1000
たとえば、最も頻繁に要求される 25 の URL カテゴリが表示されます。
更新アイコン 表示を更新します。
グラフと表の情報の概要
アプライアンスに対する Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報は、ダ
ッシュボードの[グラフおよび表]タブに表示されます。
以下の表は、この情報の概要を提供します。
表 17-4 エグゼクティブ サマリー
情報
説明
[URL エグゼクティブ サ
マリー]
選択した期間内で発生した要求数が表示されます。
要求は、許可された要求とブロックされた要求ごとにソートされます。
さらに、ブロックされた要求はブロックしたフィルタリング モジュール (マルウェア対
策エンジン、URL エンジンなど) でソートされます。
[選択可能なデータ系列を編集する] をクリックすると、表示された要求 (正常な要求と
ブロックされた要求) の選択を編集できるウィンドウが表示されます。
[ヒット数の多いカテゴ
リ]
最も頻繁に要求される URL のカテゴリが表示されます。
[ヒットによるマルウェ
ア]
最も頻繁に要求されたウイルスとマルウェアのタイプが表示されます。
表 17-5 システム サマリー
496
情報
説明
[ネットワークの使用
状況]
選択した期間内で送受信された要求数が表示されます。
[システム使用率]
選択した期間中にアプライアンス システムのハード ディスク、CPU、および物理メモリ
の使用率と、コア サブシステムおよびコーディネーター サブシステムの物理メモリの使
用率がどのように変化したかを表示します。
[更新ステータス]
いくつかのモジュールのバージョンとアプライアンスで実行されたフィルター情報ファイ
ル (Gateway マルウェア対策エンジンやマルウェア対策シグネチャ ファイルなど) が表
示されます。
[最終更新]
URL フィルター モジュールなど、アプライアンスの複数のモジュールが最後に更新された
日時を表示します。
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ダッシュボード
17
表 17-5 システム サマリー (続き)
情報
説明
[開いているポート]
現在要求をリッスンしているアプライアンスのポートをリストします。
[WCCP サービス]
アプライアンスにトラフィックをリダイレクトするために使用される WCCP サービスの
ステータスが表示されます。
[アクティブなプロキ
シ接続]
選択した期間中に接続数がどのように変化したかを表示します。
表 17-6 Web トラフィック サマリー
情報
説明
[プロトコルごとのトラフィック量] 選択した期間内で発生した Web トラフィック量 (HTTP、HTTPS、FTP) が表
示されます。
[プロトコル別の要求]
選択した期間中に HTTP、HTTPS、および FTP のプロトコルで要求数がどの
ように変化したかを表示します。
表 17-7 ICAP トラフィック サマリー
情報
説明
[ICAP クライアントと ICAP トラ 選択した期間内に、REQMOD モードと RESPMOD モードの ICAP クライアン
フィック ]
トと通信中に発生した ICAP トラフィックの量が表示されます。
[ICAP クライアントから ICAP 要 選択された期間に、REQMOD モードと RESPMOD モードの ICAP クライアン
求]
トが送信した ICAP 要求の数が表示されます。
表 17-8 SOCKS トラフィック サマリー
情報
説明
[SOCKS トラフィッ 選択した期間内に、バージョン 4 または 5 の SOCKS プロトコルで発生したトラフィック
ク]
の量が表示されます。
[SOCKS 接続]
選択した期間内に、バージョン 4 または 5 の SOCKS プロトコルで発生したトラフィック
の接続数が表示されます。
[プロトコルごとのト 選択した期間内に SOCKS プロトコルで発生したトラフィックの量が表示されます。
ラフィック量]
トラフィックの量は、SOCKS の基になるプロトコルとして検出される製品 (HTTP または
HTTPS) ごとに表示されます。
他のプロトコルのボリュームも表示されます。これらのプロトコルはフィルタリングされま
せん。Web Gateway では、HTTP、HTTPS 以外のプロトコルはフィルタリングされませ
ん。
[プロトコルごとの接 選択した期間内に SOCKS プロトコルで発生したトラフィックの接続数が表示されます。
続数]
接続数は、SOCKS の基になるプロトコルとして検出される製品 (HTTP または HTTPS) ご
とに表示されます。
他のプロトコルの接続数も表示されます。これらのプロトコルはフィルタリングされませ
ん。Web Gateway では、HTTP、HTTPS 以外のプロトコルはフィルタリングされません。
[接続ごとのプロトコ SOCKS の基になるプロトコルが表示されます。個々の接続で頻繁に検出されるプロトコル
ル検出]
とその接続数が表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
497
17
モニタリング
ダッシュボード
表 17-9 IM トラフィック サマリー
情報
説明
[インスタント メッセージ トラフ
ィック ]
選択した期間内に各サービスで発生したインスタント メッセージ トラフィッ
ク量が表示されます。
[インスタント メッセージング要
求]
選択した期間中にインスタント メッセージング要求数が各種サービスに対し
てどのように変化したかを表示します。
[インスタント メッセージング ク
ライアント]
選択した期間中にインスタント メッセージング クライアント数が各種サービ
スに対してどのように変化したかを表示します。
表 17-10 トラフィック量
情報
説明
[転送バイト数の多いトップレベル ドメ
イン ]
要求で転送されたバイト数が最も多いドメインが表示されます。
[要求数の多いトップレベル ドメイン]
要求を最も多く受信したドメインが表示されます。
[転送されたバイト数別の宛先]
宛先から転送されたバイト数に基づいて、最も頻繁に要求された宛先を
リストします。
[要求数の多い宛先]
要求を最も多く受信したドメインが表示されます。
[転送バイト数の多い発信元 IP]
転送量が最も多い発信元 IP アドレスが表示されます。
[要求数の多い発信元 IP]
最も多くの要求を送信した発信元 IP アドレスが表示されます。
表 17-11 Web キャッシュ統計
情報
説明
[Web キャッシュ効率]
選択した期間内で発生したキャッシュ要求数が表示されます。ヒット数とミス
数でソートされます。
[Web キャッシュ オブジェクト
カウント]
選択した期間中にキャッシュ内のオブジェクト数がどのように変化したかを表
示します。
[Web キャッシュ使用率]
選択した期間中にキャッシュの使用率がどのように変化したかを表示します。
表 17-12 マルウェア統計
情報
説明
[ヒット数の多いマルウェア感染
URL]
ウイルスなどのマルウェアに感染している URL の中で、要求数の最も多い URL
が表示されます。
[ヒット数の多いマルウェア]
最も要求がマルウェアのタイプが表示されます。
[Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense でスキャンされた
要求]
Web オブジェクトの要求数が表示されます。
®
また、選択した期間のスキャン結果によってブロックされた要求数も表示されま
す。
[Advanced Threat Defense の 選択した期間内に McAfee Advanced Threat Defense が Web オブジェクト
スキャン時間]
のスキャンに要した時間が表示されます。
表 17-13 URL フィルター統計
情報
説明
[カテゴリ]
選択した期間で要求された URL カテゴリ数が表示されます。
[レピュテーション]
選択した期間中に要求数がどのように変化したかを表示し、要求された URL のレ
ピュテーションに基づいてそれらをソートします。
[ヒット数の多いカテゴリ]
要求数の最も多い URL カテゴリが表示されます。
[ヒット数の多い未分類サイト] 未分類サイトの中で、要求数の最も多いサイトが表示されます。
498
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ダッシュボード
17
表 17-13 URL フィルター統計 (続き)
情報
説明
[ヒット数の多い不正なサイト] 感染が確認されたサイトの中で最も要求数の多いサイトが表示されます。
[ブロックされた URL の上位] ブロックされたサイトの中で、最も頻繁に要求されたサイトが表示されます。
表 17-14 メディア タイプ統計
情報
説明
[ヒット数の多いメディア タイプ グ
ループ]
選択した期間で要求されたメディアタイプ グループ数が表示されます。
[バイト数の多いメディア タイプ]
転送バイト数が最も多いメディア タイプが表示されます。
[ヒット数の多いメディア タイプ]
成功した要求数が最も多いメディア タイプが表示されます。
タイプは、オーディオ ファイル、イメージ、およびその他にソートされま
す。
表 17-15 DLP フィルター統計
情報
説明
[DLP 分類]
選択した期間内に、ネットワークから外部に許可なく送信された分類数が表示されま
す。
[ヒット数の多い DLP 分類] ネットワークの外部に許可なく送信されたコンテンツの分類で最も多く使用されたも
のが表示されます。
表 17-16 SSL スキャナーの統計
情報
説明
[証明書インシデント]
選択した期間内に発生したインシデント数が表示されます。
インシデントは、インシデントに起因するイベントのタイプ (期限切れの証明書や共通
名の不一致など) に基づいてソートされます。
[秘密鍵に関するリモート 選択した期間内に実行された秘密鍵に対するリモート操作 (データの暗号化と復号) の
操作]
回数が表示されます。
[秘密鍵に関するリモート 秘密鍵のリモート操作で最も頻繁に実行された操作が表示されます。使用されたキー、
操作]
実行された機能、操作の種類などが表示されます。
表 17-17 アプリケーション制御の統計
情報
説明
[カテゴリ]
選択した期間内に要求されたアプリケーションのカテゴリの数が表示されます。
[レピュテーション]
選択した期間内に要求されたアプリケーションに割り当てられたレピュテーショ
ン レベルの数が表示されます。
[ヒット数の多いカテゴリ]
アクセスが最も頻繁に要求されたアプリケーションのカテゴリが表示されます。
[ヒット数の多い危険度高のア
プリケーション]
アプリケーションが最も頻繁に要求された危険度高のアプリケーションが表示さ
れます。
表 17-18 シングル サインオンの統計
情報
説明
[すべてのログイン]
選択した期間内で発生したクラウド アプリケーション (サービス) へのログオン数
が表示されます。
[サービスごとのログイン数] 選択した期間内で発生したログイン数が、ログオンを許可したクラウド アプリケー
ション (サービス) ごと表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
499
17
モニタリング
ダッシュボード
表 17-18 シングル サインオンの統計 (続き)
情報
説明
[サービスごとのログイン数] ログオン数が最も多いクラウド アプリケーション (サービス) が表示されます。
[無効なトークン数]
選択した期間内で検出された無効なトークン数が表示されます。
表 17-19 暗号化の統計
情報
説明
[操作]
選択した期間内でクラウド ストレージ データに実行された暗号化と復号の操作数が表示され
ます。これらの操作で発生したエラーの件数も表示されます。
[量]
選択した期間内で暗号化されたデータと復号されたデータの量が表示されます。
[暗号化操作]
データの暗号化とアップロードで最も多く使用されたクラウド ストレージ サービスが表示さ
れます。
[復号操作]
データの復号とダウンロードで最も多く使用されたクラウド ストレージ サービスが表示され
ます。
[暗号化されたデー データの暗号化で最も多くのデータを暗号化したクラウド ストレージ サービスが表示されま
タ量]
す。
[復号されたデータ データの復号で最も多くのデータを復号したクラウド ストレージ サービスが表示されます。
量]
[暗号化エラー]
データの暗号化で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。
[復号エラー]
データの復号で最も多くエラーが発生したクラウド ストレージ サービスが表示されます。
表 17-20 システム詳細
情報
説明
[ネットワークの使用状況]
選択した期間内で送受信された要求数が表示されます。
[CPU 使用率]
選択した期間中に CPU 使用率がどのように変化したかを表示します。
[メモリ使用率]
選択した期間中にメモリの使用率がどのように変化したかを表示します。
[MWG プロセスの仮想メモリー
の使用状況]
選択した期間内に、Web Gateway で実行されたプロセスが使用した仮想メモ
リーの量が表示されます。
[CPU ごとのシステム負荷の平
均]
選択した期間の個々の CPU に対する平均的な負荷が表示されます。
[スワップ領域の使用状況]
選択した期間内に、データのスワップに使用されたメモリーの量が表示されま
す。
[ファイル システム使用率]
選択した期間中にファイル システムの使用率がどのように変化したかを表示し
ます。
[ファイル システムの使用状況]
パーティションごとのファイル システムの使用率が表示されます。
[開いている TCP ポート]
開いている TCP ポートと、IP アドレス、ポート番号が表示されます。
表 17-21 認証統計
500
情報
説明
[認証要求]
選択した期間内にリモート、ローカルまたはキャッシュで処理された要求数が認証
方法別に表示されます。
[方法別の平均要求処理時間
(ms)]
選択した期間中に各認証方法でサーバーに送信された要求に対する平均処理時間
がどのように変化したかを表示します。
[現在の要求に関するレポー
ト]
サーバーに送信された要求数、キャッシュ ヒット、処理時間 (最小、最大、平均)
が表示されます。
[現在の接続ステータス]
各認証方法で現在有効な接続が表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
17
表 17-22 パフォーマンス情報
情報
説明
[全般的なパフォ 選択した期間内で実行された特定のタスクの平均処理時間が表示されます。
ーマンス]
このようなタスクには、DNS 参照の実行、指定の Web サーバーへの接続、およびすべてのサイ
クルをとおして要求を処理するためにルール エンジンが行った作業が含まれます。
DNS 参照にかかった時間を測定する際には、外部サーバーでの参照のみが考慮に入れられます。
つまり、キャッシュ参照は無視されます。
[HTTP パフォー 選択した期間中にすべてのサイクルをとおして要求を処理するのにかかった平均時間がどのよ
マンスの詳細]
うに変化したかを表示します。
このパフォーマンス情報は、HTTP および HTTPS の接続を使用する Web トラフィックに対し
てのみ測定および表示されます。
すべてのサイクル (要求、応答、および埋め込みオブジェクト) をとおして要求を処理すること
は、1 つのトランザクションと見なされます。
平均処理時間は完了トランザクションに対して表示されますが、トランザクションの最中に行わ
れる特定のデータ転送に対しても表示されます。
• クライアントから最初のバイトを受信してから、クライアントに最初のバイトを送信するま
で — 同一トランザクション内において、アプライアンスでクライアントから最初のバイトを
受信してからこのクライアントに最初のバイトを送信するまでの間にかかった平均処理時間
を表示します。
• クライアントから最後のバイトを受信してから、クライアントに最後のバイトを送信するま
で — 同一トランザクション内において、アプライアンスでクライアントから最後のバイトを
受信してからこのクライアントに最後のバイトを送信するまでの間にかかった平均処理時間
を表示します。
• サーバーから最初のバイトを受信するまでにサーバーに送信された最初のバイト - アプライ
アンスから Web サーバーに最初のバイトが送信されてから、トランザクション内のこのサー
バーから最初のバイトを受信するまでの平均処理時間が表示されます。
• サーバーに最後のバイトを送信してから、サーバーから最後のバイトを受信するまで — 同一
トランザクション内において、アプライアンスから Web サーバーに最後のバイトを送信して
からこのサーバーから最後のバイトを受信するまでの間にかかった平均処理時間を表示しま
す。
ログ
ロギングは、アプライアンスの Web フィルタリングと他のプロセスの記録を可能にします。記録を含むログ ファイ
ルを確認することは、失敗の理由を見つけて問題を解決することを可能にします。
ロギングには、以下の要素が関連しています。
•
Web フィルタリングと他のプロセスを記録する
エントリが書き込まれるログ ファイル
•
ログ ファイルにエントリを書き込むログ ルール
•
ログ ファイルにエントリを書き込むシステム機
能
•
ログ ファイルをローテート、削除、およびプッシ
ュするログ ファイル管理モジュール
•
ログ ファイルにエントリを書き込むモジュール
ログ ファイル
ログ ファイルには、Web フィルタリングと他のプロセスに関するエントリが含まれます。同じ種類のコンテンツを
持つログ ファイルは、logs と呼ばれるフォルダーに保管されています。アプライアンスのユーザー インターフェー
スですべてのログとログ ファイルを表示できます。
McAfee Web Gateway 7.5.0
製品ガイド
501
17
モニタリング
ログ
コンテンツに応じて、ログ ファイルはアプライアンス システムの機能、モジュール、またはログ ルールによって管
理されています。従って、これらのログ ファイルに対し、表示、編集、ローテート、およびその他などの、いくつか
またはあらゆる種類のアクティビティを実行できます。
システム機能でのロギング
一部のコンテンツでは、ログ ファイル エントリはアプライアンス システムの機能によって書き込まれます。これら
のファイルはユーザー インターフェースで表示できますが、編集と削除はできません。また、ファイルはシステム機
能によって定期的にローテートされます。
モジュールでのロギング
一部のコンテンツでは、ログ ファイル エントリはプロキシ モジュールまたはマルウェア対策モジュールなどの特定
モジュールによって書き込まれます。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。これらのファイルのロ
ーテーション、削除、および他の場所へのプッシュは、設定の構成が可能なログ ファイル マネージャーによって処
理されます。
ルールでのロギング
ログ ルールは、イベントを使用してログ ファイル エントリを作成して、その条件が一致する場合、ログ ファイルに
それを書き込みます。
他のルールと同様に、ログ ルールはルール セットに含まれています。これらのルール セットはログ ハンドラーとし
て知られるトップレベル ルール セットにネストされています。デフォルト ログ ハンドラーは初期セットアップの
後に利用できます。
ログ ルールは、アプライアンスで受信されたリクエストのリクエスト、応答、埋め込みオブジェクトサイクルが完了
した後に、処理されます。
ログ ルールとそれらのルール セットは、他のルールとルール セットと同様に作業を行えます。
これらのファイルのローテーション、削除、および他の場所へのプッシュは、設定の構成が可能なファイル システ
ム ログ モジュールによって処理されます。
ログ ファイル管理モジュール
ログ ファイルにローテーション、削除、および他の場所へのプッシュを含む管理アクティビティを実行するためのモ
ジュールは 2 つあります。
これらのモジュールは、モジュールによって管理されているログ ファイル マネージャー、およびログ ルールによっ
て管理されているログ ファイル用のファイル システム ログ モジュール(エンジンとも呼ばれる)です。
これらのモジュールの設定を構成して、ログ ファイルのローテーション、削除、およびプッシュをご使用のネットワ
ークの要件に適合させることができます。
ロギングの管理
アプライアンスのロギング機能を管理して、ネットワーク上の Web セキュリティを確保するためにアプライアンス
がフィルタリングと他のアクティビティをどのように実行するかを監視できます。
以下の高レベル手順を完了します。
タスク
502
1
アプライアンスで維持されているログ ファイルを表示します。
2
必要に応じて、実装されているログ ファイル システムを変更します。
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
17
たとえば、以下の操作を実行できます。
•
ログ ルールの有効化、無効化、または削除
•
ログ ルールの変更
•
自分のログ ルールの追加
•
3
以下のロギング モジュールの設定の構成
•
ログ ファイルのローテーション
•
ログ ファイルのプッシュ
•
ログ ファイルの削除
変更を保存します。
ログ ファイルの表示
ログ ファイルは、アプライアンスのユーザー インターフェースで表示することができます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ログ ファイルを表示するアプライアンスを選択し、[ログ ファイル]をクリックしま
す。
ログ ファイル フォルダー(場合によってはサブフォルダーが含まれている)のリストが表示されます。
3
表示するログ ファイルを含むフォルダーまたはサブフォルダーをダブルクリックします。
フォルダーが開き、ログ ファイルが表示されます。
4
表示するログ ファイルを選択し、リストの上にあるツールバーの[表示]をクリックします。
関連トピック:
503 ページの「ログ ファイル タイプ」
ログ ファイル タイプ
アプライアンス上にはさまざまなログ ファイル タイプがあります。これらは記録されるコンテンツの種類、および
記録が行われる方法において異なります。
同じ種類のデータを記録するログ ファイルは同じフォルダーに保管されます。同じ種類のコンテンツであるログ フ
ァイルを保管するためのフォルダーは、log と呼ばれます。
コンテンツに応じて、ログ ファイルはシステム機能、モジュール、またはログ ルールによって管理されています。
システムによって管理されるログ ファイル
いくつかのログ ファイルはオペレーティング システムおよびさまざまなシステム関連サービスを含むアプライアン
ス システムの機能によって維持されています。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ただし、システム ロ
グ ファイルが読み込めないとき、それらはユーザー インターフェースに表示されません。
また、ファイルはシステム機能によって定期的にローテートされます。このローテーションを構成するオプションは
ありません。
McAfee Web Gateway 7.5.0
製品ガイド
503
17
モニタリング
ログ
モジュールによって管理されるログ ファイル
その他のログ ファイルはプロキシ モジュールまたはマルウェア対策モジュールなどアプライアンスの特定モジュー
ルによって管理されます。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ファイルはアプライア
ンスの以下の場所にあるサブフォルダーに保管されます。
/opt/mwg/log
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なログ ファイル マネージャーに
よって定期的に処理されます。
これらのフォルダーのすべてのファイルは、名前の一部に mwgResInfo を含むファイルを除き、ログ ファイル マ
ネージャーによって処理されます。
また、以下の名前を含むフォルダーはログ ファイル マネージャーによって処理されません(cores, feedbacks,
tcpdump, migration, system, ruleengine_tracing, connection_tracing, message_tracing)。
モジュールによって管理されているログ ファイルのログには以下が含まれます。
•
監査ログ — アプライアンス構成の変更を記録するログ ファイルを保管します
•
デバッグ ログ — デバッグ情報を記録するログ ファイルを保管します
•
移行ログ — 移行アクティビティを記録するログ ファイルを保管します
•
MWG エラー ログ - アプライアンス コンポーネントで発生するエラーを記録するログ ファイルを保存しま
す。
コーディネーター サブシステム、マルウェア対策モジュール、ユーザー インターフェース、およびシステム構成
デーモンには別のエラー ログがあります。
•
更新ログ - モジュールおよびファイルの更新を記録するログ ファイルを保存します
ルールによって管理されるログ ファイル
また、ログ ルールによって管理されているログ ファイルもあります。これらのルールが適用されるときにトリガー
されるイベントによって、データの記録が実行されます。
例: ユーザーがリクエストしたオブジェクトがウイルスに感染していると、ルールはイベントをトリガーします。ト
リガーされたイベントはユーザー、感染しているオブジェクト、リクエストの日付および時刻などの情報とともにロ
グ ファイルにエントリを書き込みます。
その他のルールと同じ方法でこのログ ファイルのタイプのルールの作業を行えます。
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なファイル システム ログ モジュ
ールによって定期的に処理されます。
以下のルールによって管理されているログ ファイルはデフォルトでアプライアンスに提供されます。
•
アクセス ログ — 日付および時刻、ユーザー名、リクエストされたオブジェクト、オブジェクトの感染、オブジ
ェクトのブロックを含む、リクエストおよび関連情報を記録するログ ファイルを保管します
•
ウイルス検出ログ — ウイルスおよびリクエストされたオブジェクトを感染させると判明した他のマルウェアの
名前を記録するログ ファイルを保管します
また、ログは日付と時刻、ユーザー名、リクエストされた URL、およびリクエスト送信元のクライアントの IP
アドレスも記録します。
•
504
インシデント ログ — ライセンス、モニタリング、またはアップデートなどさまざまな機能に関連するインシデ
ントを記録するログ ファイルを保管します
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
17
これらのデフォルト ログに、作成したログを追加できます。
ログ ファイル設定の構成
ログ ファイル管理モジュールの設定を構成することで、ログ ファイルがどのようにローテート、削除、およびプッ
シュされるかを決定できます。
ログ ファイル管理モジュールは、モジュールによって維持されているログ ファイル、およびルールによって維持さ
れているログ ファイルのローテーション、削除、およびプッシュを処理します。
システムによって維持されているログ ファイルのログ ファイル管理は構成できません。
タスク
•
505 ページの「モジュールによって維持されるログ ファイルの設定の構成」
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構
成できます。これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
•
505 ページの「ルールによって維持されるログ ファイルの設定の構成」
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成で
きます。これらのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
モジュールによって維持されるログ ファイルの設定の構成
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。
これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
モジュールによって維持されるログ ファイルの設定は、ログ ファイル マネージャーのために構成されるシステム設
定です。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ログ ファイル設定を構成するアプライアンスを選択して、[ログ ファイル マネージャ
ー]をクリックします。
設定パネルにログ ファイル マネージャー設定が表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
506 ページの「ログ ファイル マネージャー設定」
ルールによって維持されるログ ファイルの設定の構成
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。これ
らのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ファイル システム ログ]を展開し、構成するログ ファイル設定を選択します。例:[ウイルス検出
ログ]。、
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
508 ページの「ファイル システム ログ設定」
McAfee Web Gateway 7.5.0
製品ガイド
505
17
モニタリング
ログ
ログ ファイル マネージャー設定
ログ ファイル マネージャー設定は、アプライアンスの特定モジュールによって管理されているログ ファイルのロー
テーション、削除、およびプッシュの構成のために使用されます。
一般的に、および 2 つの重要なタイプのログ ファイル(更新ログと監査ログに保管される)の設定を構成すること
が可能です。
グローバル ログ ファイル設定
一般的なログ ファイルの設定
これらの設定には、ログ ファイルのローテーションと削除、および他の場所へのプッシュのオプションが含まれま
す。
自動ローテーション
ログ ファイルのサイズと日時に従って自動的にログ ファイルをローテートするための設定
表 17-23 自動ローテーション
オプション
定義
[自動ローテーションの有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じてローテー
トされます。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超え
てしまった場合ログ ファイル
ローテーションを有効化]
これが選択されている場合、提供されている入力フィールドで指定されていると
おりに、ログはそれらのサイズ(MiB)に従ってローテートされます。
[ログ ファイル ローテーション
のスケジュールを有効化]
これが選択されている場合、提供されている入力フィールドで指定されていると
おりに、ログは日時(時間と分の単位)に従ってローテートされます。
ここでは 24 時間形式が使用されています。例: 午後 1 時は 13:00。
自動削除
サイズと最後に変更された時刻に応じてログ ファイルを自動的に削除するための設定
表 17-24 自動削除
オプション
定義
[自動削除の有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じて削除されま
す。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超
これが選択されている場合、提供されている入力フィールドで指定されているとお
えてしまった場合ログ ファイ りに、ログ ファイルはそれらのサイズ(MiB)に従って削除されます。
ルの削除を有効化]
[変更されていないファイルの これが選択されている場合、提供されている入力フィールドで指定されているとお
りに、ログ ファイルは入力フィールドに指定されている期間(日単位)に従って削
自動削除を有効化]
除されます。
自動プッシュ
ローテートされたログ ファイルを自動的に他の場所にプッシュするための設定
506
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
17
表 17-25 自動プッシュ
オプション
定義
[自動プッシュの
有効化]
これが選択されている場合、ローテートされたログ ファイルはアプライアンスのローカル デー
タベースから次の設定で指定されたサーバーにプッシュされます。
[宛先]
ネットワーク プロトコル、ホスト名、およびサーバーのパスを指定します。
プッシュ処理をより精密に指定するために、変数をパス名に追加することが可能です。
たとえば、ログ ファイルがプッシュされるアプライアンスのホスト名では %h を追加できま
す。よって、送信先は以下のように指定することができます。
ftp://myftp.com/%h
ログ ファイルがプッシュされる際に、変数は適切な値(この例ではホスト名)と置き換えられ
ます。
使用できる変数は次のとおりです。
• %h — アプライアンスのホスト名
• %y — 現在の年(4 桁)
• %m — 現在の月(1 または 2 桁)
• %% — % の文字を指定するために使用(ホスト名に使用する場合)
[ユーザー名]
ログ ファイルをサーバーにプッシュすることを許可されているユーザーの名前を指定します。
ユーザー名には変数 %h を指定できます。ランタイムで、それは現在のアプライアンスのホス
ト名に置き換わります。
[ローテーション これが選択されている場合、ローテーションの直後にプッシュが続きます。
直後のログ ファ
イルのプッシュを
有効化]
[プッシュ間隔]
次のログ ファイルがプッシュされる前に経過する時間(時間単位)
(ローテーション直後にプッ
シュされなかった場合)を指定値に制限します。
更新ログの設定
更新ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
表 17-26 更新ログの設定
オプション
定義
[更新ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が更新ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ
ていて、それらは同様に構成します。
自動プッシュ]
監査ログの設定
監査ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
McAfee Web Gateway 7.5.0
製品ガイド
507
17
モニタリング
ログ
表 17-27 監査ログの設定
オプション
定義
[監査ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が監査ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれ
ていて、それらは同様に構成します。
自動プッシュ]
詳細
コアおよびフィードバック ファイルの自動削除の設定
表 17-28 詳細
オプション
定義
[コア ファイルの自動削除 これが選択されている場合、構成した設定に応じて自動的にコア ファイルが削除され
を有効化]
ます。
数、時間間隔、および容量の値を超過するコア ファイルを自動的に削除するために、
これらの値を指定できます。
[フィードバック ファイル これが選択されている場合、構成した設定に応じて自動的にフィードバック ファイル
の自動削除を有効化]
が削除されます。
数、時間間隔、および容量をコア ファイルと同じ方法で指定できます。
ファイル システム ログ設定
ファイル システム ログ設定は、ログ ルールによって管理されているログ ファイルのローテーション、削除、および
プッシュの構成のために使用されます。
ファイル システム ログ設定
ルールによって管理されているログ ファイルを保管するログの設定
表 17-29 ファイル システム ログ設定
オプション
定義
[ログの名前]
ログ名を指定します。
[ログ バッファリングを有効にする]
選択されていると、ログがバッファリングされます。
バッファー間隔は、30 秒です。
[ヘッダー書き込みを有効にする]
選択されていると、下のヘッダーがすべてのログ ファイルに追加されま
す。
[ログ ヘッダー]
すべてのログ ファイルのヘッダーを指定します。
[ログ ファイルを暗号化]
選択されていると、ログ ファイルは暗号化された状態で保管されます。
[最初のパスワード、繰り返しのパスワー 暗号化されたログ ファイルへのアクセスを提供するパスワードを設定し
ド]
ます。
[オプション][2 番目のパスワード、繰 暗号化されたログ ファイルへのアクセスを提供する 2 番目のパスワー
り返しのパスワード]
ドを設定します。
ローテート、削除、およびプッシュの設定
ログ ファイルの管理のための設定
508
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
17
ルールによって管理されているログ ファイルのローテート、削除、およびプッシュの設定には、ログ ファイル マネ
ージャーの設定の一部として構成される、モジュールによって管理されているログ ファイルの対応している設定と同
じオプションが含まれていて、同様に構成されています。
関連トピック:
506 ページの「ログ ファイル マネージャー設定」
ログの作成
ログ ファイルにエントリを書き込むために、ログ ルールが使用できるログを作成できます。
ログを作成する際に、それを別途作成するのではなく、ファイル システム設定モジュールの新規設定作成の一部とし
て、作成します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
[ファイル システム ログ]を展開し、既存の設定の 1 つを選択します。例:[アクセス ログ設定]。
これらは新しいログの設定を含めて、新しい設定の作成の開始点となります。
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、設定名を入力します。
5 [オプション][コメント]フィールドで、設定の平文コメントを入力します。
6 [オプション][権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[ログ名]で、新しいログの名前を入力します。
8
必要に応じて、ローテーションまたは削除などの他の設定を構成します。
9
[OK]をクリックします。
[設定の追加]ウィンドウを閉じて、設定ツリーの[ファイル システム ログ]に新しい設定が表示されます。
10 [変更の保存]をクリックします。
ログ ハンドラーの作成
新しいログ ルールを作成する際、それらを既存のログ記録ルール セットに挿入するか、それらのために新しいルー
ル セットを作成します。これらはログ ハンドラーとして知られるトップレベル ルール セットでそれら自体をネス
ト化する必要があります。
また、新しいログ ルール セットの挿入にデフォルト ログハンドラーを使用することもできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
[ルール セット]メニューから[ログ ハンドラー]を選択します。
3
ログ ハンドラー ツリーの上にある[追加]をクリックして、表示されるドロップダウン メニューから[ログ ハンド
ラー]を選択します。
[新しいログ ハンドラーの追加]ウィンドウが開きます。
4
[名前]フィールドで、ログ ハンドラーの名前を入力します。
McAfee Web Gateway 7.5.0
製品ガイド
509
17
モニタリング
ログ
5
[有効にする]が選択されていることを確認します。
6 [オプション][コメント]フィールドで、ログ ハンドラーの平文コメントを入力します。
7 [オプション][権限]タブをクリックして、ログ ハンドラーへのアクセスが許可されるユーザーを設定します。
8
[OK]をクリックして、[新しいログ ハンドラーの追加]ウィンドウを閉じます。
新しいログ ハンドラーがログ ハンドラー ツリーに表示されます。
9
[変更の保存]をクリックします。
ログ ルールの要素
ログ ルールは、特定ログへのログ ファイル エントリの書き込みを処理します。その要素は、他のルールと同じタイ
プのものです。
名前
ウイルス検出ログの書き込み
条件
Antimalware.Infected
equals true
アクション
–> 続行
イベント
– Set User-Defined.LogLine =
+ DateTime.ToWebReporterString
+ “ ””
+ Authentication.Username
+“”
+ String.ReplaceIf Equals (IP.ToString(Client.IP),
““”, “-”)
+ ““ ””
+ List.OfString.ToString
(Antimalware.VirusNames)
+ ““ ””
+ URL
+ ““”
FileSystemLogging.WriteLogEntry
(User-Defined.logLine)<ウイルス検出ログ>
このルールの要素には以下の意味があります。
•
条件 — Antimalware.Infected equals true
ルールの条件は Antimalware.Infected プロパティを使用します。これは、このプロパティの値が true の
場合一致します。これはフィルタリングされたオブジェクトが感染している場合、ルールが適用されるという意
味です。
•
アクション — Continue
ルールが適用されると、Continue アクションが実行されます。このアクションは、現在のルールのイベントも実
行された後、次のルールで処理を続行させます。
510
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
•
17
イベント — ルールが適用される際に、以下の 2 つのイベントも実行されます。
•
Set User-Defined.logLine = ... — ロギングされるパラメーター値を設定します。
これらの値は次のとおりです。
•
FileSystemLogging.WriteLogEntry ... — 書き込みイベントを実行します
書き込むエントリ、および書き込まれるログ ファイルはイベントで指定されます。
•
(User-Defined.logLine) — エントリを指定するイベント パラメーター
これはルールの他のイベントによって設定されたパラメーター値のログ ファイル ラインです。
•
<ウイルス検出ログ> — ログ ファイルを指定するイベント設定
ベストプラクティス - ログ ファイル フィールドの追加
ログのログ ファイルに書き込まれるエントリにログ ファイル フィールドを追加すると、Web Gateway で実行され
るアクティビティについて追加情報を記録できます。
ログ ファイル フィールドを追加するときに、ログ ヘッダーを適用して、新しいログ ファイル フィールドのエント
リを設定することもできます。これにより、ログ ファイルに書き込まれるヘッダーに、このフィールドの情報を追加
できます。
ログ ファイル フィールドを追加する
ログ ファイルのエントリにログ ファイル フィールドを追加するには、ログ ファイル エントリの書き込み設定に必
要な要素を追加します。
以下では、Web Gateway で受信したクライアント要求の宛先 IP アドレスをルールに追加し、ログ ファイル エン
トリをデフォルトのアクセス ログに書き込む方法について説明します。
タスク
1
[ポリシー ] 、 [ルール セット] の順に選択します。
2
[ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、デフォルトの「ログ ハンドラー」ルール セット
を展開し、[アクセス ログ] を選択します。
3
ログ ファイル エントリに書き込む要素を追加します。
a
[アクセス ログの書き込み] ルールを選択し、すぐ上の [編集] をクリックします。
b
[イベント] を選択して、[User-Defined.logLine の設定] イベントを選択し、[編集] をクリックします。
c
[この文字列の結合] で [追加] をクリックします。
d
[パラメーター プロパティ] をクリックして、プロパティ リストから [IP.ToString] を選択し、プロパティ名
の横にある [パラメーター] をクリックします。
プロパティを検索するには、リストの上にあるフィルター フィールドに該当する文字の組み合わせ (例:
ip.tos) を入力します。
[プロパティのパラメーター] ウィンドウが開きます。
McAfee Web Gateway 7.5.0
製品ガイド
511
17
モニタリング
ログ
e
[パラメーター プロパティ] をクリックして、[URL.Destination.IP] を選択します。
f
[プロパティのパラメーター] ウィンドウで [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリ
ックします。
[プロパティ設定の編集] ウィンドウで、次のように古い要素の最後に新しい要素が追加されます。
+ Number.ToString(Block.ID) + "" "" + Application.ToString(Application.Name) + """ +
IP.ToString(URL.Destination.IP)
4
区切り文字を挿入して、新しいログ ファイル フィールドを前のフィールドと区別します。
a
二重引用符が 3 つある行を選択して、[編集] をクリックします。
b
ウィンドウに表示された二重引用符の横に空白を挿入し、[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。[プロパティ設定の編集] ウィンドウで、2 つの要素の間の行が次の
ようになります。
+ Application.ToString(Application.Name) + "" " + IP.ToString(URL.Destination.IP)
c
5
[文字列の入力] ウィンドウと [プロパティ設定の編集] ウィンドウで [OK] をクリックします。[ルールの編
集] ウィンドウで [完了] をクリックします。
[ルールの編集] ウィンドウで [完了] をクリックし、[変更を保存] をクリックします。
ログ ヘッダーを適用する
アクセス ログ ヘッダーを適用するには、ログ ファイルの書き込み用に追加した新しい要素にヘッダー エントリを追
加します。
タスク
1
[ポリシー] 、 [設定] の順に選択します。
2
設定ツリーで [ファイル システム ログ] を展開し、[アクセス ログ設定] を選択します。
3
[ファイル システム ログ設定] で、[ヘッダーの書き込みを有効にする] が選択されていることを確認します。[ロ
グ ヘッダー] フィールドにあるテキスト文字列の終わりで、最後の要素の後を空白のままにして server_ip と
入力します。
ヘッダー フィールドの名前 (server_ip など) にスペースは使用できません。アンダースコアを使用してくださ
い。
4
[変更を保存] をクリックします。
ベスト プラクティス - ログの作成
ログを作成すると、Web Gateway で実行される特定のアクティビティを記録することができます。
たとえば、特定のクライアントから受信した無効な要求またはブロックされた要求をすべて記録することができます。
512
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
17
ログへの記録はログ ルールに従って行われます。ログに記録する要求を Web Gateway で受信すると、このルール
が適用され、次の処理が実行されます。
•
要求に関する情報をログ ファイル エントリ (ログ ラインともいいます) に記録します。
このエントリには、要求の送信時間、要求を送信したユーザーの名前などが記録されます。
•
ログ ファイルにエントリを書き込みます。
ログ ファイルはログに保存されます。ログ ファイルをローテーションし、一定の時間の経過後に削除すると、大
量のメモリー消費を避けることができます。
Web Gateway の他のルールと同様に、ログ ルールはルール セット (ログ ルール セット) に記述する必要がありま
す。
情報を記録するログを作成するには、次の操作を行います。
•
ログ ルール セットの作成
•
ログ ルールの作成
ログ ルールを作成するには、次の設定を行う必要があります。
•
ルール条件
•
ログ ファイル エントリを書き込むイベント
•
ログ ファイル エントリをログ ファイルに書き込むイベント
書き込みイベントを設定する場合には、ログ ファイルを保存するログも指定します。
ログ ファイル エントリの設定
ログ ルールを作成するときに、ログ ファイル エントリを生成するルールにイベントを設定する必要があります。
ログ ファイル エントリには、Web Gateway で実行されたアクティビティに関する情報 (要求の受信やフィルタリ
ングなど) が記録されます。
この情報の保存にはプロパティが使用されます。たとえば、Authentication.Username プロパティには、要求を送
信したユーザーの名前が記録されます。
ログ ファイル エントリを生成するイベントを設定するには、情報の保存に使用するプロパティをすべて指定する必
要があります。イベントが発生すると、これらのプロパティの値が組み合わされ、User-Defined.logLine とい
う 1 つのプロパティに記録されます。
次に、User-Defined.logLine プロパティの値が書き込みイベントによってログ ファイルに書き込まれます。
ログ ファイル エントリを生成するイベントのプロパティを指定するときに、いくつかの点に注意する必要がありま
す。
文字列形式
ログ ファイル エントリは文字列形式のデータ連鎖です。イベントが使用するプロパティは文字列形式にする必要が
あります。それ以外の形式は変換が必要になります。
たとえば、クライアントの IP アドレスをログに記録する場合には、Client.IP プロパティを使用します。このプロパ
ティの値に特殊な IP アドレス形式を保存する場合には、IP.ToString プロパティで形式を変換します。
この場合、IP.ToString(Client.iP) のように、IP.ToString をログ ファイル エントリの要素として指定し、パラ
メーターとして Client.IP を括弧内に指定します。この項目が処理されると、文字列形式の IP アドレスが渡されま
す。
McAfee Web Gateway 7.5.0
製品ガイド
513
17
モニタリング
ログ
空の要素
ログ ルールを処理するときに、すべてのプロパティに値が記録されているとは限りません。したがって、ログ ファ
イル エントリに空の要素が存在する場合があります。
たとえば、要求を送信したユーザーの認証が実行されなかった場合、Authentication.Username プロパティに
値はありません。この場合、プレースホルダーとしてダッシュなどを挿入できます。
この場合、String.ReplaceIfEqual プロパティを使用します。このプロパティには次の 3 つのパラメーターを指
定します。
•
プロパティに実際に記録された値
•
値 1 と比較する値
•
値 1 と値 2 が一致した場合に 値 2 と置き換える値
たとえば、String.ReplaceIfEqual プロパティのパラメーターとして、Authentication.Username、空白、ダッシ
ュを指定したときに、ユーザー名が記録されないと、ログ ファイル エントリの user-name 要素にダッシュが入り
ます。
区切り文字
ログ ファイル エントリを読みやすくするには、ログ ファイル エントリの要素を区切る区切り文字を設定します。区
切り文字としては、空白、引用符、その他の文字を使用できます。
区切り文字はエントリの主要素と同じ方法で指定します。また、区切り文字は文字列として解釈されます。
ログ ルールのログ ルール セットを作成する
エントリをログ ファイルに書き込み、ログを保存するログ ルールを作成するには、このルールにログ ルール セット
を作成し、ルール条件とイベントを設定します。
ここで説明するサンプル ルールでは、次の条件を満たした場合に特定の ID を持つクライアントから受信したすべて
の要求をログに記録します。
•
HTTP プロトコルで要求が無効な場合 (応答 403) または
•
Web Gateway の Web セキュリティ ルールで要求がブロックされた場合 (ブロック ID が 0 以外の場合)
タスク
1
[ポリシー ] 、 [ルール セット] の順に選択します。
2
[ログ ハンドラー] を選択します。ログ ハンドラー ツリーで、[デフォルト] ログ ハンドラー ルール セットを展
開します。
3
ログ ルールにルール セットを作成します。
このルール セットは [デフォルト] ルール セットにネストされます。
a
[追加]、[ルール セット] の順にクリックします。
b
[名前] フィールドに、新しい「ログ」ルール セットの名前を入力します。例: Troubleshooting Log
c
[OK] をクリックします。
ウィンドウが閉じます。ログ ハンドラー ツリーに新しい「ログ」ルール セットが表示されます。
4
514
ログ ルールを追加して名前を設定します。
a
設定ペインで、[ルールの追加] をクリックします。
b
[名前] フィールドにログ ルールの名前を入力します。例: Log requests that caused issues
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
5
17
ルール条件を設定します。
a
[ルール条件] を選択します。[追加] をクリックして、[詳細条件] を選択します。
b
優先順位として [Client.IP] を選択し、演算子に [等しい] を選択します。[比較] の下にあるフィールドで、
オペランドとして IP アドレス (例: 10.149.33.8) を入力します。
c
[OK] をクリックします。
[条件の追加] ウィンドウが閉じます。設定したルール条件が [ルールの追加] ウィンドウに表示されます。
6
d
もう一度 [追加] をクリックして、2 つ目の条件を設定します。
e
最初の部分と同じ方法で、[Response.StatusCode]、[等しい]、403 を設定し、[OK] をクリックします。
f
同じ方法で、[Block.ID]、[等しくない]、0 を設定し、[OK] をクリックします。
ログ ファイル エントリを生成するイベントを設定します。
a
[イベント] を選択して [追加] をクリックし、[プロパティの値を設定] を選択します。
b
プロパティ リストで [User-Defined.logLine] を選択し、[この文字列の結合] で [追加] をクリックします。
c
[パラメーター プロパティ] をクリックします。ログ ファイル エントリの最初の要素としてプロパティ リス
トから [DateTime.ToWebReporterString] を選択します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した要素が [プロパティ設定の追加] ウィンドウに表示されま
す。
d
[追加] をクリックします。[パラメーター値] が選択されていることを確認して、空白の後に二重引用符を入
力します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示
されます。
e
ログ ファイル エントリの次の要素を追加します。
•
[追加]、[パラメーター プロパティ] の順にクリックします。
•
[String.ReplaceIfEquals] を選択して、プロパティ名の横にある [パラメーター] をクリックします。
[プロパティのパラメーター] ウィンドウが開きます。
•
最初のパラメーターで [パラメーター プロパティ] をクリックし、[Authentication.Username] を選択
します。
•
2 番目のパラメーターを選択します。ただし、右側の入力フィールドには何も入力しないでください。
パラメーター値として空白が使用されます。
•
3 番目のパラメーターを選択して、入力フィールドにダッシュを入力します。
•
[プロパティのパラメーター] で [OK] をクリックし、[文字列の入力] ウィンドウで [OK] をクリックし
ます。
要素が [プロパティ設定の追加] ウィンドウに表示されます。
f
[追加] をクリックして、二重引用符、空白、二重引用符を入力します。[OK] をクリックします。
[文字列の入力] ウィンドウが閉じます。設定した区切り文字が [プロパティ設定の追加] ウィンドウに表示
されます。
McAfee Web Gateway 7.5.0
製品ガイド
515
17
モニタリング
ログ
g
次のリストにあるプロパティを選択して、残りの要素を追加します。 手順 f のように、要素の間に区切り文
字を挿入してください。
•
[Client.IP]
この要素の場合、[Client.IP] プロパティのパラメーターとして [IP.ToString] プロパティを設定します。
手順 e と同様にパラメーターを追加します。
•
[Request.Header.First.Line]
•
[Header.Request.Get]
パラメーターの値として user-agent を入力し、この要素のパラメーターを設定します。
•
[Rules.CurrentRuleSet.Name]
•
[Rules.CurrentRule.Name]
•
[Block.ID]
この要素の場合、[Block.ID] プロパティのパラメーターとして [Number.ToString] プロパティを設定し
ます。
•
[Block.Reason]
この最後の要素の後に、区切り文字として二重引用符を 1 つだけ使用します。
h
[OK] をクリックして、[プロパティ値の設定] ウィンドウを閉じます。
ログ ファイル エントリを生成するイベントが [ルールの追加] ウィンドウに表示されます。
次のように表示されます。
Set User-Defined.logLine =
DateTime.ToWebReporterString
+ " ""
+ String.ReplaceIfEquals
(Authentication.UserName, "", "-")
+ "" ""
+ IP.ToString(Client.IP)
+ "" ""
+ Request.Header.First.Line
+ "" ""
+ Header.Request.Get("user-agent")
+ "" "" + Rules.CurrentRuleSet.Name
+ "" ""
+ Rules.CurrentRule.Name
+ "" ""
+ Number.ToString(Block.ID)
+ "" ""
+ Block.Reason
+ """
変更が必要な場合には、イベントを選択して [編集] をクリックし、[プロパティ設定の編集] ウィンドウを開
きます。
表示されるイベントには + 記号が自動的に追加されます。
文字列値の前後に二重引用符が追加されます。たとえば、最初の区切り文字の " "" は空白と二重
引用符を表します。
516
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
ログ
7
17
ログ ファイル エントリをログ ファイルに書き込むイベントを設定します。
a
[ルールの追加] ウィンドウ (変更を行う場合には [ルールの編集] ウィンドウ) の[イベント] で、[追加] をク
リックして [イベント] を選択します。
b
イベント リストから [FileSystemLogging.WriteLogEntry] を選択し、[パラメーター] をクリックします。
c
[パラメーター プロパティ] をクリックします。下のリストで [User-Defined.logLine] を選択して [OK]
をクリックします。
[実行アクションのパラメーター] ウィンドウが閉じます。
d
[イベントの追加] ウィンドウで、[設定] フィールドの下にある [追加] をクリックします。
e
新しい設定を作成します。
作成した新しいログが処理されるときに、これらの設定がファイル システム ログ モジュール (またはエンジ
ン) によって使用されます。
•
[名前] フィールドに、新しい設定の名前を入力します。例: Troubleshooting Log Settings
•
[ログの名前] で troubleshooting.log と入力します。
•
[ヘッダーの書き込みを有効にする] を選択します。[ログ ヘッダー] フィールドで、ログ ヘッダーの要素
を入力します。
新しいログのログ ファイルの先頭にログ ヘッダーが表示されます。これは、手順 6 で設定したログ ファ
イル エントリの要素を表します。
ログ ヘッダーは次のようになります。
time_stamp "auth_user" "src_ip" "req_line" "user_agent" "rule_set" "rule"
"block_page_res"
"block_res"
•
[ローテート、削除、およびプッシュの設定] で、次の設定を行います。
•
[ユーザー定義ログの指定設定の有効化] を選択します。
•
[自動ローテーション] で、[ローテーション後の GZIP ログ ファイル] を選択してメモリー領域を節約
します。
•
必要に応じて、[自動ローテーション] と [自動検出] で残りの設定を行います。
この新しいログのログ ファイルがプッシュされなくなるので、[自動プッシュ] を有効にしたり、設定
しないでください。
f
[設定の追加] ウィンドウで [OK] をクリックして、[イベントの追加] ウィンドウで [OK] をクリックします。
ウィンドウが閉じます。ログ ファイル エントリを書き込むイベントが [ルールの追加] (または [ルールの編
集]) ウィンドウに表示されます。
g
[完了] をクリックします。
ウィンドウが閉じます。[ルール セット] タブに、[トラブルシューティング ログ] ルール セットとして新し
いログ ルールが表示されます。
これで、特定の要求を記録するログ ルールが作成されました。
設定した名前のログにログ ファイルが表示されます。このログは、ルールを有効にしたアプライアンスの [トラブル
シューティング] の最上位メニューからアクセスできます。
McAfee Web Gateway 7.5.0
製品ガイド
517
17
モニタリング
ログ
ログにアクセスするには、[ログ ファイル] 、 [ユーザー定義ログ] の順に移動します。
ログ ルール セットへのアクセス
アクセス ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セットで
す。
ネストされているデフォルト ルール セット — アクセス ログ
条件 — Always
ルール セットには、以下のルールが含まれます。
access.log の書き込み
Always –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ログ構成>
ルールはイベントを使用して、ユーザー名またはリクエスト ヘッダーなどのユーザーによって送信されたリクエス
トに関連したパラメーター値で、ログ ファイル エントリを満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
以下のパラメーターの値は、ルールのイベントによって設定およびロギングされます(値を設定するイベントによ
って使用されるプロパティはイタリックで表示されます)。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• 応答ステータス — String.ReplaceIfEquals (Number.ToString (Response.StatusCode), “”,
“-”)
• リクエスト ヘッダー — RequestHeader.FirstLine
• URL カテゴリ — List.OfCategory.ToString (URL.Categories)
• URL レピュテーション — String.ReplaceIfEquals (URL.ReputationString, “”, “-”)
(URL.Reputation<Default>)
• メディア タイプ — MediaType.ToString (MediaType.FromHeader)
• 本文サイズ — String.ReplaceIfEquals (Number.ToString (Body.Size), “”, “-”)
• ユーザー エージェント — Header.Request.Get(“User-Agent”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• ブロック アクション ID — Number.ToString (Block.ID)
ログ ルールは、Web へのアクセス リクエストが受信されたときに適用されます。
次に、ログ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
518
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
エラー処理
17
ウイルス検出ログ ルール セット
ウイルス検出ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セット
です。
ネストされているデフォルト ルール セット — ウイルス検出ログ
条件 — Always
ルール セットには、以下のルールが含まれます。
found viruses.log の書き込み
Antimalware.Infected equals true –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<ウイルス検出ログ>
ルールは、イベントを使用してログ ファイル エントリをウイルス名や IP アドレスなど、ウイルスまたはその他の
マルウェアに感染した Web オブジェクトに関連するパラメーター値で満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
以下のパラメーターの値は、ルールのイベントによって設定およびログされます(設定されているイベントによっ
て使用されるプロパティはイタリックで表示されます)。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• URL — URL
ログ ルールは、リクエストされた Web オブジェクトが感染していると判明した場合に、適用されます。次に、ロ
グ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
エラー処理
エラーおよびインシデントがアプライアンスで発生した場合、適切な対策が取れます。いくつかの対策は、ルールに
よってコントロールされています。
エラー ID を使用するエラー処理
アプライアンス上で発生するエラーは、エラー ID によって識別されます。これらは、エラー処理の特定方法をトリ
ガーするために、ルールによって使用される可能性があります。
ルールでエラー ID の使用を有効にするには、Error.ID プロパティを利用できます。ルールは、このプロパティが
特定値を持つ場合(たとえば、マルウェア対策モジュールの読み込みの失敗を示す 14000)、アクションまたはイベ
ントをトリガーします。
トリガーされるアクションまたはイベントは、Web オブジェクトへのアクセスのブロック、またはログ ファイルの
エントリの作成など、エラー処理の特定方法を使用します。
エラー処理方法をトリガーするためのエラー ID を使用するルールは、たとえば、以下のものがあります。
McAfee Web Gateway 7.5.0
製品ガイド
519
17
モニタリング
エラー処理
名前
マルウェア対策エンジンに負荷をかけられない場合にブロック
条件
アクション
Error.ID equals 14000
–>
ブロック<マルウェア対策エンジンに負荷をかけられない>
インシデント情報を使用するエラー処理
インシデントと呼ばれるアプライアンス上のアクティビティと状況のグループがあります。インシデント情報は、エ
ラー処理の特定方法をトリガーするために、ルールによって使用される可能性があります。
インシデントは、アプライアンス システムに加え、そのサブシステムとモジュールに関連する可能性があります。
例: ログ ファイル マネージャーがログ ファイルのプッシュに失敗した場合、インシデントとして記録されます。
インシデントは、通知メッセージの送信またはシステム ログでのエントリの作成など、特定のエラー処理方法をトリ
ガーするために、ルールによって使用される可能性があります。ルールのインシデントの使用を有効化するために、
ID、重大度、元の場所、およびその他を含む主要インシデント パラメーターがプロパティとして利用可能にされま
す。
例: Incident.ID プロパティがあります。ルールはこのプロパティを使用して、プロパティの値が特定の数の場合
に syslog エントリを作成するイベントをトリガーできます。
インシデントを利用するルール
エラー処理のデフォルト ルール セットには、ログ ファイル マネージャーに関連するインシデントが発生する場合に
通知メッセージおよびその他エラー処理イベントをトリガーするルールを提供する、ネストされているルール セット
が含まれます。このネストされているルール セットの名前はログ ファイル マネージャー インシデントです。その
他のネストされているルール セットは更新およびライセンスに関連するインシデントを処理します。
また、ルールおよびエラー処理のインシデントを使用する独自のルール セットも作成できます。
インシデント パラメーターおよびプロパティ
インシデントは、それらの ID およびその他パラメーターとともにアプライアンスに記録されます。各パラメーター
には、適切なルールに使用できるプロパティがあります。
•
インシデント ID — 各インシデントは番号によって識別されます。例: ID 501 を持つインシデントは、ログ フ
ァイル マネージャーがログ ファイルをプッシュできなかった場合のものです。Incident.ID プロパティは、イ
ンシデントの ID を確認するために、ルールで使用できます。
•
説明 — インシデントは平文で説明できます。関連するプロパティの名前は Incident.Description です。
•
元の場所 — 各インシデントは元の場所のアプライアンス コンポーネントに割り当てられます。元の場所は番号
によって指定されます。例: 元の場所の番号 5 はログ ファイル ハンドラーを指定します。関連するプロパティ
の名前は Incident.Origin です。
•
OriginName — インシデントの元はインシデントに関連するアプライアンス コンポーネントの名前によって
さらに指定されます。関連するプロパティの名前は Incident.OriginName です。
元の名前は、元の場所の数値に指定されたコンポーネントの一部であるサブコンポーネントを指定できます。例:
元の場所の数値 2(コア) は次の元の名前でさらに指定できます。
520
•
コア
•
プロキシ
•
URL フィルター
•
その他のコア サブコンポーネントの名前
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
エラー処理
•
17
重大度 — 各インシデントは重大度に従って分類されます。重大度レベルの範囲は 0 ~ 7 で、0 が最高レベルで
す。
これらのレベルは syslog ファイルのエントリで使用されているものと同じです。
関連するプロパティの名前は Incident.Severity です。
•
影響を受けるホスト — インシデントに関連する外部システムがある場合、例えば、アプライアンスが接続できな
いサーバーがある場合、このシステムの IP アドレスも記録されます。関連するプロパティの名前は
Incident.AffectedHost です。
エラー処理の構成
このプロセスがネットワークの要件に対応するように、エラー処理を構成することが可能です。
以下の高レベル手順を完了します。
タスク
1
エラー処理のデフォルト ルール セットのネストされているルール セットにあるルールを確認します。
このルール セットの名前は デフォルトです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
3
•
特定のエラーまたはインシデントが発生する際に、エラー処理の追加措置をとるルールの有効化。
•
追加のエラーとインシデントを処理する新しいルールとルール セットの作成。
変更を保存します。
エラー処理ルール セットの表示
Web フィルタリング ルールに対する通常のルール セット ツリーに加えて、ユーザー インターフェースに提供され
るルール セット ツリーでエラー処理用に実装されるルール セットを表示することができます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーの下で、[エラー ハンドラー]を選択します。
3
[デフォルト]トップレベル ルール セットを展開します。
エラー処理用のネストされたルール セットが表示されます。
4
ネストされたルール セットを選択します。
ネストされたルール セットのルールが設定ペインに表示されます。
関連トピック:
524 ページの「デフォルト エラー ハンドラー ルール セット」
McAfee Web Gateway 7.5.0
製品ガイド
521
17
モニタリング
エラー処理
ベスト プラクティス - エラー ハンドラーの使い方
エラー ハンドラー ルール セットのルールを使用すると、Web Gateway の Web トラフィック処理でエラーが発生
した場合の操作を制御できます。
エラーに対処する方法は主に 2 つあります。
•
フェールクローズ - エラーが発生した場合に、ユーザーが Web に送信し、Web Gateway で処理中の要求を停
止します。 ユーザーにブロック メッセージが表示されます。
Web Gateway のエラー処理では、この方法がデフォルトです。
•
フェールオープン - エラーが発生した場合に、ユーザーが Web に送信し、Web Gateway で処理中の要求を続
行します。
さらに、ロギング アクティビティと通知が実行される場合があります。
この方法は、組織の Web セキュリティ ポリシーで広く利用されています。
以下では、ネットワークでフェールオープンを採用するメリットについて説明します。
•
ビジネスの中断を防ぐことができます。Web アクセスの中断は多くの業務で重要な問題となります。
•
Web Gateway の管理者が問題を認識し、修正できるようにします。これにより、ヘルプデスクへの問い合わせ
を減らすことができます。 ユーザーへの警告も不要になります。
フェールオープンでは、内部アラートを送信してアクションを実行し、ネットワーク内で障害のあるコンポーネント
を修復することができます。
エラー ハンドラーを使用すると、次のようにエラー対応のルールを柔軟に設定することができます。
•
すべてのエラーに対して弁密なフェールクローズを行う
•
フェールオープンでユーザーに対する影響を回避する
•
フェールクローズまたはフェールオープンで Web Gateway 管理者に通知を行う
•
特定のユーザーとクライアントからの要求を除外する
たとえば、経営陣にフェールオープンを設定し、他のユーザーにフェールクローズを設定できます。
エラー処理のデフォルトのルール セットには、すべてのエラーでのブロック ルール セットが含まれています。 この
ネストされたルール セットは、デフォルト ルール セットの最後にあります。 ネストされた他のルール セットで処
理されなかった場合、エラー状況の要求がブロックされます。
フェールオープン ルールを設定する場合には、このルール セットを無効にするか、このセットの前にフェールオー
プン ルールのルールセットを配置してください。
関連トピック:
522 ページの「全般的なフェール オープン方針を設定する」
523 ページの「通知付きのフェールオープン方針を設定する」
524 ページの「ユーザー グループにフェールオープン方針を設定する」
全般的なフェール オープン方針を設定する
エラーが発生した後も処理を継続できるように、全般的なフェール オープン方針を設定します。
タスク
522
1
[ポリシー] 、 [ルール セット] の順に選択します。
2
[エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
エラー処理
3
4
17
ネストされたルール セット内のすべてのルール:
a
ルールを選択して、[編集] をクリックします。
b
[ルールの編集] ウィンドウで、[アクション] を選択し、ルール アクションで [続行] を選択します。
c
[完了] をクリックします。
[変更の保存] をクリックします。
エラーが発生した場合でも、ユーザーから Web に送信される要求の処理が Web Gateway で続行します。
通知付きのフェールオープン方針を設定する
特定のエラーが発生したときに管理者または他の受信者に通知するように、フェールオープン方針を設定します。
特定のエラーを処理するルールに通知対象のイベントを追加します。
タスク
1
既存のルールを選択します。
a
[ポリシー] 、 [ルール セット] の順に選択します。
b
[エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。
c
ネストされたルール セットを選択します (たとえば、[マルウェア対策エンジン エラーでブロック])。 ルール
の 1 つを選択します (例: [マルウェア対策エンジンに負荷がかかりすぎている場合のブロック])。このルー
ルの [編集] をクリックします。
2
[ルールの編集] ウィンドウで、[アクション] を選択し、ルール アクションで [ブロック] ではなく [ルール セッ
トの停止] を選択します。
3
通知対象のイベントを設定します。
a
[イベント] を選択して [追加] をクリックします。
b
[イベント] を選択して [Email.Send] を選択し、[パラメーター] をクリックします。
c
3 つの文字列パラメーターの値を入力します。例:
•
[受信者] (メール アドレス): [email protected]
複数の受信者を設定するには、メール アドレスをセミコロンで区切って追加します。
d
4
•
[件名] (メッセージ名): マルウェア対策の過負荷状態
•
[本文] (メッセージ テキスト): マルウェア対策エンジンの負荷が過剰になっています。
mwg-antimalware-errors-log で詳細を確認してください。
[OK] を 2 回クリックして、[完了] をクリックします。
[変更の保存] をクリックします。
このルールで処理するエラーが発生すると、設定した受信者に通知が送信されます。 受信者ごとに異なるメッセー
ジ テキストを設定して複数の通知イベントを設定することもできます。
すべてのエラーでのブロック ルール セットを無効にするか、この前にフェールオープンのルール セット
を配置します。
McAfee Web Gateway 7.5.0
製品ガイド
523
17
モニタリング
エラー処理
ユーザー グループにフェールオープン方針を設定する
特定のグループに所属するユーザーの要求でエラーが発生した場合にのみ通知を送信するように、フェールオープン
方針を設定します。
タスク
1
2
通知付きのフェールオープン方針を設定するルールを検索します。
a
[ポリシー] 、 [ルール セット] の順に選択します。
b
[エラー ハンドラー] を選択して、エラー処理の [デフォルト] ルール セットを展開します。
c
[マルウェア対策エンジン エラーでブロック] ネストされたルール セットを選択して [マルウェア対策エンジ
ンに負荷がかかりすぎている場合のブロック] ルールを選択し、このルールの [編集] をクリックします。
ルール条件の追加部分を設定します。
a
[ルールの編集] ウィンドウで [ルールの条件] を選択し、ルールの条件を選択して [追加] をクリックします。
b
[ユーザー/グループの条件] を選択して、次の項目を選択します。
c
d
3
•
[Authentication.UserGroups] プロパティ
•
[リスト内の 1 つ以上の]演算子
右側の列の最後にある [文字列リストの追加] をクリックして、ユーザー グループのリストを追加し、[リス
トの追加] ウィンドウで次の操作を行います。
•
リストに マルウェア対策の過負荷を回避するグループ という名前を付けて [OK] をクリックします。
•
[リスト コンテンツ] で [リストの編集] をクリックして、リストに次の文字列を追加します (引用符は除
く)。 Executives と入力して、[OK] を 2 回クリックします。
[ルールの編集] ウィンドウで、この追加条件のブール演算子として [AND] を選択し、[完了] をクリックし
ます。
[変更の保存] をクリックします。
このルールで処理するエラーが発生すると、設定した受信者に通知が送信され、処理が続行します。 設定したグルー
プのユーザーが送信した要求の処理でエラーが発生した場合にのみ通知が送信されます。
すべてのエラーでのブロック ルール セットを無効にするか、この前にフェールオープンのルール セット
を配置します。
デフォルト エラー ハンドラー ルール セット
デフォルト エラー ハンドラー ルール セットは、エラー処理のデフォルト ルール セットです。
デフォルト エラー ハンドラー ルール セット - デフォルト
条件 — Always
524
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
エラー処理
17
以下のルール セットは、このルール セット内にネストされています。
•
•
長期接続
モニタリング
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
•
ログ ファイル マネージャーのインシデント
•
更新インシデントの処理
•
ライセンス インシデントの処理
•
マルウェア対策エンジンのエラー時にブロック
•
URL フィルター エラー時にブロック
•
すべてのエラー時にブロック
長期接続
ネストされているエラー処理ルール セットは、プロキシ モジュールのエラー発生時に接続を有効状態に維持します。
ネストされているエラー ハンドラー ルール セット — 長期接続
条件 – Error.ID equals 20000
このルール セットの条件は、Error.ID プロパティの値がプロキシ モジュールの異常を示す 20000 になった場合、
ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
接続を常に有効状態に維持
Always –> Stop Cycle
ルールが実行されると、現在処理中のサイクルを停止します。ルールはルール セットの条件が一致した場合、必ず
実行されます。処理中のサイクルを停止することは、接続がさらなるルール処理を行う間に閉じることを防ぎます。
このルールは、デフォルトでは有効になっていません。
モニタリング
このネストされているエラー ハンドラー ルール セットは、アプライアンス システムに関連するインシデントが発生
したときに取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — モニタリング
条件 — Incident.ID equals 5
このルール セットの条件は、Incident.ID プロパティの値がアプライアンス システムに関連するインシデントを示
す 5 の場合、ルール セットを適用することを指定します。
以下のルール セットは、このルール セット内にネストされています。
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
McAfee Web Gateway 7.5.0
製品ガイド
525
17
モニタリング
エラー処理
CPU の負荷を確認
このネストされているエラー ハンドラー ルール セットは CPU の負荷が構成された値を超えたときに取られる対策
を処理します。
ネストされているエラー ハンドラー ルール セット — CPU の負荷を確認
条件 — Statistics.Counter.GetCurrent(“CPULoad”) <デフォルト> greater than or equals 95
このルール セットの条件は、CPU の負荷の Statistics.Counter. GetCurrent プロパティ値が 95 以上の場合、ルー
ル セットを適用することを指定します。この値は CPU が現在実行中の最大負荷のパーセンテージを示しています。
値を提供する統計モジュールは、CPU の負荷プロパティのパラメーターの後に指定されているように、デフォルトの
設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.loadMessage =
“CPU load at “
+ Number.ToString (Statistics.Counter.GetCurrent(“CPULoad”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティを CPU 負荷のメッセージ テキストを構成する値のチェ
ーンに設定します。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して CPU の負荷を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
キャッシュ パーティションを確認
このネストされているエラー ハンドラー ルール セットは、Web キャッシュの使用率が構成された値を超えたとき
に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — キャッシュのパーティションを確認
条件 – Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト> greater than or
equals 95
このルール セットの条件は、Web キャッシュの使用率の Statistics.Counter. GetCurrent プロパティ値が 95 以
上の場合に、ルール セットを適用することを指定します。この値は、現在使用されている Web キャッシュの最大許
容使用率のパーセンテージを示します。
値を提供する統計モジュールは、WebCacheDiskUsage プロパティのパラメーターの後に指定されているように、
デフォルトの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
526
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
エラー処理
17
通知メッセージの作成
Always –> Continue – Set User-Defined.cacheMessage =
“Cache partition usage at “
+Number.ToString (Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されてます。もう一方は Web キャッシュの使
用率に関するメッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して Web キャッシュの使用率を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
リクエストの過負荷を確認
このネストされているエラー ハンドラー ルール セットは、1 秒あたりのアプライアンスで処理されるリクエスト数
が構成された値を超えた場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — リクエストの過負荷を確認
条件 — Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト> greater than or equals
480000
このルール セットの条件は、リクエストの Statistics.Counter. GetCurrent プロパティ値が 480,000 以上の場
合、ルール セットを適用することを指定します。この値は 1 秒あたりに現在処理されているリクエスト数です。
値を提供する統計モジュールは、HttpRequests プロパティのパラメーターの後に指定されているように、デフォル
トの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.requestsPerSecond =
Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト>)
/ 60
Set User-Defined.requestLoadMessage =
“detected high load: ”
+ Number.ToString (User-Defined.requestsPerSecond)
+ “requests per second”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されています。もう一方はこの番号に関するメ
ッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
McAfee Web Gateway 7.5.0
製品ガイド
527
17
モニタリング
エラー処理
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットの SNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して、リクエストの過負荷を管理者に知られます。
これらのルールはデフォルトでは有効ではありません。
ログ ファイル マネージャーのインシデント
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ログ ファイル マネージャー インシデント
条件 – Incident.ID greater than or equals 501 AND Incident ID less than or equals 600
このルール セットの条件は、Incident.ID プロパティの値がログ ファイル マネージャーに関連するインシデントの
範囲内の場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Incident.ID equals 501 –> Continue – Set User-Defined.notificationMessage =
“License expires in ”
+ Number.ToString (License.RemainingDays)
+ “ days”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティをライセンスの残り日数のメッセージ テキストを構成す
る値のチェーンに設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルール セットのその他のルールは、通知メッセージの作成ルールと同じ方法
で Incident.ID の値のプロパティを確認し、この値が 501 の場合さまざまなイベントを使用して対策を取ります。
これらのルールはデフォルトでは有効ではありません。
更新インシデントの処理
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — 更新インシデントの処理
条件 – IIncident.OriginName equals “Updater” OR Incident.ID equals 850 OR Incident.ID
equals 851 OR Incident.ID equals 940 OR Incident.ID equals 941 OR Incident.ID equals
1050 OR Incident.ID equals 1051 OR Incident.ID equals 1650 OR Incident.ID equals 1651
このルール セットの条件は、更新モジュールが Incident.OriginName プロパティの値によって指定された場合、ま
たは Incident.ID プロパティの値が更新モジュールに関連しているものである場合、ルール セットを適用すること
を指定します。
このルール セットは、以下のルールを含みます。
528
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
エラー処理
17
更新インシデント メッセージの作成
Always –> Continue – Set User-Defined.eventMessage =
“Update Event triggered [“
+ Number.ToString (Incident.ID)
+ “]:”
+ Incident.Description
+ “; origin:”
+ Incident.OriginNamey
+ “; severity:”
+ Number.ToString (Incident.Severity)
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティを更新インシデントのメッセージ テキストを構成する値
のチェーンに設定します。メッセージはいくつかのインシデント プロパティの値を含みます。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
ライセンス インシデントの処理
このネストされているエラー ハンドラー ルール セットは、アプライアンスのライセンスの期限日に関連するインシ
デントが発生した場合に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ライセンス インシデントの処理
条件 — Incident.ID equals 200
このルール セットの条件は、Incident.ID プロパティの値がライセンスの残り日数のインシデントを示す 200 の場
合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
ライセンス インシデント メッセージの作成
Always –> Continue – Set User-Defined.notificationMessage =
「ログ ファイルをプッシュできません。mwg-logfilemanager エラー ログをご覧ください (/opt/mwg/log/
mwg-errors/mwg-logmanager.errors.log)。」
ルールは Incident.ID プロパティの値がログ ファイル マネージャーがログ ファイルをプッシュできないことを
示す 501 かどうかを確認します。
このケースの場合、ルールはイベントを使用して、通知メッセージのテキストである文字列の値にこのメッセージ
を送信するために、ユーザー定義のプロパティを設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
McAfee Web Gateway 7.5.0
製品ガイド
529
17
モニタリング
エラー処理
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
マルウェア対策エラー時にブロック
このネストされているエラー ハンドラー ルールは、マルウェア対策モジュールに負荷をかけられないまたは負荷か
かりすぎているとき、すべての Web オブジェクトへのアクセスのブロックを設定します。
ネストされているエラー ハンドラー ルール セット — マルウェア対策エラー時にブロック
条件 — Always
このルール セットは、以下のルールを含みます。
マルウェア対策エンジンに負荷をかけられない場合にブロック
Error.ID equals 14000 –> Block<マルウェア対策に負荷をかけられない>
ルールは負荷からマルウェア対策モジュール(エンジンとも呼ばれる)を防ぐエラーの Error.ID プロパティの値
が 14000 の場合、すべての Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
マルウェア対策エンジンに負荷がかかりすぎている場合にブロック
Error.ID equals 14001 –> Block<マルウェア対策エンジン過負荷状態>
ルールは、プロパティの値がマルウェア対策モジュール(エンジンとも呼ばれる)へのすべての接続が現在使用さ
れており、Error.ID プロパティの値がモジュールに負荷がかかりすぎていることを示す 14001 のとき、すべての
Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
URL フィルター エラー時にブロック
このネストされているエラー ハンドラー ルール セットは、URL フィルター モジュールに負荷をかけられないまた
はこのモジュールに関連したエラーが発生するとき、すべての Web オブジェクトへのアクセスのブロックを設定し
ます。
ネストされているエラー ハンドラー ルール セット — URL フィルター エラー時にブロック
条件 – Error.ID greater than or equals 15000 AND Error.ID less than or equals 15999
ルール セットの条件は、URL フィルタリング関連のエラーの範囲である、指定の範囲内に Error.ID プロパティの値
がある場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
URL フィルター エンジンに負荷をかけられない場合にブロック
Error.ID equals 15000 OR Error.ID equals 15002 OR Error.ID equals 15004 OR Error.ID
equals15005 –> Block<URL フィルターに負荷をかけられない>
ルールは Error.ID プロパティの値がルールの条件で指定されたうちの 1 つになった場合、すべての Web アクセ
スのリクエストをブロックします。これらの値は URL フィルター モジュール(エンジンとも呼ばれる)の読み込
みを防ぐエラーを示します。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
その他すべての内部 URL フィルター エラーをブロック
Always –> Block<内部 URL フィルター エラー>
530
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
パフォーマンス測定
17
ルールは、ルール セットが適用されルールに先行してルール セットが実行されていないとき常に実行されます。ル
ールは Web アクセスのすべてのリクエストをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
すべてのエラー時にブロック
このネストされているエラー ハンドラー ルール セットは、アプライアンスで内部エラーが発生した場合、すべて
の Web オブジェクトへのアクセスをブロックします。
ネストされているエラー ハンドラー ルール セット — すべてのエラー時にブロック
条件 — Always
ルール セットには、以下のルールが含まれます。
常にブロック
Always –> Block<内部エラー>
ルールは内部エラーが発生した場合、すべての Web オブジェクトへのアクセスをブロックします。
アクション設定はアクセスをリクエストしたユーザーへのメッセージを指定します。
このルール セットでのルールはアプライアンスの内部エラーを処理するためのものです。内部エラーが発生した
ときに実行されます。これは当然、予測不可能で、フィルタリング プロセス中のいかなるときに発生したり、全く
発生しない可能性があります。これらのセンスでは、ルールの処理は通常のプロセス フローの一部ではありませ
ん。
ブロックを実行した後、ルールは内部エラー発生時にフィルタリングされていたリクエスト、応答、または埋め込
みオブジェクトのルールのさらなる全処理を停止します。
こうした場合、アプライアンスが完全に利用可能でない間、不正または不適切な Web オブジェクトがネットワー
クを出入りしないことが保証されます。
プロセス フローは、内部エラーがアプライアンス機能の一般的な妨害を引き起こさなかった場合、次のリクエスト
を受信するまで続きます。
パフォーマンス測定
複数のアプライアンス機能に対する処理時間がパフォーマンス情報として測定され、ダッシュボードに表示されます。
この情報はログ ファイル内に記録することができます。また、個々のルール セットに対して処理時間を測定して記
録することもできます。
アプライアンスでパフォーマンスを測定します。たとえば、DNS サーバーで名前を検索し、ホスト名が解決される
までの平均時間を測定します。これらのパフォーマンス情報はダッシュボードに表示されます。また、個々のルール
セットの処理に要する時間も測定できます。
ダッシュボードに表示されるものと、自分で測定したものを含め、パフォーマンス情報はすべてログすることが可能
です。
パフォーマンス情報を測定してログする際には、以下の要素が関連します。
•
パフォーマンス情報をログするためのプロパティ
•
パフォーマンス情報をログするためのプロパティを使用するログ ルール
•
個々のルール セットに対する処理時間を測定するイベント
•
処理時間が測定されるようにするためのイベントが挿入されているルールを含むルール セット
McAfee Web Gateway 7.5.0
製品ガイド
531
17
モニタリング
パフォーマンス測定
ログ プロパティ
ダッシュボードに表示されるパフォーマンス情報に対応するプロパティは複数あり、これらはログ ルール内で使用で
きます。
たとえば、プロパティ Timer.ResolveHostNameViaDNS は、DNS サーバーで名前を検索することによってホ
スト名を解決するのにかかる平均時間に関するダッシュボード情報に対応します。
個々のルール セットの処理に対して測定された時間をログするために利用可能なプロパティは、2 つあります。
Stopwatch.GetMilliSeconds プロパティはミリ秒単位で、Stopwatch.GetMicroSeconds はマイクロ秒単
位で、それぞれこの時間を記録します。
ログ ルール
アプライアンスにおけるデフォルトのログ ルールは、ログ行を作成するために 1 つのイベントを使用し、これらの
行をログ ファイルに書き込むためにもう 1 つのイベントを使用します。
パフォーマンス情報をログするためのプロパティをログ行の要素に追加すると、その要素だけでなく、ログ行のその
他の要素もログ ファイル内に書き込まれます。
パフォーマンス情報をログするためのデフォルトのルールを使用したり、自分でルールを作成したりすることができ
ます。
処理時間を測定するためのイベント
個々のルール セットの処理にかかった時間を測定するために利用可能なイベントは、2 つあります。
Stopwatch.Start イベントは、この時間を測定する内部ストップウォッチを開始します。また、
Stopwatch.Stop イベントは、経過時間を記録できるようにウォッチを停止します。
測定対象ルール セット
特定のルール セットの処理にかかる時間を測定するには、内部ストップウォッチを開始するためのイベント (つま
り、開始イベント) を含むルールをルール セットの先頭に、停止イベントを含むもう 1 つのルールをルール セット
の末尾にそれぞれ作成する必要があります。
ルール セットの処理を停止するアクションが含まれる場合は、このルール セットの既存のルールにも停止イベント
を挿入する必要があります。それ以外の場合は、ウォッチが停止されることはありません。これは、ルール セットの
末尾に停止イベントがあるルールはスキップされるためです。
パフォーマンス情報の表示
複数のアプライアンス機能に関するパフォーマンス情報をダッシュボードで表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[パフォーマンス情報]を選択します。
パフォーマンス情報がタブに表示されます。
関連トピック:
496 ページの「グラフと表の情報の概要」
パフォーマンス測定の構成
アプライアンスの機能のパフォーマンスを測定およびロギングするために、パフォーマンス測定を構成できます。
以下の高レベル手順を完了します。
532
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
パフォーマンス測定
17
タスク
1
ダッシュボードに示されているパフォーマンス情報を表示し、どのような種類の情報をログ ファイルに記録する
かを決定します。
例: DNS サーバーでのホスト名の参照に消費する平均時間を記録できます。この情報は、ダッシュボードの
DNS 参照機能によって示されます。
2
パフォーマンス情報をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいロ
グ ルールに使用します。
例: Timer.ResolveHostNameviaDNS プロパティをデフォルトのアクセス ログルール セットの
access.log への書き込みでログ行を作成するイベントに挿入します。
3
特定のルール セットを処理するのにかかる時間を測定します。
a
b
ルール セットの最初に、内部ストップウォッチを開始するイベントを含むルールを挿入します。
ウォッチを停止して、消費した時間を測定します。
•
ルール セットの終わりに、これらのアクティビティを実行するイベントを含むルールを挿入します。
•
ルールセットのすべてのルールが処理される前に、そのルール セットを停止する能力のある既存ルールそ
れぞれに、これらのアクティビティを実行するイベントを挿入します。
例: URL フィルタリング ルール セットによって消費される処理時間を測定するには、以下の手順に従います。
4
•
ルール セットの最初に Stopwatch.Start (URL フィルタリング) イベントを含むルールを挿入します。
•
終わりに Stopwatch.Stop (URL フィルタリング) イベントを含むルールを挿入します。
•
Stopwatch.Stop (URL フィルタリング) イベントはさらなるルールの処理を停止できるため、そのイベン
トをルール セットのホワイトリストおよびブロック ルールに挿入します。
処理時間の測定をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいログ ル
ールに使用します。
例: Stopwatch.GetMilliSeconds (URL フィルタリング) プロパティをデフォルトのアクセス ログルール
セットの access.log への書き込みでログ行を作成するイベントに挿入します。
パフォーマンス情報をログするためのプロパティのルール内での使用
パフォーマンス情報がログされるようにするために、パフォーマンス ログ プロパティをログ ルールに挿入すること
ができます。
ダッシュボードに表示されるパフォーマンス情報のタイプごとに、1 つのログ プロパティが利用可能です。
ダッシュボードには、たとえば、DNS サーバーで名前を検索することによってホスト名を解決するのにかかる平均
時間が表示されます。この情報に対応するプロパティは、Timer.ResolveHostNameViaDNS です。プロパティ
の値は、アプライアンスで処理された要求内でホスト名を検索するのにかかった時間です。時間は、ミリ秒単位で測
定されます。
その他のパフォーマンス ログ プロパティには、外部サーバーへの接続に必要な時間を測定するための
Timer.HandleConnect ToServer や、アプライアンスで要求が受信された場合にルール エンジンによる処理に
必要な時間を測定するための Timer.TimeConsumedByRule Engine があります。
ダッシュボードのパフォーマンス情報をログできるようにするすべてのプロパティには、名前の先頭に Timer とい
う要素が含まれています。
McAfee Web Gateway 7.5.0
製品ガイド
533
17
モニタリング
パフォーマンス測定
トランザクションに対する処理時間の測定
ダッシュボードに表示されるパフォーマンス情報をログするためにプロパティによって測定されて利用可能になる時
間とは、個々の要求に対する処理が関連処理サイクル全体で続行される限り特定のアクティビティ(外部サーバーへ
の接続など)に必要な時間です。
1 つの個々の要求を関連サイクル全体で処理することは、1 つのトランザクションと見なされます。
1 つのトランザクションに 3 つのサイクルすべて(要求、応答、および埋め込みオブジェクト)を含める必要はあり
ません。
たとえば、ブロック対象カテゴリに分類される Web ページに対してユーザーが要求を送信した場合、このユーザー
にはブロック メッセージが返され、対象の Web サーバーに要求は転送されず、処理は応答サイクルに入りません。
また、トランザクションには要求サイクルのみが含まれ、この場合には応答サイクルは関係ありません。
パフォーマンス情報をログするためのルール
アクセス ログは、要求に対してトランザクションが完了するとログ エントリが書き込まれるログ ファイルととも
に、デフォルトによってアプライアンスに存在します。このログは、パフォーマンス情報を記録するために適切なデ
バイスです。
アクセス ログのログ ファイルへのログ エントリの書き込みは、ログ ルールによって実行されます。このルールは、
ログ ファイル エントリを作成するために 1 つのイベントを使用し、このエントリをログ ファイルに書き込むために
もう 1 つのイベントを使用します。
名前
access.log の書き込み
条件
アクション
常に適用する –> 続行
イベント
– Set User-Defined.logLine = DateTime.ToWebReporterString
+ “””
+ ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ロ
グ構成>
ログ エントリは複数の要素で構成され、各要素によって特定の情報(要求がアプライアンスで受信された日付と時刻
など)が追加されます。パフォーマンス情報を提供する要素をエントリに追加することによって、この情報がログさ
れるようにすることができます。
パフォーマンス情報(DNS 参照に必要な処理時間など)をログするには、以下の 2 つの要素を追加する必要があり
ます。
•
+ Number.ToString (Timer.ResolveHostNameViaDNS)
•
+ “””
ログ エントリは文字列であるため、処理時間に対する数値は、文字列形式に変換された後でのみログ可能になりま
す。
これは、Timer.ResolveHostNameViaDNS プロパティをパラメーターとして必要とする Number.ToString
プロパティによって行われます。
534
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
パフォーマンス測定
17
ルール セット処理時間を測定するためのイベントのルール内での使用
個々のルール セットの処理にかかった時間は、測定イベントを含むルールをルール セットに挿入することにより測
定できます。
処理時間を測定する理由は、ルール セットに変更を適用した後でパフォーマンスが向上したかどうかを把握するため
です。
ルール セット処理時間を測定するためのイベントは、アプライアンスの内部ストップウォッチを制御します。利用可
能なイベントは、以下のとおりです。
•
[Stopwatch.Start] — 内部ストップウォッチを開始します
•
[Stopwatch.Stop] — 内部ストップウォッチを停止します
•
[Stopwatch.Reset] — 内部ストップウォッチをリセットします
これらの各イベントには、それぞれが測定するルール セットを指定するために文字列パラメーターが必要となりま
す。たとえば、URL フィルタリング ルール セットの処理時間を測定する内部ウォッチを開始するイベントは、ルー
ル内で Stopwatch.Start ("URLFiltering") のように表されます。
処理時間を測定するためのルール
URL フィルタリング ルール セットに対して処理時間の測定を開始するために、たとえば Stopwatch.Start イベ
ントを使用するルールは、次のようになります。
名前
ルール セットに対してストップウォッチを開始する
条件
常に適用する
アクション
–>
続行
イベント
–
Stopwatch.Start ("URLFiltering")
ルール セットの処理にかかる時間を測定するには、開始イベントを含むルールをルール セットの先頭に、停止イベ
ントを含むもう 1 つのルールをルール セットの末尾にそれぞれ置く必要があります。
ただし、Stop Rule Set、Stop Cycle、または Block というアクションを実行できるルールがルール セット内に含
まれている場合は、これらの各ルールに停止イベントを挿入する必要もあります。
内部ウォッチを停止するためのイベントが挿入されている URL フィルタリング ルールは、次のようになります。
名前
URL ホワイトリスト内の URL を許可する
条件
URL が URL ホワイトリストに一致する
アクション
–> 続行
イベント
– Stopwatch.Stop ("URLFiltering")
このルールを適用すると、URL フィルタリング ルール セットの処理が停止します。これは、許可された URL のリ
ストにユーザーがアクセスを要求した URL が含まれていることが検出されるからです。そのため、このルールには
停止イベントを挿入する必要があります。
ルール セットの末尾に停止イベントを含むルールは処理されないため、これは必要です。その理由は、このルールに
達する前に、ホワイトリスト ルールによってルール セットの処理が停止されるからです。
McAfee Web Gateway 7.5.0
製品ガイド
535
17
モニタリング
SNMP でのイベント モニタリング
測定された処理時間のログ
ルール セットの処理に対して測定された時間をログすることができます。この目的のために利用可能なプロパティ
は 2 つあり、これらはログ ルール内で使用できます。
•
[Stopwatch.GetMilliSeconds] — ルール セット処理に対してミリ秒単位で測定された時間
•
[Stopwatch.GetMicroSeconds] — ルール セット処理に対してマイクロ秒単位で測定された時間
これらのプロパティには両方とも、処理時間が測定されたルール セットを示す文字列パラメーターが含まれます。
たとえば、URL フィルタリング ルール セットの処理時間をミリ秒単位でログするためのプロパティは、ログ ルール
内で Stopwatch.GetMilliSeconds ("URLFiltering") のように表されます。
SNMP でのイベント モニタリング
アプライアンス システムで発生するイベントは、SNMP を使用して監視できます。
SNMP(Simple Network Management Protocol)でモニタリングが実行される場合、ホスト システムで実行され
る SNMP エージェントは、このシステムで発生するイベントに関するメッセージをそのクライアントである他のホ
スト システムに送信します。
メッセージは SNMP ではトラップと呼ばれていて、SNMP エージェントが実行されるホスト システムは、管理ステ
ーションと呼ばれています。エージェントからメッセージを受け取るホスト システムも管理ステーションと呼ばれ
ていて、その上に、トラップ シンクとも呼ばれます。
特定のユーザーまたはユーザー コミュニティに、トラップで送信された情報を表示する権限が与えられます。システ
ム情報は、情報の表示にツリー構造を使用する Management Information Base(MIB)でも提供されます。
SNMP 設定の構成
アプライアンス上のシステム イベントの監視を有効化するために、SNMP 設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、SNMP 監視をオンにするアプライアンスを選択して、[SNMP]をクリックします。
3
必要に応じて、SNMP 設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
536 ページの「SNMP 設定」
SNMP 設定
SNMP 設定とは、SNMP でシステム イベントのモニタリングを構成するための設定です。
SNMP ポート設定
クライアント要求をリッスンするアプライアンスの SNMP エージェントのポートに対する設定
表 17-30 SNMP ポート設定
536
オプション
定義
[リスナー アドレス リスト]
クライアント要求を待機するポートを入力するためのリストを提供します。
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
SNMP でのイベント モニタリング
17
次の表では、リスナー アドレス リストのエントリを説明しています。
表 17-31 リスナー アドレス - リスト エントリ
オプション
定義
[プロトコル]
ポートとこのポートが待機するクライアントとの間の通信に使用されるプロトコルを指定し
ます。
• [UDP] — 選択すると、この通信に対して UDP が使用されます。
• [TCP] — 選択すると、この通信に対して TCP が使用されます。
[リスナー アドレス] リスナー ポートの IP アドレスとポート番号を指定します。
[コメント]
リスナー ポートに関するテキスト形式のコメントを提供します。
アプライアンスで次の 2 つのリスナー ポートが使用できます。これらの値は、このリストにデフォルトで入力され
ています。
•
UDP - 0.0.0.0:161
•
UDP - 0.0.0.0:9161
SNMP システム情報
システムをモニタリングするアプライアンスの設定
表 17-32 SNMP システム情報
オプション
定義
[説明]
モニタリング対象システムの情報が表示されます。
[オブジェクト ID] 管理情報ベース (MIB) で、モニタリング対象システムの情報が始まるオブジェクトの ID が表
示されます。
例: .1.3.6.1.4.1.1230.2.7.1.1
[担当者 ]
モニタリング対象システムの SNMP 機能を管理する担当者の名前が表示されます。
[物理的な位置]
モニタリング対象システムの位置が表示されます。
SNMP プロトコル オプション
SNMP プロトコル バージョンと SNMP 情報へのユーザー アクセスに対する設定
表 17-33 SNMP プロトコル オプション
オプション
定義
[SNMP v1]
選択すると、SNMP のバージョン 1 でシステム イベントがモニタリングされます。
[SNMP v2c]
選択すると、SNMP のバージョン 2c でシステム イベントがモニタリングされます。
[SNMPv1 および
SNMPv2c アクセスの通
信]
SNMP のバージョン 1 と 2c で SNMP 情報へのアクセスが許可されたユーザー通信
を入力するためのリストを提供します。
[SNMP v3c]
選択すると、SNMP のバージョン 3 でシステム イベントがモニタリングされます。
[SNMP v3 ユーザー]
SNMP のバージョン 3 と 2c で SNMP 情報へのアクセスが許可されたユーザーを入
力するためのリストを提供します。
次の表では、ユーザー コミュニティのリストと SNMP v3 ユーザーのリストのエントリを説明しています。
McAfee Web Gateway 7.5.0
製品ガイド
537
17
モニタリング
SNMP でのイベント モニタリング
表 17-34 ユーザー コミュニティ - リスト エントリ
オプション
定義
[通信文字列]
SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字列
(例: public) を提供します。
[許可されたルート
OID]
アクセスが許可された情報の開始である MIB ツリーの項目を定義します。
[許可]
SNMP 情報へのアクセスが許可されたホスト システムのホスト名または IP アドレスを
指定します。
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザー通信に関するテキスト形式のコメントを提供します。
表 17-35 SNMP v3 ユーザー - リスト エントリ
オプション
定義
[ユーザー名]
SNMP 情報へのアクセスが許可されたユーザーの名前を指定します。
[許可されたルート OID] アクセスが許可された情報の開始である MIB ツリーの項目を定義します。
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
[認証]
ユーザーが SNMP 情報にアクセスするときに使用される認証情報が表示されます。
[暗号化]
SNMP 情報にユーザーがアクセスするときに使用される暗号化方法を設定します。
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザーの平文テキストのコメントを提供します。
SNMP トラップ シンク
SNMP メッセージを受信するホスト システムに対する設定
表 17-36 SNMP トラップ シンク
オプション
定義
[トラップ シンク] アプライアンスの SNMP エージェントからシステム イベントに関するメッセージを受信する
ホスト システム (トラップ シンクとも呼ばれる) のリストを提供します。
次の表では、トラップ シンクのリストのエントリを説明しています。
表 17-37 トラップ シンク - リスト エントリ
538
オプション
定義
[ホスト名または IP アドレ
ス]
SNMP メッセージ (トラップとも呼ばれる) を受信するホスト システムのホスト名
または IP アドレスを指定します。
[ポート]
SNMP メッセージを待機するホスト システムのポートを指定します。
[通信文字列]
SNMP 情報にアクセスできるようにユーザー通信を認証するために使用される文字
列 (例: public) を指定します。
[SNMP v2c トラップを送
信]
選択すると、メッセージは SNMP プロトコルのバージョン v2c で送信することが可
能になります。
[コメント]
SNMP メッセージを受信するホスト システムに関するテキスト形式のコメントを提
供します。
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
McAfee ePO を監視するためのデータの転送
17
SNMP MIB ファイル
アプライアンスの SNMP モニタリングに関する追加情報を提供する txt 形式のファイル
表 17-38 SNMP MIB ファイル
オプション
定義
[MCAFEE-SMI.txt]
McAfee カスタマー サービスの問い合わせ先など、McAfee の管理情報構造 (SMI) が
記録されています。
[MCAFEE-MWG-MIB.txt] アプライアンスでの SNMP モニタリングを可能にする管理情報ベース (MIB) の項目
に関する説明が記述されています。
McAfee ePO を監視するためのデータの転送
®
™
アプライアンスから McAfee ePolicy Orchestrator (McAfee ePO )コンソールへデータを転送すると、このコン
ソールから該当のアプライアンスを監視することができます。
McAfee ePolicy Orchestrator コンソールは、McAfee Web Gateway アプライアンスを含め、さまざまな McAfee
製品でセキュリティ管理を実行するためのデバイスです。
McAfee ePO コンソールとアプライアンスを適宜構成した場合は、コンソールからアプライアンスにログオンし、ア
プライアンスからコンソールが実行されているサーバーへと、監視データを転送させることができます。このサーバ
ーは、McAfee ePO サーバーとも呼ばれます。
McAfee ePO サーバーは、定期的にアプライアンスで収集された監視データを取得するために、SSL セキュア要求
を送信します。その後、Web セキュリティ ルールの通常の処理をバイパスするために、SSL セキュア通信が開始す
る CONNECT 要求を許可する必要があります。これにより、アプライアンスで要求がブロックされないようになり
ます。
たとえば、認証ルールが実装されている場合、これらのルールによって使用される認証方法はサーバーでサポートさ
れないため、ブロックされます。
バイパスを有効にしたり、独自のルール セットを作成したりするために、ライブラリから適切なルール セットをイ
ンポートできます。
ePolicy Orchestrator 設定の構成
ePolicy Orchestrator 設定を構成して、アプライアンスから McAfee ePO サーバーへのモニタリング データの転送
を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、監視データを転送するアプライアンスを選択して、[ePolicy Orchestrator]を選択し
ます。
3
必要に応じて、ePolicy Orchestrator 設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
540 ページの「ePolicy Orchestrator 設定」
McAfee Web Gateway 7.5.0
製品ガイド
539
17
モニタリング
McAfee ePO を監視するためのデータの転送
ePolicy Orchestrator 設定
ePolicy Orchestrator 設定は、アプライアンスから McAfee ePO サーバーへのモニタリング データを転送するため
に使用されます。
ePolicy Orchestrator 設定
McAfee ePO サーバーへのモニタリング データを転送するための設定
表 17-39 ePolicy Orchestrator 設定
オプション
定義
[ePO ユーザー アカウン
ト]
アプライアンスからのモニタリング データの取得を可能にするアカウントのユーザー
名を指定します。
[パスワード]
ユーザーのパスワードを設定します。
[変更]
新しいパスワードを作成するためのウィンドウを開きます。
[ePO のデータ収集を有効
化]
選択されている場合、McAfee ePO サーバーのモニタリング データはアプライアンス
で収集されます。
[データ収集間隔(分単位)] データ収集の合間に経過する時間(分)を指定値に制限します。
時間は 10 分 ~ 6 時間までの範囲のスライダー スケールで設定されます。
ePO リクエストのバイパス ルール セット
ePO リクエストのバイパス ルール セットは、McAfee ePO サーバーからのリクエストがアプライアンスのフィルタ
リング ルールのバイパスすることを可能にするためのライブラリ ルール セットです。
ライブラリ ルール セット — ePO リクエストのバイパス
条件 — Command.Name equals “CONNECT”
サイクル - リクエスト(および IM)
このルール セットの条件は、ePO サーバーとアプライアンスの間の SSL セキュア通信がサーバーからのリクエスト
をアプライアンスに接続し始めるときに、ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
ePO リクエストの後続のルールをスキップする
URL.Host equals “127.0.0.1” OR URL.Host equals “[::1]” –> Stop Cycle – Enable SSL Client
Context<デフォルト CA> – Enable SSL Scanner <edh なしの証明書認証>
このルールは URL.Host プロパティを使用して、ホストの IP アドレスに基づいてリクエストされた URL のホスト
を識別します。
このアドレスが 127.0.0.1 の場合、リクエストされた URL のホストはアプライアンスです。ePO サーバーはアプ
ライアンスへの接続要求を送信するとき、このアドレスを使用します。
そのため、127.0.0.1 がリクエストされたアドレスの場合、ルールはリクエスト サイクルでのすべてのさらなる処
理を適用および停止します。これで、CONNECT リクエストは通過を許可されます。
このプロセスでの次のステップは証明書の送信および確認です。このルールは、デフォルトの証明機関で発行され
たクライアント証明書の送信を有効化するためのイベントを含みます。
イベント設定を変更し、その他の証明機関で証明書を発行させることもできます。
認証確認が完了したら、SSL セキュア通信を開始できます。
540
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
17
McAfee Enterprise Security Manager への syslog データの送信
®
Web Gateway の syslog ログ ファイルに記録されたデータは McAfee Enterprise Security Manager (McAfee
ESM) に送信できます。
データの転送は、Web Gateway のオンライン ルール セット ライブラリで使用可能なルール セットのルールで制
御します。 データを送信する McAfee ESM のコンポーネントは、マカフィー SIEM Receiver です。
転送を有効にするには、システム ファイルで Web Gateway の syslog データのリモート使用を設定します。 この
システム ファイルの名前は rsyslog です (ファイル名の r はリモートを意味します)。 マカフィー SIEM
Receiver の設定を変更し、McAfee ESM 環境のデータソースに Web Gateway を追加する必要があります。
データ転送を行うには、バージョン 9.3.2 以降の McAfee ESM が必要です。
syslog データの送信を設定する
Web Gateway で収集された syslog データを McAfee ESM に送信するには、以下の手順を行います。
タスク
1
Web Gateway のオンライン ルール セット ライブラリから McAfee SIEM ルール セットをインポートしま
す。 デフォルトのログ ハンドラー ルール セットにネストされたルール セットとして配置します。
オンライン ルール セット ライブラリーの SIEM (Nitro) 統合で、このルール セットが使用可能になります。
2
インポートされたルール セットで、syslog に送信 ルールを有効にし、nitro.log に送信 ルールを無効にしま
す。
3
ファイル エディターを使用して、データ転送に rsyslog システム ファイルを設定します。
集中管理クラスターで複数の Web Gateway アプライアンスを実行している場合、このシステム ファイルをク
ラスター内の各アプライアンスで設定します。
4
McAfee ESM で、McAfee SIEM Receiver の設定を変更し、データ ソースとして Web Gateway を追加しま
す。
詳細については、McAfee ESM のマニュアルと『Data Source Configuration Guide』を参照してください。
このガイドは、SIEM (Nitro) 統合のオンライン ルール セット ライブラリで入手できます。
データ転送で rsyslog システム ファイルを使用する
syslog データが McAfee ESM に正常に送信されるように、Web Gateway の rsyslog システム ファイルを使用
します。
タスク
1
[設定] 、 [ファイル エディター] の順に選択します。
2
ファイル ツリーで [rsyslog.conf] を選択します。
ファイルのコンテンツが設定ペインに表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
541
17
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
3
データ転送に使用できるようにファイルを編集します。
編集後のファイルは次のようになります。 The below will direct all daemon.info messages to
the remote syslog server ... で始まる段落の行が変更されています。
ここでは、マカフィー SIEM Receiver の IP アドレスを指定します。
# default parameters
$DirCreateMode 0755
$FileCreateMode 0640
$FileGroup adm
$umask 0026 # Include config files in /etc/rsyslog.d
$IncludeConfig /etc/rsyslog.d/*.conf # Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*
/dev/console # Log anything (except mail) of level info or higher.
# Don't log private authentication messages! # The following directs all daemon.info
messages to the
# remote syslog server at [IP_OF_MCAFEE_EVENT_RECEIVER]
# add @@ for TCP syslog for example
#daemon.info @192.168.1.1
*.info;daemon.!=info;mail.none;authpriv.none;cron.none
-/var/log/messages # The authpriv file has restricted access.
authpriv.*
/var/log/secure # Log all the mail messages in one place.
mail.*
/var/log/maillog # Log cron stuff
cron.*
/var/log/cron # Everybody gets emergency messages
*.emerg # Save news errors of level crit and higher in a special file.
uucp,news.crit
/var/log/spooler # Save boot messages also to boot.log
local7.*
/var/log/boot.log
4
[変更の保存] をクリックします。
Syslog データの取集/評価の調整
関連する Syslog データを Web Gateway で収集し、McAfee ESM で効率よく評価できるように調整することがで
きます。
関連性のないデータを除外し、重要なイベントだけが記録されるように制限すると、収集される Syslog データの量
を絞り込むことができます。 追加のロギング アクティビティを実装すると、関連データを Syslog データを追加で
きます。
McAfee ESM でデータ集計を無効にすると、関連性のないデータを除外できます。
542
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
17
Syslog データ量の絞り込み
Web Gateway が McAfee ESM に送信する Syslog データは、次の方法で絞り込むことができます。
•
認証必要 (ステータス コード 407) 応答を除外する - これは、Web セキュリティに関係のない標準的な応答で
す。
これらの応答を転送される Syslog データから除外するには、インポートしたルール セットのルールを追加しま
す。
他のスロットル ルールと一緒に、このルールをルール セットの先頭に置きます。 次のようになります。
名前
407 応答を除外する
条件
アクション
Response.StatusCode equals 407
•
–>
ルール セットの停止
記録されたブロック アクションだけを送信する - Web セキュリティの維持にブロック アクションは重要です
が、Web トラフィックに占める割合はごくわずかです。
これらのアクションでログ ファイルに転送される Syslog データを制限するには、インポートしたルール セット
のルールを追加します。
他のスロットル ルールと一緒に、このルールをルール セットの先頭に置きます。 次のようになります。
名前
記録されたブロック アクションだけを送信する
条件
アクション
Block.ID equals 0
–>
ルール セットの停止
感染ファイルのハッシュを Syslog データに追加する
Web Gateway で処理され、感染が見つかったファイルのハッシュ値を Syslog データに追加できます。 ファイル
ハッシュは、感染と大量発生の兆候を追跡する場合に有効です。
ハッシュの生成は大量のリソースを消費するため、重要な問題にのみ使用するようにしてください。 不明な点がある
場合には、マカフィー サポートに連絡してください。
ファイル ハッシュの計算とロギングを有効にするには、感染ファイルの検出とブロックを行うルールをイベントに追
加します。 デフォルトでは、このルールは Gateway Anti-Malware ルール セットの ウイルスを検出したらブ
ロック になります。
イベントは次のようになります。
Header.Block.Add('X-Hash-MD5, Body.Hash("md5"))
Header.Block.Add イベントは事前定義のイベントで、使用可能なイベントのリストから選択できます。 挿入さ
れたルールが適用されると、Syslog ログに項目が追加されます。
McAfee Web Gateway 7.5.0
製品ガイド
543
17
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
イベントには次の 2 つのパラメーターを設定する必要があります。
•
X-Hash-MD5 - ログ項目の名前
•
Body.Hash("md5") - ログ項目の値
このパラメーターは、ファイルのハッシュ値を計算するプロパティです。 ここで、要求または応答の本体として
Web Gateway に送信された感染ファイルのハッシュ値を計算します。
このプロパティのパラメーターにより、ハッシュの計算方法が決まります。
ルール セットのキー要素ビューで操作している場合には、完全ルール ビューに切り替えてイベントを追加する必要が
あります。
イベントの追加後、ブロック ルールは次のようになります。
名前
ウイルスを検出したらブロック
条件
アクション
Antimalware.Infected<Gateway
Anti-Malware>equals true
–> Block<Virus
Found>
イベント
Statistics.Counter.Increment
("BlockedByAntiMalware",
1)<Default>
Header.Block.Add ('X-Hash-MD5,
Body.Hash("md5"))
Syslog データの集計を無効にする
デフォルトでは、マカフィー SIEM Receiver が Web Gateway から Syslog データを受信すると、このデータは 1
つのレコードに集約されます。 データ ソースが多い場合、この集計機能は便利ですが、重要な情報が失われる可能
性があるため、Web Gateway では不適切な場合があります。
McAfee ESM で Web Gateway データの集計を無効にできます。
詳細については、McAfee ESM のマニュアルと『Data Source Configuration Guide』を参照してください。 この
ガイドは、SIEM (Nitro) 統合のオンライン ルール セット ライブラリで入手できます。
syslog データ転送で発生する問題の解決方法
Web Gateway から McAfee ESM に syslog データを送信するときに発生した問題を解決するには、いくつかの方
法があります。
•
•
Web Gateway の設定で以下のことを確認してください。
•
syslog の送信 ルールが有効になっている。
•
rsyslog システム ファイルで マカフィー SIEM Receiver の IP アドレスが正しく指定されている。
McAfee ESM の設定を確認します。
この手順の詳細と McAfee ESM で実行する他の操作については、McAfee ESM のマニュアルと『Data Source
Configuration Guide』を参照してください。 このガイドは、SIEM (Nitro) 統合のオンライン ルール セッ
ト ライブラリで入手できます。
•
Web Gateway で syslog データが生成されているかどうか確認します。たとえば、システム コンソールで次の
コマンドを実行します。
tcpdump –s 0 –I any port 514
544
McAfee Web Gateway 7.5.0
製品ガイド
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
•
マカフィー SIEM Receiver が syslog データを受信しているかどうか確認します。
•
Web Gateway で syslog ログが正しい形式で生成されているかどうか確認します。
17
syslog ログの項目は次のようになります。
McAfeeWG|time_stamp=[30/Mar/2014:05:18:16 +0000]|
auth_user=|src_ip=172.18.19.225|server_ip=69.20.171.162|host=www.nitroguard.com|
url_port=80|status_code=200|bytes_from_client=187|bytes_to_client=272|
categories=|rep_level=|method=GET|url=http://www.nitroguard.com/ngdb.dll?NG:StartIt:0|
media_type=|application_name=|user_agent=Mozilla/4.0 (compatible; Synapse)|
block_res=0|block_reason=|virus_name=|hash=| McAfeeWG|time_stamp=[30/Mar/2014:05:18:20
+0000]|
auth_user=|src_ip=172.18.19.225|server_ip=69.20.171.162|host=www.nitroguard.com|
url_port=80|status_code=200|bytes_from_client=376|bytes_to_client=200|
categories=|rep_level=|method=GET|
url=http://www.nitroguard.com/ngdb.dll?NG:DoIt:
0:Info=D8BC0B7C97D2C352AFE4643FEA44AE4D4C70F79271
D4620B64294729E046CB607B5458AC24BA31B061A12313E016EB7F62ED267DC6FE9A02A552681347EF79630351
4934
EE08EF0DA76B27F5EEA225B0DB274367AF4FEA574EA6137728|
media_type=|application_name=|user_agent=Mozilla/4.0 (compatible; Synapse)|
block_res=0|block_reason=|virus_name=|hash=|
McAfee Web Gateway 7.5.0
製品ガイド
545
17
モニタリング
McAfee Enterprise Security Manager への syslog データの送信
546
McAfee Web Gateway 7.5.0
製品ガイド
18
トラブルシューティング
アプライアンスの問題をトラブルシューティングするために、さまざまな方法とツールを利用できます。
目次
トラブルシューティング方法
ルール追跡
フィードバック ファイルの作成
コア ファイルの作成の有効化
接続追跡ファイルの作成の有効化
パケット追跡ファイルの作成
ネットワーク ツールの操作
アプライアンスの構成をバックアップまたは復元する
トラブルシューティングの設定
トラブルシューティング方法
アプライアンスで問題が発生した場合には、さまざまな方法を使用して解決することができます。
ルール追跡を実行する
ユーザー インターフェースでルール追跡を作成して、確認することができます。この追跡では、Web Gateway の
クライアントから送信された要求と Web からの応答に対するルールの処理方法が記録されます。
これらの追跡結果を見ると、特定の要求に対するルールの処理方法と実行されたアクションを確認できます。
ユーザー インターフェースには、次の追跡情報が表示されます。
•
サイクル - ルール アクションが実行された要
求、応答、埋め込みオブジェクトのサイクル。
•
プロパティ - ルール条件が一致したときのプロ
パティと値
•
ルール - これらのサイクルで処理されたルール
•
アクション - ルール条件が一致したときに実行
されたアクション
McAfee Web Gateway 7.5.0
製品ガイド
547
18
トラブルシューティング
ルール追跡
•
ルール セット - ルールが含まれているルール
セット
•
ルール条件 - ルールの実行条件
•
イベント - ルール条件が一致したときに実行さ
れたイベント
ファイル内へのデータの記録と検査
アプライアンスの動作に関するデータは、ファイル内に記録して検査することができます。この目的のために作成で
きるファイルのタイプは、以下のとおりです。
•
ログ ファイル — アプライアンスへのアクセスやファイルの更新など、イベントと機能をログします
•
ルール追跡ファイル — ルールの処理を記録します
•
フィードバック ファイル - 機能が失敗する前のプロセスに遡って追跡します。
•
コア ファイル — 機能が失敗したためにアプライアンスの動作が終了した後にメモリのコンテンツを記録します
•
接続追跡ファイル — アプライアンスと他のネットワーク コンポーネントとの間の接続上におけるアクティビテ
ィを記録します
•
パケット追跡ファイル — アプライアンスのネットワーク アクティビティを記録します
ネットワーク ツールの使用
場合によっては、アプライアンスから他のネットワーク コンポーネントへの接続が引き続き機能しているかどうかを
テストする必要があります。この目的のために利用可能なツールは、ping、nslookup、ipneigh などを含め、複
数存在します。
構成の復元
他のトラブルシューティング方法が機能しない場合は、問題のあるアプライアンス構成を削除してバックアップで置
換しなければならないことがあります。
バックアップを作成しておくと、既存の構成に適用された変更を破棄する場合など、他の状況でも役立つことがあり
ます。
バックアップを作成したり、バックアップを使用して構成を復元したりするために、オプションが提供されます。
ルール追跡
ユーザー インターフェースでルール追跡機能を使用すると、ルール処理の問題をデバッグできます。
ルール追跡を作成すると、ネットワークのユーザーが特定のクライアントから Web アクセス要求を送信したときに、
実装済みのルールの処理で発生したアクティビティを記録することができます。
これらの追跡は、作成日、要求と一緒に送信された URL、ルールの処理時に実行されたルール アクション (ブロッ
ク、リダイレクト、続行など) に従ってフィルタリングできます。
追跡では、要求に対して実行されたすべての処理サイクル (要求、応答、埋め込みオブジェクト) のアクティビティ
が記録されます。追跡結果は、サイクルごとに別々に表示できます。
処理に関連するルール条件のプロパティも個別に表示できます。ルール処理時に設定された値も一緒に表示できま
す。
548
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
ルール追跡
18
ユーザー インターフェースのツール追跡ページには 3 つのペインが表示されます。各ペインで、ルール追跡操作を
行うことができます。
•
追跡ペイン - 追跡の作成、フィルタリング、削除ができます。
追跡をエクスポートして保存することもできます。後で再度インポートして表示したり、他の Web Gateway ア
プライアンスで作成された追跡をインポートすることもできます。
•
ルール ペイン - 処理サイクルを選択して、そのサイクルで処理されたルール セットまたは個々のルールを表示
できます。
•
詳細ペイン - 個々のルールの条件、プロパティ、プロパティに設定された値を表示できます。
ルール追跡のサイクル
Web アクセス要求がクライアントから Web Gateway に送信されると、処理が開始します。この処理は異なるサイ
クルで実行されます。要求サイクルの開始時には、要求自体の要素 (要求と一緒に送信された URL など) に関連する
ルール セットが処理されます。
このサイクルに Web 要求の転送を禁止しているルール (URL の禁止カテゴリなど) がなければ、要求が転送されま
す。Web からの応答を待機します。
応答を受信すると、応答サイクルのルールが処理されます。たとえば、ダウンロードを要求したファイルが応答で送
信されると、特定のルールに従ってウイルスまたはマルウェアのスキャンが実行されます。感染が検出されなければ、
ダウンロードを要求したクライアントにファイルが送信されます。
要求または応答にオブジェクトが埋め込まれている場合、他の処理サイクルが実行されます。設定されたロギング ル
ールに従って、処理のアクティビティがログに記録されます。
Web Gateway のクライアントから送信された初期の要求に対して、各サイクルで実行されたすべての処理がエンテ
ィティ (トランザクション) として確認できます。
ルール処理の問題をデバッグするには、トランザクションの完全なルール追跡を分析します。あるいは、問題の解決
に関係のある特定のサイクルだけを調査することもできます。
ルール追跡のプロパティ
ルールが適用され、特定のアクション (例: Web アクセス要求のブロック) が実行されるかどうかは、ルール条件に
よって決まります。ルール条件のプロパティには、処理中に特定の値が設定されます。
たとえば、Antimalware.Infected プロパティは、デフォルトのマルウェア対策ルールの条件で使用されます。
スキャンした Web オブジェクトでウイルスなどのマルウェアの感染が見つかると、このプロパティの値は true に
設定されます。これにより、ルールの条件に一致し、ブロック アクションが実行されます。
ルール追跡を分析する場合、ルール処理に関連するプロパティと、そのプロパティに設定された値は重要な情報にな
ります。プロパティとその値は別々に表示することもできます。
ルール追跡の削除と復元
ルール追跡は、ルール追跡ページのペインから削除できます。ただし、このページで削除されるわけではありません。
ルール追跡を削除するには、アプライアンスの [トラブルシューティング] トップ レベル メニューから [ルール追跡
ファイル] セクションにアクセスします。
McAfee Web Gateway 7.5.0
製品ガイド
549
18
トラブルシューティング
ルール追跡
このセクションでは、以前に削除した追跡をルール追跡ペインに復元することができます。
1 台のアプライアンスに最大で 5000 個の追跡を保存できます。この制限を超えると、古い追跡から順番
に削除されます。
この削除操作はルール追跡ペインに影響を及ぼしません。ただし、追跡が削除されているため、追跡項目
にアクセスできない場合があります。
ルール追跡を使用してルール処理の問題をデバッグする
ルール追跡ペインのオプションを使用すると、ルール処理の問題をデバッグするルール追跡を作成し、確認すること
ができます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
ルール追跡ペインが表示されます。
3
ルール追跡ペインで、ルール処理の問題をデバッグします。
ルール追跡ペイン
ルール追跡ペインでは、ルール追跡の作成、管理、確認を行うことができます。
次の表では、ルール追跡ペインの主な機能について説明します。
550
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
ルール追跡
18
表 18-1 ルール追跡ペインの主な機能
ペイン
説明
[追跡ペイン]
ルール追跡を作成し、管理できます。
[ルール ペイン]
処理されたルールが表示されます。
[詳細ペイン]
ルール条件で使用されているプロパティなどを表示できます。
ペインの間にある黒い小さな四角形をクリックすると、ペインを展開したり、隠すことができます。
追跡ペイン
追跡ペインでは、次のオプションを使用できます。
表 18-2 追跡ペイン
オプション
定義
アプライア
ンス名リス
ト
ルール追跡のインポート、作成、確認、管理を行う Web Gateway アプライアンスを選択できます。
[インポー
ト]
ルール追跡のインポート メニューが表示されます。
• [アプライアンス ディレクトリからインポートする] - リストから選択されたアプライアンスに
記録されたルール追跡をすべてインポートできます。
• [ローカル ディレクトリからインポートする] - ローカル ファイル マネージャーが開きます。現
在ログオンしているアプライアンスに記録されたルール追跡をインポートできます。
クライアン
ト IP アド
レス フィー
ルド
ルール処理が追跡された要求を送信したクライアントの IP アドレスを入力できます。
[実行] / 停
止アイコン
(十字)
ルール追跡の作成を開始または停止します。
• [実行] - クライアント IP アドレス フィールドに指定したクライアントから最後に受信した要求
に対して、ルール追跡の作成を開始します。
[実行] をクリックすると、停止アイコンが表示されます。
• 停止アイコン - ルール追跡を停止します。
[ソース]
追跡ペインに項目を表示するルール追跡のソースを選択できます。
ボタンをクリックすると、インポート済みのルール追跡ファイル (ZIP) のリストが表示されます。
ファイルを選択すると、ファイルに含まれるルール追跡項目が追跡ペインに表示されます。選択した
ファイルの名前が表示されます。
ファイルを選択しないと、前回の追跡で作成されたルール追跡の項目が表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
551
18
トラブルシューティング
ルール追跡
表 18-2 追跡ペイン (続き)
オプション
定義
アクション
アイコン バ
ー
クリックすると、ルールが実行するアクションのメニューが表示されます。
アクションを選択すると、ルール追跡がフィルタリングされます。
たとえば、[ブロック] アクションを選択すると、このアクションの実行で記録されるルール追跡の項
目だけが表示されます。
複数のアクションを組み合わせて選択できます。特定のアクションではなく、すべてのルール追跡の
エントリを表示することもできます。
• [すべて表示] - すべてのアクションのルール追跡を表示できます。
• [選択の切り替え] - 選択されてないアクションのルール追跡を表示できます。
選択内容に応じて、これらのアクションがメニューに表示されます。
時間または 追跡のフィルタリングに使用する時間と URL を入力できます。
URL のフィ
ルタリング フィールドの右端にあるアイコン (十字) をクリックすると、フィルターが消えます。
フィールド
[エクスポー
ト]
ルール追跡のエクスポート メニューが表示されます。
• [表示されているルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在
追跡ペインに項目が表示されているルール追跡をエクスポートできます。
エクスポートしたルール追跡は、ZIP ファイルに保存されます。
• [選択されたルール追跡をエクスポートする] - ローカル ファイル マネージャーが開き、現在選択
されているルール追跡をエクスポートできます。
エクスポートしたルール追跡は、ZIP ファイルに保存されます。
552
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
ルール追跡
18
表 18-2 追跡ペイン (続き)
オプション
定義
[クリア]
追跡ペインからルール追跡を消去するメニューが表示されます。
• [表示されているルール追跡を消去する] - 現在追跡ペインに項目が表示されているルール追跡を
消去します。
• [選択されたルール追跡を消去する] - 現在追跡ペインで選択されているルール追跡を消去しま
す。
• [すべてクリア] - ルール追跡ペインからすべてのルール追跡が消去されます。
ルール追跡ペインから消去しても、ルール追跡自体は削除されません。
ルール追跡を削除するには、[トラブルシューティング] トップレベル メニューから [ルー
ル追跡ファイル] を選択します。
追跡フィー
ルド
指定したフィルタリング情報に従って、個々のルール追跡の項目が表示されます。
追跡を選択すると、最も影響のあるアクションを含むルールと隣接するルールがサイクル ペインに
表示され、条件、アクション、イベントが詳細ペインに表示されます。
影響度は次の順番で低くなります。
ブロック (最大) - リダイレクト - 認証 - 削除 - サイクルの停止 - ルール セットの停止 - 続
行
ただし、ルール処理が停止する前の最後のアクションが サイクルの停止、ルール セットの停止、続
行 の場合、これらのアクションの影響度は高くなります。
それぞれの追跡に次の項目が表示されます。
• アクション アイコン - 要求でルール処理が開始したときに最後に実行されたアクションのアイ
コン。
アクション アイコン バーをクリックすると、メニューにアイコンの意味が表示されます。
• [時間] - 追跡が作成された時間
• [URL] - 追跡が作成された要求で送信された URL
ルール ペイン
ルール ペインでは、次のオプションを使用できます。
表 18-3 ルール ペイン
オプション
定義
追跡情報フ
ィールド
選択した追跡の情報が表示されます。
選択した追跡について以下の情報が表示されます。
• 追跡が作成された要求で送信された URL
• 追跡が作成された時間を表すタイムスタンプ
• 追跡が保存されたファイルの名前
[サイクル]
情報を表示するサイクルを選択できます。このサイクルで実行されたルール処理で追跡に記録された
情報が表示されます。
[すべて] を選択すると、追跡に記録されたすべてのサイクルの処理について概要が表示されます。
McAfee Web Gateway 7.5.0
製品ガイド
553
18
トラブルシューティング
ルール追跡
表 18-3 ルール ペイン (続き)
オプション
定義
[検索]
ルール セットとルールの情報で検索する項目を入力します。
検索対象は次のとおりです。
• ルール セットまたはルールの名前
• プロパティの値
• プロパティ、アクション、イベントの名前
• 定数
• リスト名
• ユーザー インターフェースに表示される他
のテキスト部分
最初に一致した項目が強調表示されます。検索フィールドの横にある矢印を使用すると、次または前
の一致項目に移動できます。
新しいルール セットまたはルールを検索すると、最初の一致項目が再度強調表示されます。
ルール セッ 選択したサイクルでルールの処理時に実行されたルール セットとルールが表示されます。
トとルール
のフィール 各ルール セットとルールについて、以下の情報がルール ペインに表示されます。
ド
ルール セットまたはルールを選択すると、詳しい情報が詳細ペインに表示されます。
• [サイクル] - ルール セットまたはルールが処理されたサイクル
要求サイクルと応答サイクルは色の違う矢印で表示されます。
矢印の意味は次のとおりです。
• 右向きの矢印 - 要求サイクル
• 左向きの矢印 - 応答サイクル
• 右向き (左向き) の矢印がない場合 - 要求 (応答) サイクルで処理が実行されていません。
• 中空き矢印 - ルール セットまたはルールが処理されていますが、アクションは実行されていま
せん (条件に一致していません)。
• 灰色の矢印 - アクションが実行されていますが、ルール追跡で最も影響のあるアクションでは
ありません。
• 緑の矢印 - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイクルの
停止または続行が実行されています。
554
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
ルール追跡
18
表 18-3 ルール ペイン (続き)
オプション
定義
このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前
に最後に実行された場合だけです。
• 黄色の矢印 - 最も影響のあるアクションとして削除が実行されています。
• 青の矢印 - 最も影響のあるアクションとして認証が実行されています。
• 濃い緑の矢印 - 最も影響のあるアクションとしてリダイレクトが実行されています。
• 赤の矢印 - 最も影響のあるアクションとしてブロックが実行されています。
埋め込みオブジェクト サイクルでルール セットまたはルールが処理されると、数字付きの小さな
ボックスが表示されます。
このボックスは、ルール セットまたはルールの矢印と同じ行に表示されます。ボックスは矢印の色
と同じ色で表示されます。
ボックスの状態と意味は次のとおりです。
• ルール セットまたはルールの行にボックスが表示されていない - 埋め込みオブジェクト サイ
クルでルール セットまたはルールが処理されていません。
• ルール セットまたはルールの行に数字付きのボックスが表示されている - ルール セットまた
はルールは、表示された数字が示す回数だけ埋め込みオブジェクト サイクルで処理されていま
す。
• 色のない中空きのボックス - ルール セットまたはルールが埋め込みサイクルで処理されていま
すが、このサイクルでアクションが実行されていません (条件に一致していません)。
• 灰色のボックス - 埋め込みオブジェクト サイクルでアクションが実行されていますが、ルール
追跡で最も影響のあるアクションではありません。
• 緑のボックス - ルール追跡で最も影響のあるアクションとして、ルール セットの停止、サイク
ルの停止または続行が埋め込みオブジェクト サイクルで実行されています。
このタイプのアクションが最も影響のあるアクションになるのは、サイクルの処理を停止する前
に最後に実行された場合だけです。
• 黄色のボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルで削除が
実行されています。
• 青いボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルで認証が実
行されています。
• 濃い緑のボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルでリダ
イレクトが実行されています。
• 赤いボックス - 最も影響のあるアクションとして、埋め込みオブジェクト サイクルでブロック
が実行されています。
• [名前] - ルール セットまたはルールの名前
ルール セットまたはルールが条件でリストを使用している場合、名前の下に条件が表示されます。
詳細ペインにリストへのリンクが表示されます。
詳細ペイン
詳細ペインでは、次のオプションを使用できます。
McAfee Web Gateway 7.5.0
製品ガイド
555
18
トラブルシューティング
ルール追跡
表 18-4 詳細ペイン
オプション 定義
[上位のプ
ロパティ]
タブ
現在選択しているルール追跡と処理サイクルのルールで使用されている接続関連のプロパティが表示
されます。
それぞれのプロパティについて次の情報が表示されます。
• [プロパティ] — プロパティの名前
• [値] - 追跡作成時のプロパティの値
いくつかのプロパティは、ルール追跡で常に記録され、このタブに表示されます。その他のプロパテ
ィは、処理されたときにだけ記録され、表示されます。
• [URL] - 常時
• [URL.Categories] - 処理時のみ
• [Client.IP] - 常時
• [Response.StatusCode] - 処理時のみ
• [URL.Host] - 常時
• [Block.Reason] - 処理時のみ
• [Authentication.Username] - 処理時の
み
• [Command.Name] - 処理時のみ
• [Authentication.Usergroups] - 処理時
のみ
[詳細] タ
ブ
ルール ペインで選択されているルール セットまたはルールの条件が表示されます。
条件と一緒に、ルール ペインで選択されている処理サイクルでプロパティに設定された値も表示され
ます。
ルール ペインで [すべて] を選択すると、処理が実行されたサイクルの条件が表示されます。
それぞれの条件について次の情報が表示されます。
• [サイクル] - 表示されている条件を含むルールが処理されたサイクルとルールの名前
• [条件] - ルールの条件
条件が一致すると、先頭にマーカー アイコン (フック) が表示されます。
• [評価] - 条件のプロパティ
条件にリストが含まれている場合、プロパティ名の下にもリスト名が表示されます。また、[値] の
下に、リストへのリンクが表示されます。
• [値] - 追跡作成時のプロパティの値
値は、プロパティのタイプによって異なります。
たとえば、ブール タイプのプロパティの場合、true または false が表示されます。文字列型のプ
ロパティの場合には文字列が、数値型のプロパティの場合には数値が表示されます。
条件にリストが含まれている場合、リストのリンクが表示されます。
リンクをクリックすると、リストの現在の状態が表示されます。ルール追跡の記録時と状態が異な
る場合もあります。
ルール追跡でリストのコンテンツは記録されません。
一致した条件について、以下の情報が表示されます。
• [アクション] - 条件が一致した後に実行されたルールのアクション
• [イベント] (ルールにイベントがある場合のみ) - 条件が一致した後に開始したルールのイベント
ルールに複数のイベントがある場合、各イベントが別々の行に表示されます。
556
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
ルール追跡
18
ルール追跡を使用して要求のブロック理由を確認する
ユーザーが Web Gateway クライアントから送信した Web アクセス要求がブロックされた場合、ルール追跡を使用
すると、要求をブロックしたルールとその理由を確認できます。
ルール追跡を使用すると、Web Gateway でルール処理を記録し、分析することができます。以下では、ルール追跡
の簡単な使用方法を説明します。
タスク
1
[トラブルシューティング] を選択して、アプライアンス ツリーで [ルール追跡集中管理] を選択します。
ルール追跡ペインが表示されます。
2
ルール追跡を作成します。
a
追跡ペインで、アプライアンス名のフィールドに名前は変更しないでください。
この例では、このアプライアンスで処理された要求にルール追跡を実行します。
b
クライアント IP アドレスのフィールドで、ルール追跡の要求を送信したクライアントの IP アドレスを入力
します。
c
[実行] をクリックします。
クライアントから受信した最後の要求に対するルール追跡が作成されます。追跡が作成されると、追跡フィー
ルドにエントリが表示されます。
3
ルール追跡をフィルタリングします。
a
時間と URL のフィルタリング フィールドで、ブロックされた要求と一緒に送信された URL を入力します。
ルール追跡がフィルタリングされます。この URL の Web オブジェクトに対するアクセス要求に実行された
追跡だけが表示されます。
たとえば、問題のクライアントが、この URL に対する要求を 1 回だけ送信したとします。この場合、追跡結
果をフィルタリングすると、1 つのエントリだけが表示されます。
b
エントリを選択します。
この URL の要求で処理されたルールの詳細情報がルール ペインと詳細ペインに表示されます。
4
ルール追跡を確認します。
a
ルール ペインの追跡情報を確認します。
要求に対して処理されたルールがルール セットと一緒に表示されます。
要求をブロックしたルールが選択され、赤い矢印付きで表示されます。矢印が右を向いている場合、要求サイ
クルで要求がブロックされています。矢印が左を向いている場合には、応答サイクルでブロックされていま
す。
b
詳細ペインで追跡情報を確認します。
•
ルールが要求をブロックしたサイクル、ルールの名前、条件、アクション、イベントが表示されます。
一致した条件にはグレーのフックが付いています。
•
フック付きの条件の下にある [評価] にも条件が表示されます。
同じフィールドの [値] には、条件に一致し、要求がブロックされたときのプロパティの値が表示されま
す。
McAfee Web Gateway 7.5.0
製品ガイド
557
18
トラブルシューティング
ルール追跡
たとえば、要求をブロックしたルールについて、以下の情報が詳細ペインに表示されたとします。
•
[サイクル] - 応答
•
[ルール名] - ウイルスを検出したらブロック
•
[条件] - Antimalware.Infected<Gateway Anti.Malware> equals true
•
[評価] - Antimalware.Infected equals true、[値] - true
•
[アクション] - Block<Virus found>
•
[イベント] - Statistics.Counter.Increment<Default>("BlockedByAntiMalware", 1>
要求されたブロックでウイルスまたはマルウェアの感染が検出されたため、要求がブロックされました。
ウイルスとマルウェアのフィルタリング ルールによってブロック アクションが実行されました。このルールは、要
求の応答として特定の Web サーバーからオブジェクトを受信したときに応答サイクルで処理されています。
このルールの条件は、Antimalware.Infected プロパティに含まれています。このプロパティに設定された値を確認
するため、Web Gateway のマルウェア対策エンジンが呼び出されています。このエンジンが、要求された Web オ
ブジェクトをスキャンして感染を検出したため、プロパティの値が true に設定され、ルール条件に一致していま
す。
ベスト プラクティス - Web ページに画像が表示されない理由の特定
ルール追跡を使用すると、クライアント システムで Web ページが表示されても、テキストだけで画像が表示されな
い理由を特定できます。
簡単な問題について考えてみましょう。たとえば、ユーザーが Web Gateway クライアントのブラウザーから CNN
のホームページにアクセスしたとします。ページは開きましたが、テキストしか表示されていません。
ルール追跡を使用すると、ホームページの画像を提供している CNN のサーバーがブロックされていないかどうか確
認できます。
タスク
1
Web Gateway のユーザー インターフェースで、[トラブルシューティング] を選択します。
集中管理構成で複数の Web Gateway アプライアンスを使用している場合には、問題のクライアントに接続して
いるアプライアンスにログオンしてください。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
3
追跡を作成します。
a
左上の入力フィールドに、要求がブロックされているクライアント システムの IP アドレスを入力し、入力フ
ィールドの横にある [実行] ボタンをクリックします。
クライアントから送信された Web アクセス要求が追跡されます。左下の出力フィールドに追跡ファイルの
エントリが表示されます。
[実行] を押すと、ボタンが十字に変わり、追跡が不要になるとプロセスが停止します。
b
クライアント システムで、ブラウザーを更新するか、ccn.com を再度クリックして、問題が再現するかどう
か確認します。
追跡ファイルのエントリが Web Gateway の出力フィールドに表示されます。
転送されるデータ量によっては、追跡ファイルのエントリが表示されるまで時間がかかる場合があります。
558
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
ルール追跡
c
4
18
問題が再現でき、追跡ファイルのエントリが表示された場合には、切り替えボタンを再度クリックして追跡を
終了します。
追跡ファイルのエントリを確認します。
追跡された要求ごとに、タイムスタンプと要求された URL が表示されます。
エントリの先頭には、最も影響を及ぼすアクションの記号が表示されます。このアクションは要求の処理時に実
行されます。アクションの中で最も影響を及ぼすアクションが「ブロック」です。
追跡ファイルのエントリで、ブロック記号と cdn.turner.com/ccn で始まる URL が表示されているエントリ
を探します。画像を提供する CCN サーバーにアクセスする要求の追跡ファイルが複数存在する場合があります。
5
追跡ファイルで cdn.turner.com/ccn を含むエントリを選択します。
この追跡の詳細がルールと右側の詳細ペインに表示されます。
6
ルールのペインを確認します。
このペインには、追跡された要求で処理されたルールが表示されます。ビューの最後に、ルールの処理が停止す
る前に最後に適用されたルールが表示されます。このルールは強調表示されます。
この場合、最後に適用されたルールは 「カテゴリ ブラックリストにカテゴリがある URL をブロックする」で
す。
7
詳細ペインを確認します。
詳細ペインの 2 つのタブに詳しい追跡情報が表示されます。
[上位のプロパティ] タブで、前述のルールが処理されたときに URL.Categories プロパティに Business が
設定されたことが表示されます。
これで、この問題に対するルール追跡は終わりです。CNN サーバーへのアクセスで送信した URL が Business カ
テゴリで、このカテゴリがブラックリストにあるため、このサーバーの画像が表示されません。
画像を表示するには、ネットワークの Web セキュリティ ポリシーを変更し、URL ホワイトリストに
cdn.turner.com/ccn/* を追加する必要があります。
削除したルール追跡をルール追跡ペインに復元する
ルール追跡ペインから削除したルール追跡を復元するには、アプライアンスのルール追跡ディレクトリまたはソース
ファイルからルール追跡を復元します。
削除したルール追跡をルール追跡ペインに復元する方法は、現在ログオンしているアプライアンスでルール追跡が作
成された方法またはアプライアンスにインポートされた方法によって異なります。
アプライアンスのルール追跡ディレクトリを選択することも、ソース ファイルを再度インポートすることもできま
す。
タスク
•
560 ページの「削除したルール追跡をアプライアンスのディレクトリから復元する」
現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンス
のルール追跡ファイルのディレクトリから復元することができます。
•
560 ページの「ソース ファイルをインポートしてルール追跡を復元する」
ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度
インポートすると、ルール追跡を復元できます。
McAfee Web Gateway 7.5.0
製品ガイド
559
18
トラブルシューティング
ルール追跡
削除したルール追跡をアプライアンスのディレクトリから復元する
現在のアプライアンスで作成されたルール追跡をルール追跡ペインから削除した場合、アプライアンスのルール追跡
ファイルのディレクトリから復元することができます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、ルール追跡を復元するアプライアンスを展開します。
3
[ルール追跡ファイル] を選択します。
トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。
4
[追跡ファイル] で、復元するルール追跡ファイルを選択します。
5
[分析] をクリックします。
ルール追跡ペインでルール追跡がアクセス可能になります。
ソース ファイルをインポートしてルール追跡を復元する
ルール追跡ペインから削除したルール追跡が以前にインポートされている場合、ソース ファイルを再度インポートす
ると、ルール追跡を復元できます。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、[ルール追跡集中管理] を選択します。
3
[追跡]、[インポート] の順にクリックします。
ローカルのファイル マネージャーが開きます。
4
復元するルール追跡のソースを含む ZIP ファイルを選択してインポートします。
ルール追跡ペインでルール追跡がアクセス可能になります。
ルール追跡を削除する
ルール追跡を削除するには、アプライアンスでルール追跡ファイルのあるディレクトリにアクセスし、削除オプショ
ンを使用します。
タスク
1
[トラブルシューティング] を選択します。
2
トラブルシューティング ツリーで、ルール追跡を削除するアプライアンスを選択し、[ルール追跡ファイル] をク
リックします。
トラブルシューティング ページの右側に、ルール追跡ファイルのディレクトリが表示されます。
560
3
[追跡ファイル] で、削除するルール追跡ファイルを選択し、[削除] をクリックします。
4
表示されたウィンドウで、削除を確認します。
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
フィードバック ファイルの作成
18
フィードバック ファイルの作成
フィードバック ファイルを作成して、機能の障害が発生した後にプロセスをバックトレースできます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、プロセスをバックトレースするアプライアンスを選択して、[フィードバック]をクリ
ックします。
3
必要に応じて、[実行中の McAfee Web Gateway を一時停止してバックトレースを作成する]を選択または選択
解除します。
チェックボックスを選択することをお勧めします。
4
[フィードバック ファイルを作成する]をクリックします。
ファイルが作成されて、名前、サイズ、および日付が[[フィードバック ファイル]]下のリストに表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
コア ファイルの作成の有効化
機能の障害によってアプライアンスの処理が停止した後にメモリ コンテンツを記録するための、コア ファイルの作
成を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、メモリ コンテンツを記録するアプライアンスを選択して、[トラブルシューティング]
をクリックします。
3
[トラブルシューティング]セクションで、[コア ファイルの有効化]を選択します。
4
[変更の保存]をクリックします。
これで、特定機能への障害により、アプライアンスが停止するたびに、コア ファイルが作成されるようになりま
す。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[コア ファイル]を選択したら、コ
ア ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
McAfee Web Gateway 7.5.0
製品ガイド
561
18
トラブルシューティング
接続追跡ファイルの作成の有効化
接続追跡ファイルの作成の有効化
追跡ファイルの作成を有効にして、アプライアンスと他のネットワーク コンポーネント間の接続で起こるアクティビ
ティを記録できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、接続アクティビティを記録するアプライアンスを選択して、[トラブルシューティン
グ]をクリックします。
3
[トラブルシューティング]セクションで、[接続追跡の有効化]を選択します。
4 [オプション]アプライアンスの特定クライアントとの接続でのアクティビティのみを追跡するには、[追跡を 1
つの IP のみに制限する]を選択し、[クライアント IP]フィールドにクライアントの IP アドレスを入力します。
5
[変更の保存]をクリックします。
これで、接続追跡ファイルが作成されます。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[接続追跡]をクリックしたら、接
続追跡ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
パケット追跡ファイルの作成
パケット追跡ファイルを作成して、アプライアンスのネットワーク アクティビティを記録できます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ネットワーク アクティビティを記録するアプライアンスを選択して、[パケット追跡]
をクリックします。
3
[コマンド ライン パラメーター]フィールドで、必要に応じて、パケット追跡のパラメーターを入力します。
4
[tcpdump の開始]をクリックします。
パケット追跡ファイルが生成されて、名前、サイズ、および日付が[結果(dump)]下のリストに表示されます。
パケット追跡ファイルの生成の進行を停止するには、[tcpdump の停止]をクリックします。
リストのツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のア
クティビティを実行できます。
562
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
ネットワーク ツールの操作
18
ネットワーク ツールの操作
アプライアンスで発生した問題をトラブルシューティングするために、複数のネットワーク ツールを操作することが
できます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ネットワーク ツールを使用するアプライアンスを選択し、[ネットワーク ツール]を
クリックします。
3
[コマンド ライン パラメーター]フィールドに、特定のネットワーク ツールによって提供されるコマンドに対す
るパラメーターを入力します。
たとえば、ping コマンドを使用して接続するホストの名前を入力します。
4
以下のネットワーク ツールのいずれかに対するボタンをクリックします。
•
[ping]
•
[ping6]
•
[nslookup]
•
[traceroute ]
•
[traceroute6 ]
•
[ipneigh ]
•
[service restart ]
•
[ntp ]
対応するコマンドが実行され、出力が[結果]フィールドに表示されます。
出力は次のようになります。
Ping:Unknown host testhost
アプライアンスの構成をバックアップまたは復元する
アプライアンスの構成をバックアップ ファイルに保存すると、このファイルを使用して構成を復元することができま
す。
アプライアンスの構成をバックアップするときに、MAS に保存されている SSO 認証情報をバックアップ ファイル
に追加できます。同様に、復元を行うときに、バックアップ ファイルから MAS に SSO 認証情報を復元できます。
バックアップを復元するときに、すべての構成とアカウントを復元するか、[ポリシー] トップレベル メニューで設
定したデータ (ルール、リスト、設定) だけを復元するのか選択できます。
バックアップの暗号化と復号で、ドイツ語のウムラウト (ä, ö, ü) などの特殊文字をパスワードに挿入する必要がある
場合には、Web Gateway の管理システムで UTF-8 形式を使用してください。
タスク
1
ダッシュボードで [トラブルシューティング] を選択します。
2
アプライアンス ツリーで、構成をバックアップまたは復元するアプライアンスを選択し、[バックアップ/復元] を
クリックします。
McAfee Web Gateway 7.5.0
製品ガイド
563
18
トラブルシューティング
トラブルシューティングの設定
3
4
アプライアンスの構成をバックアップするには、次の手順に従います。
a
バックアップに SSO 認証情報を追加するには、[SSO 認証情報] チェックボックスを選択します。
b
[ファイルにバックアップ] をクリックします。
c
ローカルのファイル マネージャーでバックアップ ファイルを作成または選択します。
アプライアンスの構成を復元するには、次の手順に従います。
a
すべての構成とアカウントを復元するには、[構成とアカウント] チェックボックスを選択します。
b
復元に SSO 認証情報を追加するには、[SSO 認証情報] チェックボックスを選択します。
c
[ファイルから復元] をクリックします。
d
復元中にログオフすることを通知するメッセージが表示されます。
e
ローカルのファイル マネージャーで、アプライアンス構成の復元で使用するバックアップ ファイルを選択し
ます。
トラブルシューティングの設定
[トラブルシューティング] の設定は、アプライアンスのトラブルシューティング機能の設定に使用するシステム設定
です。
トラブルシューティング
トラブルシューティング機能の全般設定
表 18-5 トラブルシューティング
オプション
定義
[コア ファイルの生成を有効にする]
コア ファイルの生成を可能にします。
[接続追跡を有効にする]
接続の追跡を可能にします。
[接続追跡を 1 つの IP に制限する]
接続追跡が、1 つのクライアントから送信された要求の処理に限定されま
す。クライアントは IP アドレスで指定します。
[クライアント IP]
追跡接続を行うクライアントの IP アドレス。
[接続追跡ファイルのサイズを小さく
する]
記録するコンテンツのバイト数を制限し、接続追跡ファイルのサイズを小
さくすることができます。
[各送受信操作で記録するコンテンツ
のバイト数]
各操作で記録する最大バイト数。HTTP ヘッダーは常に記録されます。
[コーディネーター (集中管理など) の コーディネーター システムが Web Gateway で実行したアクティビティ
追跡を有効にする]
の追跡を有効にします。たとえば、集中管理に関連するアクティビティが
記録されます。
[メッセージ本文全体をログに記録す
る]
メッセージ本文全体をログ ファイルに書き込みます。
認証のトラブルシューティング
認証関連のトラブルシューティングの設定
564
McAfee Web Gateway 7.5.0
製品ガイド
トラブルシューティング
トラブルシューティングの設定
18
表 18-6 認証のトラブルシューティング
オプション
定義
[管理イベントを記録する]
管理イベントがログに記録されます。
[認証イベントを記録する]
認証イベントがログに記録されます。
[接続追跡を 1 つの IP に制限する] 接続追跡が、1 つのクライアントから送信された要求の処理に限定されます。
クライアントは IP アドレスで指定します。
[クライアント IP]
追跡接続を行うクライアントの IP アドレス。
クォータのトラブルシューティング
クォータ制限関連のトラブルシューティングの設定
表 18-7 クォータのトラブルシューティング
オプション
定義
[クォータ イベントを記録する]
クォータ イベントがログに記録されます。
PDStorage に関連するトラブルシューティング
PDStorage 機能関連のトラブルシューティングの設定
表 18-8 PDStorage に関連するトラブルシューティング
オプション
定義
[PDStorage イベントを記録する]
PDStorage イベントがログに記録されます。
SAML 処理のトラブルシューティング
SAML 処理関連のトラブルシューティングの設定
表 18-9 SAML 処理のトラブルシューティング
オプション
定義
[ロギングを有効にする]
SAML 処理イベントがログに記録されます。
McAfee Web Gateway 7.5.0
製品ガイド
565
18
トラブルシューティング
トラブルシューティングの設定
566
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
以下のリストは、Web セキュリティ ルールを構成するために使用できる項目について説明します。
目次
アクションのリスト
ブロック理由 ID のリスト
エラー ID のリスト
イベントのリスト
インシデント ID のリスト
プロパティのリスト
ワイルドカード式
アクションのリスト
以下の表に、ルールに使用できるアクションのリストを示します。
アクションはアルファベット順にリストされています。
表 A-1 アクションのリスト
アクション
説明
[Authenticate]
現在のサイクルにおけるルールの処理を停止します。
認証リクエストを Web オブジェクトへのアクセスをリクエストしたユーザーのクライアント
へ送信します。
次のサイクルで処理を続行します。
[Block]
リクエストされた Web オブジェクトへのアクセスをブロックします。
ルールの処理を停止します。
アプライアンスで次のリクエストが受信されたときに続行します。
[Continue]
次のルールの処理を続行します。
[Redirect]
Web オブジェクトからその他のオブジェクトへのアクセスをリクエストしたクライアントをリ
ダイレクトします。
McAfee Web Gateway 7.5.0
製品ガイド
567
A
構成リスト
ブロック理由 ID のリスト
表 A-1 アクションのリスト (続き)
アクション
説明
[Remove]
リクエストされた Web オブジェクトを削除します。
現在のサイクルにおけるルールの処理を停止します。
次のサイクルで処理を続行します。
[Stop Cycle]
現在のサイクルにおけるルールの処理を停止します。
リクエストされた Web オブジェクトへのアクセスはブロックされません。
次のサイクルで処理を続行します。
[Stop Rule Set] 現在のルール セットのルールの処理を停止します。
次のルール セットの処理を続行します。
ブロック理由 ID のリスト
次の表では、ブロック理由 ID とその意味について説明します。
®
ユーザー メッセージ テンプレートのブロック理由 ID を構成して、McAfee Web Reporter によりロギングするブ
ロック理由を特定する値を指定します。
表 A-2 ブロック理由 ID のリスト
568
ブロック理由 ID
説明
[0]
許可
[1]
内部エラー
[2]
アクションに使用されているデフォルトのメッセージ テンプレート
[3]
内部 URL フィルター エラー
[10]
URL フィルター データベースのエントリのためにブロックされました
[14]
式による URL フィルタリングに従ってブロックされました
[15]
リアルタイム分類子によりブロックされました
[20]
コンテンツ タイプの欠落によりブロックされました
[22]
メディア タイプによりブロックされました
[30]
複数部分のアーカイブが見つかったためにブロックされました
[35]
アーカイブがアーカイブ ハンドラーにより扱われなかったためにブロックされました
[80]
ウイルスが見つかったためにブロックされました
[81]
未承認のアクセスのためにブロックされました
[82]
不良なリクエストのためにブロックされました
[85]
内部マルウェア対策エラーのためにブロックされました
[92]
証明書の期限切れのためにブロックされました
[93]
証明書が失効したためにブロックされました
[94]
許可されていない証明機関(CA)のためブロックされました
[95]
不明な証明機関(CA)のためブロックされました
[97]
自己署名証明書のためにブロックされました
[98]
共通名が不一致のためにブロックされました
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
エラー ID のリスト
A
表 A-2 ブロック理由 ID のリスト (続き)
ブロック理由 ID
説明
[102]
指定されない証明書のためにブロックされました
[103]
接続が許可されないためにブロックされました
[104]
リバース プロキシの宛先が許可されないためにブロックされました
[140]
内部 DLP フィルター エラーのためにブロックされました
[150]
内部 Application Control フィルター エラーのためにブロックされました
[151]
許可されないアプリケーションに属するリクエストのためにブロックされました
[160]
Web Hybrid のポリシーが欠落しているためにブロックされました
[161]
Web アクセスが Web Hybrid により許可されていないためにブロックされました
[162]
Web Hybrid による URL フィルタリングのためにブロックされました
[200]
ユーザーの警告セッションが超えたためにブロックされました
[201]
ユーザーの時間クォータ セッションを超えたためにブロックされました
[202]
ユーザーの時間クォータ セッションを超えたためにブロックされました
[203]
ユーザーのボリューム クォータ セッションを超えたためにブロックされました
[204]
ユーザーのボリューム クォータを超えたためにブロックされました
[205]
ユーザーの承認済みのオーバーライド セッションが超えたためにブロックされました
[206]
アクティブなユーザーのブロック セッションのためにブロックされました
[300]
クォータのリダイレクトのためにブロックされました
[301]
認証のあるリダイレクトのためにブロックされました
[400]
承認済みのオーバーライド リダイレクトのためにブロックされました
エラー ID のリスト
以下の表に、ルールに使用できるエラー ID のリストを示します。
エラー ID は以下の数値範囲にグループ化されています。
10000–10049
プロパティまたはイベントの不正使用
10050–10099
ルール処理モジュールのエラー
10100–10199
一般エラー
11000–11999
ライセンス マネージャー エラー
12000–12999
アプライアンス システムに関連したエラー
13000–13999
持続データベース (PDStore) エラー
14000–14999
ウイルスおよびマルウェア フィルタリング エラー
15000–15999
URL フィルタリング エラー
16000–16999
ICAP クライアント エラー
20000–21000
プロキシ モジュール エラー
25000–25999
外部リスト エラー
26000–26999
Data Loss Prevention (DLP) エラー
McAfee Web Gateway 7.5.0
製品ガイド
569
A
構成リスト
エラー ID のリスト
32000–32999
クラウド ストレージ暗号化のエラー
34000-34999
シングル サインオン (MWG のみを使用) のエラー
表 A-3 エラー ID のリスト
570
エラー
ID
名前
説明
10000
WrongPropParams
$onPosition$: プロパティ $propName$ のパラメーター
またはタイプが間違っています。
10001
UnknownProperty
$onPosition$: ルール ‘$ruleName$’ エラー: プロパティ
送信者はプロパティ $propName$ を知りません。
10002
NoPropParam
$onPosition$: 提供されているプロパティ $propName$
にはパラメーターが指定されていません。
10003
WrongThirdPropParam
$onPosition$: プロパティ $propName$ の 3 つ目のパ
ラメーター タイプが間違っています。
10004
InvalidPropertyParameter
$onPosition$: プロパティ $propName$ のパラメーター
は無効です。理由: $reason$。
10005
InvalidPropertyParameter2
パラメーターは無効です。理由: $reason$。
10005
UnknownProperty2
$onPosition$: 不明なプロパティ $propName$。
10007
UnknownFunc
$onPosition$: 不明な関数 $funcName$。詳細:
$reason$。
10050
WrongOperator
$onPosition$: ルール '$ruleName$' エラー: 左側タイプ
$typeLeft$ および右手タイプ $typeRight$ に間違った
演算子が使用されました。
10051
WrongOperatorNoNames
$onPosition$: $action$ は失敗しました。$property$
のタイプは $typeName$ ですが、$formatType$ になり
ます。
10052
FormatError
$onPosition$: ユーザー定義のプロパティ '$propName
$' が見つかりません。理由: まだ設定されていません (初
期化されていない)。
10053
UserDefinedPropertyNotFound
$onPosition$: ユーザー定義のプロパティ '$propName
$' が見つかりません。理由: まだ設定されていません (初
期化されていない)。
10054
PropertyNotFound
$onPosition$: プロパティ'$propName$' が見つかりま
せん。理由: まだ設定されていません (初期化されていな
い)。
10055
NeedMoreDataOnLastCall
プロパティ '$propName$' 計算時にフィルターは
'NeedMoreData' を返したが、それ以上のデータがありま
せん。
10056
WrongPropState
$onPosition$: プロパティ $propName$ の状態は
$propState$ です。
10057
ZombieRuleElemIsExecuted
$rule$ (名前: '$name$'、ID: '$id$') はゾンビのため実行
できませんでした。理由: $reason$。
10058
SetPropertyFailed
$onPosition$: ルール '$ruleName$' エラー: イベントは
評価できませんでした。理由: $reason$。
10059
EventError
$onPosition$: $objName$ を $operation$ している間
にエラーが発生しました。理由: $reason$。
10100
ErrorDuringOperation
$onPosition$: $objName$ を $operation$ している間
にエラーが発生しました。理由: $reason$。
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
10101
InitializeFailed
$onPosition$:$objName$ を初期化/作成できませんでし
た。理由: $reason$。
11000
NoLicense
要求された機能 '$func$' はライセンスによってカバーさ
れていません。
12000
CannotOpenPipe
パイプを開けません。
12001
CannotOpenFile
エラー '$errno$' で、モード '$mode$' でファイル
'$name$' を開けません。
13000
NoUser
利用可能なユーザーがありません。
14000
AVError
AntivirusFilter エラー: $reason$。
14001
AVScanFailedFull
McAfee Gateway Anti-Malware エンジンを呼ぶことが
できません。すべての接続は使用中です。
14002
AVError
Anti-Malware フィルターの内部エラー
エラー メッセージの ID はエラー処理のルール
で使用されるので、McAfee Web Gateway
version 7.3 で導入された新しいエラー メッセ
ージおよび ID (14003、14004、14005) を構
成するため、アプライアンスにおけるこれらのル
ールを調整する必要があります。
エラー処理のためのライブラリ ルール セット
は、新しいメッセージおよび ID に適合するよう
に調整されました。
14003
AVError
フィルタリング中にタイムアウトが発生しました。
エラー メッセージ 14002 の注も参照してください。
14004
AVError
特別な更新が必要なため、フィルタリングできません。
エラー メッセージ 14002 の注も参照してください。
14005
AVError
スキャンに失敗しました。
エラー メッセージ 14002 の注も参照してください。
14010
ATDError
通信に失敗しました。
Advanced Threat Defense が実行されているサーバーと
の通信に失敗しました。
いくつかの理由が考えられます。たとえば、サーバーがオ
フラインの場合や要求がタイムアウトするなど、ネットワ
ークに問題がある場合があります。また、HTTP プロトコル
に問題がある場合や、サーバーから予期しない応答や不正
な要求が戻される場合も考えられます。
14011
ATDError
フィルタリング中にタイムアウトが発生しました。
設定した許容時間内に Advanced Threat Defense によ
る Web オブジェクトのスキャンが完了しませんでした。
デフォルトの許容時間は 10 分です。
McAfee Web Gateway 7.5.0
製品ガイド
571
A
構成リスト
エラー ID のリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
14012
ATDError
ファイルがスキャンできません。
Advanced Threat Defense が Web オブジェクトをスキ
ャンできません。
Advanced Threat Defense が戻したスキャン レポート
で、重大度の値が N/A に設定されます。
572
15000
TSDatabaseExpired
Global Threat Intelligence システム データベースの期
限切れエラー: データベースが期限切れです。'$desc$'。
15001
TSInvalidURL
URL '$url$' は無効です。関数 $func$。
15002
TSBinaryNotProperlyLoaded
バイナリは'$path$' からロードできませんでした。関数
$func$。
15003
TSCommon
Global Threat Intelligence システム エラー (コード:
$errorCode$)。関数 $func$。
15004
TSBinaryDoesNotExist
Global Threat Intelligence システム ライブラリはまだ
利用できません。関数 $func$。
15005
TSDatabaseNotProperlyLoaded
データベースは適切にロードされませんでした。関数
$func$。
15006
TSNoMem
Global Threat Intelligence システムはメモリ不足です。
関数 $func$。
15007
TSInsufficientSpace
Global Threat Intelligence システムのバッファーにスペ
ースが不足しています。関数 $func$。
15008
TSNetLookup
Global Threat Intelligence システム ネット エラー (コ
ード: TS_NET_ERROR)。関数 $func$。
15009
TSCommonNetLookup
Global Threat Intelligence システム ネット エラー (コ
ード: $errorCode$)。関数 $func$。
15010
TSPipe
Global Threat Intelligence システム パイプを開けませ
ん。関数 $func$。
16000
NoICAPServerAvailable
リストから利用可能な ICAP サーバーはありません。$list
$.
20000
CheckLongRunningConnection
長時間実行中の確認。
25000
不明エラーの発生
未分類のエラーが外部リスト モジュールで発生しました。
25001
データ取得中にエラー発生
データ取得中に未分類のエラーが外部リスト モジュールで
発生しました。
25002
データ変換中にエラー発生
外部リスト データが変換される際にエラーが発生しまし
た。
25003
データが多すぎる
外部ソースから取得できるリスト エントリ数の構成限界値
を超えました。
25004
データ取得中にタイムアウト
外部リスト データを取得するための構成タイムアウト値の
期限が切れました。
25005
データ アクセスの拒否
外部リスト データのソースにアクセスするために必要な権
限が、アプライアンスに与えられていません。
25006
リソースが存在しない
外部リスト データのソース、たとえば、ファイルまたは
Web サーバーが見つかりませんでした。
26001
DLP エンジンがロードされていない
DLP エンジンをロードできませんでした。
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
エラー ID のリスト
A
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
32002
パスワードを空にすることはできません。
外部データ ソースからパスワードを取得するときに、空の
パスワードを受信しました。
32003
フィルターの設定が無効です。
暗号化と復号を行うモジュールの設定が無効です。このエ
ラーが発生するのは非常にまれです。Web Gateway のポ
リシー設定に全般的な問題がある可能性があります。
32004
暗号化失敗: 不明なコンテンツ タイプ
タイプが不明なため、データを暗号化できません。クラウ
ド ストレージ サービスの説明が正しくない可能性があり
ます。
32005
暗号化失敗: メッセージ本文の解析に失敗
しました。
アップロード要求で送信された本文データが multi-part/
form-data 形式になっています。このタイプのデータは
Web Gateway で解析できません。
32006
暗号化失敗: ファイル名が取得できません。 暗号化が必要なデータを含むファイルの名前が取得できま
せん。
32007
暗号化失敗: 暗号 NNNN はサポートされ
ていません。
データの暗号化に使用された暗号が無効です。管理者が事
前に設定されたリストから暗号化を選択するため、この問
題は殆ど発生しません。
32008
暗号化失敗: salt の生成に失敗しました。
データの暗号化に必要な salt の生成プロセスが正常に実
行できません。この問題は通常、OpenSSL の内部エラーが
原因で発生します。
32009
暗号化失敗: キーの取得に失敗しました。
データの暗号化に必要なキーが取得できません。
32010
暗号化失敗: 暗号化の初期化に失敗しまし
た。
暗号化プロセスが初期化できません。
32011
暗号化失敗: データの暗号化に失敗しまし
た。
暗号化プロセスでエラーが発生しました。
32012
暗号化失敗: 復号の最終処理に失敗しまし
た。
暗号化プロセスが完了できません。
32013
暗号化失敗: 一般エラー
暗号化関連のその他のエラー
32014
復号失敗: 不明なコンテンツ タイプ
タイプが不明なため、データを復号できません。クラウド
ストレージ サービスの説明が正しくない可能性がありま
す。
32015
復号失敗: マルチパート メッセージの本文 クラウド ストレージ サービスがダウンロード要求に応答
はサポートされていません。
してデータを送信しましたが、応答データの本文が
multi-part/form-data 形式になっています。このタイプ
のデータは Web Gateway で復号できません。
32016
復号失敗: 暗号 NNNN はサポートされて
いません。
データの復号に使用された暗号が無効です。管理者が事前
に設定されたリストから復号を選択するため、この問題は
殆ど発生しません。
32017
復号失敗: キーの取得に失敗しました。
データの復号に必要なキーが取得できません。
32018
復号失敗: 復号の初期化に失敗しました。
復号プロセスが初期化できません。
32019
復号失敗: データの復号に失敗しました。
復号プロセスでエラーが発生しました。
32020
復号失敗: 復号の最終処理に失敗しました。 復号プロセスが完了できません。
32021
復号失敗: 一般エラー
復号関連のその他のエラー
34000
SSO フィルターの一般エラー
シングル サインオン プロセスでエラーが発生しました。
理由: '一般エラー...'
34001
SSO フィルターの一般エラー
ユーザーが存在しないクラウド コネクターでシングル サ
インオン アクセスを試みました。理由: 'コネクターがあり
ません'
McAfee Web Gateway 7.5.0
製品ガイド
573
A
構成リスト
イベントのリスト
表 A-3 エラー ID のリスト (続き)
エラー
ID
名前
説明
34002
CFM 設定エラー
CFM (Common Federation Module) の設定に誤りがあ
るため、エラーが発生しました。理由:'$reason$'
34003
SSO フィルターの一般エラー
シングル サインオン プロセスにクラウド コネクターが設
定されていません。理由: 'コネクター カタログがありませ
ん'
34004
SSO サービス不一致エラー
トークンの値がクラウド コネクターの値と一致しません。
サービスが一致していません。トークン ID: '$tokenid$'、
サービス ID: '$serviceid$'
34005
SSO サービスが有効になっていません
次のユーザーはクラウド アプリケーションを使用できませ
ん。領域: '$realm$'、ユーザー: '$userid$'、サービス ID:
'$serviceid$'
34006
SSO 非インライン モード エラー
非プロキシ モード (非インライン モード) のシングル サ
インオン プロセスでクラウド アプリケーションを使用で
きません。サービス ID: '$serviceid$
34050
MAS 一般エラー
一般エラー: 詳細については、エラー メッセージの説明を
参照してください。
34051
MAS 一般エラー
現在のユーザーに要求が許可されていません。
34052
MAS 一般エラー
MAS 内部要求が作成できません。
34060
MAS HTTP エラー
要求に対して MAS サーバーが HTTP エラーを戻しまし
た。詳細については、エラー ログを参照してください。
34070
MAS サーバー エラー
MAS サーバーがエラーを戻しました。詳細については、エ
ラー ログを参照してください。特に、MAS サーバーが戻し
たエラー コードを確認してください。
34080
MAS 接続エラー
接続エラーのため、MAS 要求が失敗しました。詳細につい
ては、エラー ログを参照してください。
34090
MAS 要求エラー
MAS 要求の送信中に内部エラーが発生しました。詳細に
ついては、エラー ログを参照してください。
34092
MAS 要求エラー
無効な MAS 内部構成: 詳細については、エラー ログを参
照してください。
34096
MAS 要求エラー
MAS サーバーに要求を送信しましたが、タイムアウトしま
した。
34097
MAS 一般エラー
MAS に要求を送信しましたが、MAS サーバーがデータを
戻さないため、エラーが発生しました。理由: $reason$
イベントのリスト
以下の表に、ルールに使用できるイベントのリストを示します。
イベントはアルファベット順にリストされています。
574
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
イベントのリスト
A
表 A-4 イベントのリスト
名前
説明
AntiMalware.MGAM.RewriteWatermarked
URL
McAfee Gateway Anti-Malware エ
ンジンによって URL に追加された透
かしを削除します。
Authentication.AddMethod
認証方法を追加します。
パラメーター
1 文字列: 認証方法の
名前
2 文字列: 認証方法の
値
3 ブール: true の場
合、既存の方法が上書
きされます。
Authentication.ClearCache
キャッシュをクリアします。
Authentication.ClearMethodList
認証方法リストをクリアします。
Authentication.ClearNTMLCache
NTML キャッシュをクリアします。
Authentication.GenerateICEResponse
シームレス認証を有効にするため、
McAfee Cloud Identity Manager に
対する応答で送信されるトークンを生
成します。
Authentication.SendOTP
認証するユーザーにワンタイム パスワ
ードを送信します。
BlockingSession.Activate
ブロック セッションを有効にします。
Body.Insert
現在処理中の要求または応答の本文に
文字列を挿入します。
1 数値: 挿入を開始す
るバイト位置
2 文字列: パターン
a. 二重引用符内に埋
め込まれた文字列
(" ..." には \ が前に
付けられた 16 進数
値も含まれる場合が
あります。)
または:
b. 16 進数値のシー
ケンス
Body.Remove
現在処理されている要求または応答の
本文からバイト数を削除します。
1 数値: 削除し始める
バイト位置
2 数値: 削除するバイ
ト数
McAfee Web Gateway 7.5.0
製品ガイド
575
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Body.Replace
現在処理中の要求または応答の本文か
ら一部を文字列と置換します。
1 数値: 置き換えを開
始するバイト位置
2 文字列: パターン
a. 二重引用符内に埋
め込まれた文字列
(" ..." には \ が前に
付けられた 16 進数
値も含まれる場合が
あります。)
または:
b. 16 進数値のシー
ケンス
Body.ToFile
指定されたファイルに現在処理されて
いる要求または応答の本文を書き込み
ます。
文字列: 本文が書き込
まれるファイルの名前
このファイルは、ディレクトリ /opt/
mwg/log/debug/
BodyFilterDumps に保管されます。
本文の 1 つまたは複数のチャンクをロ
ードされたときのみ、Body.ToFile イ
ベントが発生した場合のみ、本文は完全
にロードされていた後でのみファイル
に書き込まれます。
保管されたファイルがアプライアンス
のハード ディスクを占有しないように
するには、[構成] 、 [<アプライアンス
>] 、 [ログ ファイル マネージャー] 、
[詳細] の順に選択し、ユーザー インタ
ーフェースの自動削除を有効にします。
CloudEncryption.Encrypt
設定された暗号化アルゴリズムとイベ
ントのパラメーターに指定されたパス
ワードで、クラウド ストレージ データ
を暗号化します。
このイベントは、異なる設定とパスワー
ドで数回実行されます。このため、暗号
化も数回実行されます。
CloudEncryption.Decrypt
設定された復号アルゴリズムとパラメ
ーターに指定されたパスワードでデー
タを復号します。
このイベントは、異なる設定とパスワー
ドで数回実行されます。このため、復号
も数回実行されます。
このイベントに対する呼び出しの順番
は、暗号化イベントの呼び出しと逆にな
ります。
Connection.Mark
576
McAfee Web Gateway 7.5.0
接続マークを設定します。
数値: 接続数
製品ガイド
構成リスト
イベントのリスト
A
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
DSCP.Mark.Request
IP ヘッダー フィールドを設定します。 数値: DSCP ヘッダー
フィールドの値
このフィールドは、DSCP ヘッダー フ
ィールドといいます。データ パケット
が Web Gateway から要求された
Web サーバーに送信されると、DSCP
(Differentiated Services Code
Point) をサポートするネットワーク
デバイスで評価されます。
このフィールドには、0 から 63 までの
番号を設定できます。
このフィールドは、HTTP(S) 接続で送
信された要求に対してのみ設定されま
す。
このフィールドをイベントで設定する
場合、適用する Web Gateway ルール
に応じて、DSCP をサポートするネッ
トワーク デバイス (ルーターなど) の
情報を指定できます。
この方法でヘッダー フィールドを使用
するには、ネットワーク デバイスが正
しく設定されている必要があります。
たとえば、ストリーミング メディアの
ルールを適用する場合、ヘッダー フィ
ールドを特定の値に設定すると、ルータ
ーがデータ パケットを直接ルーティン
グし、接続が調整されます。また、ネッ
トワーク デバイスがある程度の負荷分
散を行うように、ヘッダー フィールド
を設定することもできます。
DSCP.Mark.Response
IP ヘッダー フィールドを設定します。 数値: DSCP ヘッダー
フィールドの値
このフィールドは、DSCP ヘッダー フ
ィールドといいます。データ パケット
が Web Gateway からクライアント
に戻されると、DSCP (Differentiated
Services Code Point) をサポートす
るネットワーク デバイスで評価されま
す。
このヘッダー フィールドには、0 から
63 までの番号を設定できます。
このヘッダー フィールドは、HTTP(S)
接続で送信された応答に対してのみ設
定されます。
このヘッダー フィールドをイベントで
設定する場合、適用する Web
Gateway ルールに応じて、DSCP をサ
ポートするネットワーク デバイス (ル
ーターなど) の情報を指定できます。
この方法でヘッダー フィールドを使用
するには、ネットワーク デバイスが正
しく設定されている必要があります。
McAfee Web Gateway 7.5.0
製品ガイド
577
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Email.Send
電子メールを送信します。
1 文字列: 受信者
2 文字列: 件名
3 文字列: 本文
キャッシュを有効にする
Web キャッシュを有効にします。
CompositeOpener を有効にする
Composite Opener を有効にします。
データ トリックルを有効にする
データ トリックルを有効にします。
FTP アップロードの進行状況を表示する
Web へのファイルのアップロードが実
行中であることを通知し、FTP クライ
アントに対する応答の送信を有効にし
ます。
ウイルスやマルウェアのスキャンで
Web Gateway の処理に時間がかかる
場合があります。この設定を行うと、こ
のような場合でも FTP クライアントで
のタイムアウトを防ぐことができます。
HTML Opener を有効にする
HTML Opener を有効にします。
メディア ストリーム スキャナーを有効にする
McAfee Gateway マルウェア対策エ
ンジンが提供するメディア ストリーム
スキャナーを有効にします。
ネクスト ホップ プロキシを有効にする
ネクスト ホップ プロキシの使用を有
効にします。
送信元 IP のオーバーライドを有効にする
異なる送信元 IP アドレスを 1 つの IP 文字列リスト: 他の IP
アドレスに置換します。
アドレスの置換に使用
する IP アドレスを文
字列形式で記述してい
るリスト
進行状況ページを有効にする
進行状況ページの表示を有効にします。
RuleEngine 追跡を有効にする
ルール処理モジュール (ルール エンジ
ン) が完了したアクティビティの追跡
を有効にします。
CA を持つ SSL クライアント コンテキストを有 証明機関によって発行されるクライア
ント証明書の送信を有効にします。
効にする
CA なしで SSL クライアント コンテキストを有 証明機関によって発行されていないク
ライアント証明書の送信を有効にしま
効にする
す。
578
SSL スキャナーを有効にする
SSL スキャニングのモジュールを有効
にします。
SafeSearchEnforcer を有効にする
SafeSearchEnforcer を有効にしま
す。
プロキシ制御を有効にする
プロキシ制御を有効にする
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
FileSystemLogging.WriteDebugEntry
デバッグ エントリを書き込みます。
1 文字列: デバッグ エ
ントリ
2 ブール: true の場
合、エントリは
stdout に書き込ま
れます。
FileSystemLogging.WriteLogEntry
エントリをログに書き込みます。
文字列: ログ エントリ
HTMLElement.InsertAttribute
HTML 要素に属性を挿入します。
1 文字列: 属性名
2 文字列: 属性値
HTMLElement.RemoveAttribute
HTML 要素から属性を削除します。
文字列: 属性名
HTMLElement.SetAttributeValue
属性を値に設定します。
1 文字列: 属性名
2 文字列: 属性を設定
する値
Header.Add
Header.AddMultiple
要求または応答にヘッダーを追加しま
す。
1 文字列: ヘッダー名
値のリストを含むヘッダーを要求また
は応答に追加します。
1 文字列: ヘッダー名
2 文字列: ヘッダー値
2 文字列のリスト: ヘ
ッダー値のリスト
Header.Block.Add
要求または応答にブロック ヘッダーを 1 文字列: ヘッダー名
追加します。
2 文字列: ヘッダー値
Header.Block.AddMultiple
値のリストを含むブロック ヘッダーを 1 文字列: ヘッダー名
要求または応答に追加します。
2 文字列のリスト: ヘ
ッダー値のリスト
Header.Block.RemoveAll
要求または応答から特定の名前を持つ 文字列: ヘッダー名
すべてのブロック ヘッダーを削除しま
す。
Header.ICAP.Response.Add
ICAP 応答にヘッダーを追加します。
1 文字列: ヘッダー名
2 文字列: ヘッダー値
Header.ICAP.Response.AddMultiple
ICAP 応答に値のリストとヘッダーを
追加します。
1 文字列: ヘッダー名
Header.ICAP.Response.RemoveAll
ICAP 応答 から特定の名前を持つすべ
てのヘッダーを削除します。
文字列: ヘッダー名
Header.RemoveAll
要求または応答から特定の名前のすべ
てのヘッダーを削除します。
文字列: ヘッダー名
Header.Response.Add
ブロック アクションが生成したページ
にヘッダーを追加します。
HTTP.GenerateResponse
要求サイクルで発生した要求に対して
応答を生成します。
McAfee Web Gateway 7.5.0
2 文字列のリスト: ヘ
ッダー値のリスト
文字列: 応答本体
製品ガイド
579
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
HTTP.SetStatus
応答サイクルの最後で HTTP ステータ 数値: HTTP ステータ
ス コードを設定します。
ス コード
ICAP.AddRequestInformation
ICAP 要求に情報を追加します。
1 文字列: 要求名
2 文字列: 追加された
情報
MediaType.Header.FixContentType
メディア本文の検査後に元のヘッダー
と本文が一致しないことが判明した場
合、メディア タイプ ヘッダーを適切な
ヘッダーに置き換えます。
通知
通知レベルのエントリを syslog に書
き込みます。
PDStorage.AddGlobalData.Bool
ブール タイプのグローバル変数を追加 1 文字列: 変数キー
します。
2 ブール: 変数値
PDStorage.AddGlobalData.Category
カテゴリ タイプのグローバル変数を追 1 文字列: 変数キー
加します。
2 カテゴリ: 変数値
PDStorage.AddGlobalData.Dimension
ディメンション タイプのグローバル変 1 文字列: 変数キー
数を追加します。
2 ディメンション: 変
数値
PDStorage. AddGlobalData.Hex
16 進タイプのグローバル変数を追加
します。
1 文字列: 変数キー
2 16 進数値: 変数値
PDStorage. AddGlobalData.IP
IP タイプのグローバル変数を追加しま 1 文字列: 変数キー
す。
2 IP: 変数値
PDStorage.AddGlobalData.IPRange
IP 範囲タイプのグローバル変数を追加 1 文字列: 変数キー
します。
2 IPRange: 変数値
PDStorage.AddGlobalData.List.Category
カテゴリ リスト タイプのグローバル
変数を追加します。
1 文字列: 変数キー
ディメンション リスト タイプのグロ
ーバル変数を追加します。
1 文字列: 変数キー
16 進リスト タイプのグローバル変数
を追加します。
1 文字列: 変数キー
IP リスト タイプのグローバル変数を
追加します。
1 文字列: 変数キー
PDStorage. AddGlobalData.List. Dimension
PDStorage.AddGlobalData.List.Hex
PDStorage. AddGlobalData.List.IP
580
文字列: ログ エントリ
McAfee Web Gateway 7.5.0
2 カテゴリのリスト:
変数値
2 ディメンションのリ
スト: 変数値
2 16 進数値のリスト:
変数値
2 IP のリスト: 変数値
製品ガイド
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage. AddGlobalData.List.IPRange
IP 範囲リスト タイプのグローバル変
数を追加します。
1 文字列: 変数キー
メディアタイプ リスト タイプのグロ
ーバル変数を追加します。
1 文字列: 変数キー
PDStorage.AddGlobalData.List.MediaType
2 IPRange のリスト:
変数値
2 MediaType のリス
ト: 変数値
PDStorage. AddGlobalData.List. Number
数値リスト タイプのグローバル変数を 1 文字列: 変数キー
追加します。
2 数値のリスト: 変数
値
PDStorage. AddGlobalData.List. String
文字列リスト タイプのグローバル変数 1 文字列: 変数キー
を追加します。
2 文字列のリスト: 変
数値
PDStorage. AddGlobalData.List. ワイルドカ
ード
ワイルドカード式リスト タイプのグロ 1 文字列: 変数キー
ーバル変数を追加します。
2 ワイルドカード式の
リスト: 変数値
PDStorage. AddGlobalData. MediaType
メディア タイプのグローバル変数を追 1 文字列: 変数キー
加します。
2 MediaType: 変数値
PDStorage. AddGlobalData.Number
数値タイプのグローバル変数を追加し
ます。
1 文字列: 変数キー
文字列タイプのグローバル変数を追加
します。
1 文字列: 変数キー
ワイルドカード式タイプのグローバル
変数を追加します。
1 文字列: 変数キー
PDStorage. AddGlobalData.String
PDStorage. AddGlobalData. ワイルドカード
2 数値: 変数値
2 文字列: 変数値
2 ワイルドカード式:
変数値
PDStorage. AddUserData.Bool
ブール タイプのユーザー変数を追加し 1 文字列: 変数キー
ます。
2 ブール: 変数値
PDStorage. AddUserData.Category
カテゴリ タイプのユーザー変数を追加 1 文字列: 変数キー
します。
2 カテゴリ: 変数値
PDStorage. AddUserData. Dimension
ディメンション タイプのユーザー変数 1 文字列: 変数キー
を追加します。
2 ディメンション: 変
数値
PDStorage. AddUserlData.Hex
16 進タイプのユーザー変数を追加し
ます。
1 文字列: 変数キー
IP タイプのユーザー変数を追加しま
す。
1 文字列: 変数キー
PDStorage. AddUserData.IP
McAfee Web Gateway 7.5.0
2 16 進数値: 変数値
2 IP: 変数値
製品ガイド
581
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
PDStorage. AddUserData.IPRange
IP 範囲タイプのユーザー変数を追加し 1 文字列: 変数キー
ます。
2 IPRange: 変数値
PDStorage. AddUserData.List. カテゴリ
カテゴリ リスト タイプのユーザー変
数を追加します。
1 文字列: 変数キー
ディメンション リスト タイプのユー
ザー変数を追加します。
1 文字列: 変数キー
16 進タイプ リストのユーザー変数を
追加します。
1 文字列: 変数キー
IP タイプ リストのユーザー変数を追
加します。
1 文字列: 変数キー
IP 範囲リスト タイプのユーザー変数
を追加します。
1 文字列: 変数キー
PDStorage. AddUserData.List. Dimension
PDStorage. AddUserData.List.Hex
PDStorage. AddUserData.List.IP
PDStorage.AddUserData.List.IPRange
PDStorage.AddUserData.List.MediaType
2 カテゴリのリスト:
変数値
2 ディメンションのリ
スト: 変数値
2 16 進数値のリスト:
変数値
2 IP のリスト: 変数値
2 IPRange のリスト:
変数値
1 文字列: 変数キー
2 MediaType のリス
ト: 変数値
PDStorage.AddUserData.List.Number
数値リスト タイプのユーザー変数を追 1 文字列: 変数キー
加します。
2 数値のリスト: 変数
値
PDStorage.AddUserData.List.String
文字列リスト タイプのユーザー変数を 1 文字列: 変数キー
追加します。
2 文字列のリスト: 変
数値
PDStorage.AddUserData.List.Wildcard
ワイルドカード式リスト タイプのユー 1 文字列: 変数キー
ザー変数を追加します。
2 ワイルドカード式の
リスト: 変数値
PDStorage.AddUserData.MediaType
メディアタイプのユーザー変数を追加
します。
PDStorage.AddUserData.Number
PDStorage.AddUserData.String
582
メディアタイプ リスト タイプのユー
ザー変数を追加します。
パラメーター
McAfee Web Gateway 7.5.0
数値タイプのユーザー変数を追加しま
す。
文字列タイプのユーザー変数を追加し
ます。
1 文字列: 変数キー
2 MediaType: 変数値
1 文字列: 変数キー
2 数値: 変数値
1 文字列: 変数キー
2 文字列: 変数値
製品ガイド
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage.AddUserData.Wildcard
ワイルドカード式タイプのユーザー変
数を追加します。
1 文字列: 変数キー
2 ワイルドカード式:
変数値
PDStorage.Cleanup
永続的に保存されているデータをクリ
ーンアップします。
PDStorage.DeleteAllUserData
永続的に保存されているユーザー デー
タをすべて削除します。
PDStorage.DeleteGlobalData
特定のタイプの永続的に保存されたグ
ローバル変数をすべて削除します。
文字列: 変数キー
PDStorage.DeleteUserData
特定のタイプの永続的に保存されたユ
ーザー変数をすべて削除します。
文字列: 変数キー
ProtocolDetector.ApplyFiltering
Web Gateway でサポートされるプロ
トコルで転送される Web トラフィッ
クの Web フィルタリング ルールを適
用します。
SNMP.Send.Trap.Application
アプリケーション情報を含む SNMP
トラップ メッセージを送信します。
SNMP.Send.Trap.System
システム情報を含む SNMP トラップ
メッセージを送信します。
SNMP.Send.Trap.User
ユーザー情報を含む SNMP トラップ
メッセージを送信します。
SNMP.Send.Trap.UserHost
ユーザーのホストに関する情報を含む
SNMP トラップ メッセージを送信し
ます。
1 数値: ユーザー ID
2 文字列: メッセージ
本文
1 数値: ユーザー ID
2 文字列: メッセージ
本文
3 IP: ホストの IP ア
ドレス
SSO.AddCredentials
クラウド アプリケーションのシングル 1
サインオン プロセスにログオンするユ
ーザーに新しい認証情報を作成します。
2
ユーザーを認証するため、ID プロバイ
ダー (IdP) という認証インスタンスが 3
認証情報を評価します (LDAP や
NTLM データベースなどが IDP にな
ります)。
4
新しい認証情報は、ID プロバイダーの
データベースに保存されます。
SSO.AddServices
文字列: ユーザー名
文字列: クラウド ア
プリケーション
JSON: JSON 形式の
認証情報
シングル サインオン プロセスのログ 1 文字列: ID プロバイ
オンでユーザーがアプリケーションを
ダー
選択できるように、クラウド アプリケ
2 文字列: ユーザー名
ーションを準備します。
クラウド アプリケーション
は、クラウド サービスともい
います。
McAfee Web Gateway 7.5.0
文字列: ID プロバイ
ダー
3 リスト: クラウド ア
プリケーションのリ
スト
製品ガイド
583
A
構成リスト
イベントのリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
SSO.DeleteCredentials
クラウド アプリケーションのシングル 1 文字列: ID プロバイ
サインオン プロセスにログオンするユ
ダー
ーザーの認証情報を削除します。
2 文字列: ユーザー名
ユーザーを認証するため、ID プロバイ
ダー (IdP) という認証インスタンスが 3 文字列: クラウド ア
認証情報を評価します (LDAP や
プリケーション
NTLM データベースなどが IDP にな
ります)。
4 JSON: JSON 形式の
認証情報
新しい認証情報は、ID プロバイダーの
データベースに保存されます。
SSO.ProcessFormLogin
シングル サインオン プロセスでクラ
ウド アプリケーションへのログインを
実行するため、フォーム形式でユーザー
に送信したデータを処理します。
ログオン フォームに以下のいずれかの
処理が実行されます。
• POST 要求でクラウド アプリケーシ
ョンにログオン フォームを送信する
と、ログオン フォームに挿入された
パスワード トークンが、シングル サ
インオンを要求したユーザーの本物
のパスワードで置換されます。
• ブラウザーから GET 要求を送信し
てユーザーのログオン フォームを要
求すると、フォームにスクリプト コ
ードを挿入して情報を入力し、クラウ
ド アプリケーションに転送します。
これは、シングル サインオン プロセス
にプロキシ (インライン) モードが設
定されている場合にのみ実行されます。
584
SSO.UpdateCredentials
クラウド アプリケーションのシングル 1 文字列: ID プロバイ
サインオン プロセスにログオンするユ
ダー
ーザーの認証情報を更新します。
2 文字列: ユーザー名
ユーザーを認証するため、ID プロバイ
ダー (IdP) という認証インスタンスが 3 文字列: クラウド ア
認証情報を評価します (LDAP や
プリケーション
NTLM データベースなどが IDP にな
ります)。
4 JSON: JSON 形式の
認証情報
新しい認証情報は、ID プロバイダーの
データベースに保存されます。
Statistics.Counter.Increment
カウンターの値を増やします。
Statistics.Counter.Reset
カウンターをリセットします。
文字列: カウンター名
Stopwatch.Reset
ルールセットの処理時間を測定する内
部時計を 0 に設定します。
文字列: ルール セット
名
Stopwatch.Start
ルールセットの処理時間を測定する内
部時計を開始します。
文字列: ルール セット
名
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
インシデント ID のリスト
表 A-4 イベントのリスト (続き)
名前
説明
パラメーター
Stopwatch.Stop
ルールセットの処理時間を測定する内
部時計を停止します。
文字列: ルール セット
名
Syslog
syslog にエントリを書き込みます。
1 数値: ログ レベル
0 – 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 – 情報
7 – デバッグ
2 文字列: ログ エント
リ
インシデント ID のリスト
以下の表に、ルールに使用できるインシデント ID のリストを示します。
インシデント ID は次の数値範囲にグループ化されます。
1-199
アプライアンス システムに関連するインシデント
200-299
コア サブシステム インシデント
300-399
モジュール インシデントの更新
400-499
ウイルスおよびマルウェア フィルタリングのインシデント
500-599
ログ ファイル マネージャーのインシデント
600-699
sysconfd デーモンのインシデント
700-799
プロキシ モジュールのインシデント
800-899
ウイルスおよびマルウェア フィルタリングのインシデント
900-999
認証インシデント
1000-1099
URL フィルタリング インシデント
1100-1199
クォータの管理インシデント
1200-1299
SSL 証明書インシデント
1300-1399
ICAP クライアント インシデント
1400-1499
メディア タイプ フィルタリング インシデント
1500-1599
オープナー インシデント
1600-1699
SSL 証明書チェーン インシデント
1700-1799
ユーザー インターフェース インシデント
1800-1849
外部リストのインシデント
1850-1899
アプリケーション フィルタリング インシデント
1900-1999
Data Loss Prevention (DLP) インシデント
McAfee Web Gateway 7.5.0
製品ガイド
585
A
構成リスト
インシデント ID のリスト
2000-2099
ストリーミング メディア フィルタリング インシデント
2100-2199
メディア タイプ フィルタリング インシデント
2200-2299
Dynamic Content Classifier インシデント
2300-2399
シングル サインオン サービスのインシデント
2400-2499
クラウド ストレージ暗号化のインシデント
2500-2549
McAfee Attribute Store (MAS) のインシデント
2550-2599
シングル サインオン (SSO) のインシデント
2650-2699
Cloud Access Security Broker (CASB) カタログのインシデント
3000-3200
集中管理インシデント
3200-3299
Web Hybrid インシデント
表 A-5 インシデント ID のリスト
586
インシデン
ト ID
説明
5
インシデント プロパティを使用するルールが実行されました。 1 システム
7
20
RAID モニタリングが重大ステータスまたは 1 つ以上のハー
ド ディスクへの障害を報告しました。
1 正常性モニター
4 (ま
たは
ハー
ドデ
ィス
クの
失敗
では
3)
21
S.M.A.R.T 正常性確認は HDD ハード ディスクのエラーをレ
ポートしました。
1 正常性モニター
4
22
ファイル システムの使用率が構成されている限界値を越えて
います。
1 正常性モニター
4
23
メモリの使用率が構成されている限界値を越えています。
1 正常性モニター
4
24
システム負荷が構成されている限界値を越えています。
1 正常性モニター
4
26
BBU RAID エラーを検出するためにチェックが実行されまし
た。チェックの間隔は 30 分です。
1 正常性モニター
4
200
ライセンス期限日が確認されました。
2 コア
6
201
アプライアンスは、すべての FIPS 140-2 セルフテストを正常 2 コア
に完了しました。
6
211
ダッシュボード レポート x のエントリの最大数を超えました。 2 統計
4
298
製品 x の更新が成功しました。
2 コア
6
299
製品 x の更新に失敗しました。
2 コア
3
250
リストのエントリが無効であるか、無視されます。
2 コア
3
301
ディスクの空き容量が十分でないため更新ファイルのダウンロ 3 アップデーター
ードを停止しました。
3
302
製品 x のダウンロードがノード y で失敗しました。
3 アップデーター
3
303
製品 x の更新がノード y で失敗しました。
3 アップデーター
3
304
ノード y の製品 x のステータスは最新のものです。
3 アップデーター
3
305
更新モジュールは更新サーバーに接続できませんでした。
3 アップデーター
3
321
製品 x のダウンロードがノード y で成功しました。
3 アップデーター
6
McAfee Web Gateway 7.5.0
元の場所の数値および名前
製品ガイド
重大
度
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
322
製品 x のダウンロードがノード y で成功しました。
3 アップデーター
6
323
顧客の購読リスト x の更新がノード y で成功しました。
3 顧客購読リスト マネージ
ャー
6
324
顧客の購読リスト x の更新がノード y、z、... で成功しました。 3 顧客購読リスト マネージ
ャー
3
325
ノード y の顧客購読リスト x のステータスは最新のものです。 3 顧客購読リスト マネージ
ャー
6
326
顧客の購読リスト x のダウンロードがノード y、z、... で失敗 3 顧客購読リスト マネージ
しました。
ャー
3
327
マカフィー の購読リスト x のダウンロードがノード y、z、... 3 アップデーター
で失敗しました。
3
328
マカフィー の購読リスト x の更新がノード y、z、... で失敗し 3 アップデーター
ました。
3
329
ノード y、z、... の マカフィー 購読リスト x のステータスは
最新のものです。
3 アップデーター
6
330
マカフィー の購読リスト x の更新がノード y で成功しまし
た。
3 アップデーター
6
331
スケジュール設定されたのジョブ x の処理に成功しました
3 スケジュール設定された
ジョブ マネージャー
6
332
スケジュール設定されたジョブ x の処理に失敗しました
3 スケジュール設定された
ジョブ マネージャー
3
333
更新可能なシステム リストの更新がノード y で失敗しました。 3 Central Updater
3
334
更新可能なシステム リストの更新がノード y で成功しました。 3 Central Updater
6
335
ノード y の更新可能なシステム リストのステータスは最新の
ものです。
3 Central Updater
6
340-349
種々の理由で移行に失敗します。
3 移行
6
501
ログ ファイル マネージャーはログ ファイルのプッシュに失敗 5 ログ ファイル マネージャ 3
しました。
ー
601
yum の更新に関わるデータ パッケージを適用するには、アプ
ライアンスの再起動が必要です。
6 mwg-update
4
666
FIPS 140-2 自己テストがノード y で失敗しました。ノード
は非 FIPS モードで実行中です。
1 FIPS
0
700
並列の接続数が構成されている負荷制限を越えています。アプ 2 プロキシ
ライアンスは過負荷状態になりました。アプライアンスに送信
された要求は遅れて受け入れられます。
2
701
アプライアンスが 30 秒以上過負荷状態です。アプライアンス 2 プロキシ
に送信された要求は遅れて受け入れられます。
2
702
アプライアンスは過負荷状態から解除されました。アプライア 2 プロキシ
ンスに送信された要求は遅れることなく受け入れられます。
4
703
並列の接続数が構成されている高負荷制限を越えています。ア 2 プロキシ
プライアンスは高負荷状態になりました。アプライアンスに送
信された要求は遅れて受け入れられます。
4
704
アプライアンスは 30 秒以上高負荷状態です。アプライアンス 2 プロキシ
に送信された要求は遅れて受け入れられます。
4
McAfee Web Gateway 7.5.0
製品ガイド
587
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
588
インシデン
ト ID
説明
705
並列の接続数が構成されている高負荷制限の 85 % 未満に下
2 プロキシ
がりました。アプライアンスはまだ高負荷状態です。アプライ
アンスに送信された要求は遅れて受け入れられます。
6
710
ネクスト ホップ プロキシ サーバーはダウンしていて、n 秒間 2 プロキシ
利用できません。
4
711
アプライアンスはネクストホップ プロキシ サーバーに接続で
きませんでした。
2 プロキシ
4
712
ネクストホップ プロキシ サーバーはエラー状態から通常の動
作に戻りました。
2 プロキシ
6
720
IP アドレス x、ポート y のリスナーを開けませんでした。
2 プロキシ
2
730
プロキシ モード構成の変更にはアプライアンスの再起動が必
要です。
2 プロキシ
2
740
並列接続数が IFP プロキシに構成されている過負荷制限を超
2 プロキシ
えています。過負荷状態になりました。新しい要求が処理され
ません。
2
741
過負荷状態は IFP プロキシに対して 30 秒以上続きます。新
しい要求が処理されません。
2 プロキシ
2
742
IFP プロキシの過負荷状態が終了しました。要求は遅延なく再 2 プロキシ
び受け付けます。
4
743
並列接続数が IFP プロキシに構成されている高負荷制限を超
2 プロキシ
えています。過負荷状態になりました。新しい要求が処理され
ません。
4
744
高負荷状態は IFP プロキシに対して 30 秒以上続きます。新
しい要求が処理されません。
2 プロキシ
4
745
並列接続数が IFP プロキシに構成されている高負荷制限の
85% 未満に減りました。引き続き高付加状態にあります。要
求は遅れて受け付けられます。
2 プロキシ
6
750
アプライアンスのエラーのために HSM エージェントのキーを 2 プロキシ
ロードできません。
2
751
エージェントのエラーのために HSM エージェントのキーをロ 2 プロキシ
ードできません。
2
850
ウイルスとマルウェア フィルタリングの MGAM モジュールの 2 マルウェア対策フィルタ
更新が正常に完了しました。
ー
6
851
ウイルスとマルウェア フィルタリングの MGAM モジュールの 2 マルウェア対策フィルタ
更新に失敗しました。
ー
3
852
MGAM モジュールの更新ファイルのダウンロードまたは検証
に失敗しました。
2 マルウェア対策フィルタ
ー
3
853
ウイルスとマルウェア フィルタリングの MGAM モジュールの 2 マルウェア対策フィルタ
バージョンは最新のものです。
ー
6
854
ウイルスとマルウェア フィルタリングの Ariva モジュールの
更新が正常に完了しました。
2 マルウェア対策フィルタ
ー
6
855
ウイルスとマルウェア フィルタリングの Avira モジュールの
更新に失敗しました。
2 マルウェア対策フィルタ
ー
3
856
Avira モジュールの更新ファイルのダウンロードまたは検証に
失敗しました。
2 マルウェア対策フィルタ
ー
3
857
ウイルスとマルウェア フィルタリングの Avira モジュールの
バージョンは最新のものです。
2 マルウェア対策フィルタ
ー
6
McAfee Web Gateway 7.5.0
元の場所の数値および名前
製品ガイド
重大
度
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
901
アプライアンスは Windows ドメイン x の NTML 認証のため 2 NTLM 認証フィルター
n サーバーに接続されています。
6
902
アプライアンスは Windows ドメイン x の NTML 認証のため 2 NTLM 認証フィルター
n サーバーに接続できませんでした。
4
903
アプライアンスは NTLM 認証のため Windows ドメイン x と 2 NTLM 認証フィルター
通信できませんでした。
3
910
アプライアンスは構成 ID n で LDAP サーバーに接続されま
す。
2 LDAP 認証フィルター
6
912
アプライアンスは構成 ID n で LDAP サーバーから切断されま 2 LDAP 認証フィルター
した。
4
913
アプライアンスは構成 ID n で LDAP サーバーに接続できませ 2 LDAP 認証フィルター
んでした。
3
920
認証ユーザーの情報を取得するために、コミュニケーションを 2 RADIUS 認証フィルター
開始しようと試みた後で、RADIUS サーバー x から応答を受け
取りました。
6
921
コミュニケーションが中断された後で、RADIUS サーバー x か 2 RADIUS 認証フィルター
ら応答をもう一度受け取りました。
6
923
RADIUS サーバー x への認証要求の送信され、タイムアウトに 2 RADIUS 認証フィルター
なりました。
3
931
アプライアンスは NTLM-Agent サーバー x に接続されまし
た。
2 NTLM エージェント認証
フィルター
6
932
アプライアンスは NTLM-エージェント サーバー x から切断さ 2 NTLM エージェント認証
れました。
フィルター
3
933
アプライアンスは NTLM エージェント サーバー x に接続でき 2 NTLM エージェント認証
ませんでした。
フィルター
3
940
証明書失効リストの更新が正常に完了しました。
2 認証フィルター
6
941
証明書失効リストの更新に失敗しました。
2 認証フィルター
4
942
証明書失効リストのダウンロードに失敗しました。
2 認証フィルター
4
943
証明書失効リストのステータスは最新のものです。
2 認証フィルター
6
1050
URL フィルター モジュールの更新が正常に完了しました。
2 URL フィルター
6
1051
URL フィルター モジュールの更新に失敗しました。
2 URL フィルター
3
1052
URL フィルター モジュールの更新ファイルのダウンロードま
たは検証に失敗しました。
2 URL フィルター
3
1053
URL フィルター モジュールのステータスは最新のものです。
2 URL フィルター
6
1650
更新された証明書失効リストが正常にダウンロードされ、ロー 2 証明書チェーン フィルタ
ドされました。
ー
6
1651
更新された証明書失効リストがダウンロードされましたが、ロ 2 証明書チェーン フィルタ
ードできませんでした。
ー
4
1652
更新された証明書失効リストをダウンロードできませんでし
た。
2 証明書チェーン フィルタ
ー
1653
すべての証明書失効リストのステータスは最新のものです。
2 証明書チェーン フィルタ
ー
6
1700
ユーザー インターフェースへのユーザーのログオンが正常に
完了しました。
7 ユーザー インターフェー
ス
4
McAfee Web Gateway 7.5.0
元の場所の数値および名前
製品ガイド
重大
度
589
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
590
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
1701
ユーザー インターフェースへのユーザーのログオンに失敗し
ました。
7 ユーザー インターフェー
ス
4
1702
ユーザーが要求を送信したクライアントの IP アドレスが変更
されました。
7 ユーザー インターフェー
ス
4
1710
ユーザーが正常に変更を保存しました。
7 ユーザー インターフェー
ス
6
1711
ユーザーは変更を保存できませんでした。
7 ユーザー インターフェー
ス
3
1800
外部リストから取得できたエントリの数が構成された制限を超 2 外部リスト フィルター
えました。
4
1801
外部リストから取得できたエントリのデータ量が構成された制 2 外部リスト フィルター
限を超えました。
4
1802
データが外部リストから取得されたときにエラーが発生しまし 2 外部リスト フィルター
た。
4
1803
外部リストから取得されたデータが返還されたときにエラーが 2 外部リスト フィルター
発生しました。
4
1804
データが外部リストから取得されたときにタイムアウト エラ
ーが発生しました。
2 外部リスト フィルター
4
1805
外部リストからデータを取得する権限が拒否されました。
2 外部リスト フィルター
4
1806
外部リスト データから取得するリソースを見つけることがで
きませんでした。
2 外部リスト フィルター
4
1850
アプリケーション フィルタリングのデータベースの更新が正
常に完了しました。
2 Application Control
6
1851
アプリケーション フィルタリングのデータベースの更新に失
敗しました。
2 Application Control
3
1852
アプリケーション フィルタリングのデータベースのダウンロ
ードに失敗しました。
2 Application Control
3
1853
アプリケーション フィルタリングのデータベースのステータ
スは最新のものです。
2 Application Control
6
1854
アプリケーション フィルタリングのデータベースのロードに
失敗しました。
2 Application Control
3
1855
アプリケーション フィルタリングのデータベースのロードが
正常に完了しました。
2 Application Control
6
1950
Data Loss Prevention (DLP) モジュールの更新が正常に完了 2 Data Loss Prevention
しました。
6
1951
Data Loss Prevention (DLP) モジュールの更新に失敗しまし 2 Data Loss Prevention
た。
3
1952
Data Loss Prevention (DLP) モジュールの更新ファイルのダ 2 Data Loss Prevention
ウンロードまたは検証に失敗しました。
3
1953
Data Loss Prevention (DLP) のステータスは最新のもので
す。
2 Data Loss Prevention
6
2001
ストリーム ディテクター モジュールでエラーが発生しました。 2 ストリーム ディテクター
2101
メディア タイプ フィルタリングのデータベースをロードでき
ませんでした。
2 メディア タイプ フィルタ 2
ー
2200
Dynamic Content Classifier の更新が正常に完了しました。
2 Dynamic Content
Classifier
McAfee Web Gateway 7.5.0
製品ガイド
2
6
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
元の場所の数値および名前
重大
度
2201
Dynamic Content Classifier の更新に失敗しました。
2 Dynamic Content
Classifier
3
2202
Dynamic Content Classifier の更新ファイルのダウンロード
または検証に失敗しました。
2 Dynamic Content
Classifier
3
2203
Dynamic Content Classifier のステータスは最新のもので
す。
2 Dynamic Content
Classifier
6
2350
シングル サインオン プロセスのファイルが正常に更新されま
した。
3 シングル サインオン サー 6
ビス
2351
シングル サインオン プロセスのファイルが更新できませんで
した。
3 シングル サインオン サー 3
ビス
2352
シングル サインオン プロセスの更新ファイルのダウンロード
または検証に失敗しました。
3 シングル サインオン サー 3
ビス
2353
シングル サインオン プロセスは最新の状態です。
3 シングル サインオン サー
ビス
2401
サービス データベースの読み込みに失敗しました。
3 クラウド ストレージ暗号
化
クラウド ストレージ暗号化モジュールがサポート対象のクラ
ウド ストレージ サービスの説明と一緒にファイルを読み込め
ない場合、このインシデントが報告されます。
2501
2
CFM インシデント
CFM との通信に問題があります。たとえば、CFM を使用でき
ません。このインシデントは通常、設定データを CFM にアッ
プロードするときに発生します。
インシデントのメッセージには、インシデントに関する情報
(HTTP コードなど) が示されます。
詳細については、エラー ログを参照してください。
2502
MAS エクスポート インシデント
MAS からデータをエクスポートできません。
2503
MAS インポート インシデント
MAS にデータをインポートできません。
2510
MAS 通信エラー
MAS 通信に関連するエラーが発生しました。
2550
SSO 更新成功
SSO モジュールが正常に更新されました。
2551
SSO 更新失敗
SSO モジュールの更新に失敗しました。
詳細については、エラー ログを参照してください。
2552
SSO ダウンロード エラー
SSO サーバーからファイルをダウンロードできません。
McAfee Web Gateway 7.5.0
製品ガイド
591
A
構成リスト
インシデント ID のリスト
表 A-5 インシデント ID のリスト (続き)
インシデン
ト ID
説明
2553
SSO カタログは最新です
元の場所の数値および名前
重大
度
更新サーバーに SSO ファイルの新しいバージョンはありませ
ん。
2650
SSO カタログ更新成功
SSO コネクター カタログが正常に更新されました。
2651
SSO カタログ更新失敗
SSO コネクター カタログの更新に失敗しました。
詳細については、エラー ログを参照してください。
2652
SSO カタログ ダウンロード エラー
SSO コネクター カタログ ファイルを更新サーバーからダウン
ロードできません。
2653
SSO カタログは最新です
更新サーバーに SSO コネクター カタログ ファイルの新しい
バージョンはありません。
3000
3
集中管理構成の 1 つ以上のノードで、ストレージと構成が同期 3 集中管理
されていません。
非同期ノードの変更数
このインシデントはルート ノードにのみ記録されます。
3001
インシデント 3000 が発生した後、すべての集中管理構成のノ 3 集中管理
ードが再度同期されたステータスになります (保管および構成
関連)。
6
3005
共有データの送信後、集中管理構成の 1 つ以上のノードが適切 3 集中管理
に応答しませんでした。
3
変更に対して適切に応答しなかったノード数
このインシデントは、すべてのノードに対して共有データが送
信された場合にのみ、ルート ノードにだけ記録されます。
592
3006
インシデント 3004 が発生した後、すべての集中管理構成のノ 3 集中管理
ードが適切にそれらへの共有データの送信に応答しました。
3200
McAfee SaaS Web Protection へのリストの送信が正常に終
了しました。
3 Web Hybrid
6
3201
McAfee SaaS Web Protection へのリストの送信に失敗しま
した。
3 Web Hybrid
3
3205
McAfee SaaS Web Protection からリストが正常にダウンロ
ードされ、保管されました。
3 Web Hybrid
6
3206
McAfee SaaS Web Protection からリストがダウンロードさ
れず、保管されませんでした。
3 Web Hybrid
3
3210
同期状態を特定できません。
3 Web Hybrid
3
3211
API バージョンの不一致など、McAfee SaaS Web
Protection の API でエラーが発生しました。
3 Web Hybrid
3
3250
McAfee SaaS Web Protection との同期状態は問題ありませ
ん。
3 Web Hybrid
6
McAfee Web Gateway 7.5.0
6
製品ガイド
A
構成リスト
プロパティのリスト
プロパティのリスト
以下の表は、ルールで使用できるプロパティのリストです。
プロパティの順序
プロパティはアルファベット順にリストされています。ただし、リストの作成では、プロパティ名の部分を考慮に入
れます。名前の部分は大文字で始まり、多くの場合、ピリオドでも区切られます。
たとえば、Body.HasMimeHeaderParameter は Body.Hash より前に表示されます。
プロパティのコンテキスト
プロパティが使用されるルールとルール セットを簡単に確認できます。
1
ユーザー インターフェースで [検索] をクリックします。[参照するオブジェクトの検索] で [プロパティ] を選
択し、検索するプロパティを選択します。
プロパティを使用するルールが表示されます。たとえば、Antimalware.Infected の場合、[ウイルスを検出
したらブロック] ルールが表示されます。
2
ルールを選択して、[コンテキストを表示] をクリックします。
ルール セットに含まれるルールとプロパティが表示されます。たとえば、Antimalware.Infected のルール
は、[Gateway Anti-Malware] ルール セット内に表示されます。
プロパティ (A ~ H)
以下の表では、A から H で始まるプロパティを説明します。
表 A-6 プロパティ - A
名前
タイプ
説明
パラメーター
Antimalware.Avira.VersionString
文字列
スキャン ジョブを実行する Avira エン
ジンのバージョン
Antimalware.Infected
ブール
true の場合、Web オブジェクトで感染
が検出されています。
Antimalware.Proactive. Probability
数値
Web オブジェクトがマルウェアである
可能性
可能性がパーセントで表示されます。1
から 100 までの数字で表されます。
Antimalware.MATD.GetReport
ブール
true の場合、Advanced Threat
Defense がスキャンする Web オブジ
ェクトにスキャン レポートが存在して
います。
Antimalware.MATD.Hash
文字列
ダウンロード要求に応じて Web サー
バーが受信し、McAfee Advanced
Threat Defense がスキャンしたファ
イルの識別に使用するハッシュ値。
McAfee Web Gateway 7.5.0
製品ガイド
593
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
タイプ
Antimalware.MATD.InitBackgroundScan ブール
説明
パラメーター
true の場合、現在のトランザクション
のデータが記録されています。Web の
アクセス要求と Web サーバーからの
応答に関するデータも記録されます。
数値: スキャ
ンを開始する
内部要求が受
け入れられる
までの最大期
間 (秒)
スキャンする Web オブジェクトが要
求側のユーザーに転送された場合、
Advanced Threat Defense が実行す
るスキャンの準備段階でこのデータが
記録されます。
スキャンを開始するために、内部要求も
送信されます。
この要求がプロパティのパラメーター
で設定したタイムアウト (秒) の前に拒
否されたため、Advanced Threat
Defense が実行する追加のスキャンが
失敗しています。
Antimalware.MATD.IsBackgroundScan
ブール
true の場合、Advanced Threat
Defense が追加スキャンの準備段階で
記録されたデータを使用し、日付で指定
された Web オブジェクトのスキャン
を実行しています。
Antimalware.MATD.Probability
数値
Web オブジェクトの悪質さを表す重大
度。低いほうから 1 から 5 で表しま
す。
オブジェクトが McAfee Advanced
Threat Defense でスキャンされると、
重大度が表示されます。
Antimalware.MATD.Report
文字列
Advanced Threat Defense がスキャ
ンした Web オブジェクトのレポート
このレポートは JSON データ形式で生
成されます。
Antimalware.MATD.Server
文字列
Web オブジェクトのスキャン時に
Advanced Threat Defense を実行し
ていたサーバー
サーバーは URL で表されます。例:
http://matdserver300
594
Antimalware.MATD.TaskID
文字列
Web オブジェクトのスキャン時に
Advanced Threat Defense が実行し
たタスクの ID
Antimalware.MATD.VersionString
文字列
スキャン ジョブの実行時に使用されて
いた Advanced Threat Defense のバ
ージョン
Antimalware.MGAM.VersionString
文字列
スキャン ジョブを実行する McAfee
Gateway マルウェア対策エンジンの
バージョン
Antimalware.VersionString
文字列
Web Gateway がスキャン ジョブの実
行時に使用したウイルス/マルウェア
フィルタリングのエンジンに関するバ
ージョン情報
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
タイプ
説明
パラメーター
Antimalware.VirusNames
文字列リス
ト
Web オブジェクトで検出されたウイル
ス名のリスト
Application.IsHighRisk
ブール
true の場合、Web セキュリティでアプ
リケーションの危険度が高レベルと見
なされています。
Application.IsMediumRisk
ブール
true の場合、Web セキュリティでアプ
リケーションの危険度が中レベルと見
なされています。
Application.IsMinimalRisk
ブール
true の場合、Web セキュリティでアプ
リケーションの危険度が最小レベルと
見なされています。
Application.IsUnverified
ブール
true の場合、Web セキュリティでアプ
リケーションへのアクセスの危険度が
確認されていません。
Application.Name
Applcontrol アプリケーションの名前
Application.Reputation
数値
アプリケーションのレピュテーション
スコア
Application.ToString
文字列
文字列に変換されるアプリケーション
の名前
Authentication.Authenticate
ブール
true の場合、認証エンジンが呼び出さ
れ、設定済みの方法が適用されていま
す。たとえば、認証方法が NTLM で、
ユーザーが正常に認証されています。
Applcontrol:
変換するアプ
リケーション
名
Authentication.IsAuthenticated
プロパティと
Authentication.UserName プロ
パティにも値が設定されています。
false の場合、設定済みの認証方法が正
常に適用されていません。たとえば、認
証情報が送信されていなかったり、無効
な認証情報が送信されている可能性が
あります。
Authentication.CacheRemainingTime
数値
認証情報がキャッシュからクリアされ
るまでの残り時間 (秒)
Authentication.Failed
ブール
true の場合、ユーザーが認証情報を入
力していますが、認証に失敗していま
す。
Authentication.FailureReason
数値
ユーザーの認証が失敗した理由を表す
番号
Authentication.GetUserGroups
文字列リス
ト
認証プロセスが適用されるユーザー グ
ループのリスト
Authentication.IsAuthenticated
ブール
true の場合、ユーザーの認証に成功し
ています。
認証。IsLandingOnServer
ブール
true の場合、ユーザーに Cookie の認
証が適用されています。
Authentication.IsServerRequest
ブール
true の場合、認証サーバーによる認証
がユーザーに要求されています。
Authentication.Method
文字列
ユーザーの認証方法。例: LDAP
McAfee Web Gateway 7.5.0
製品ガイド
595
A
構成リスト
プロパティのリスト
表 A-6 プロパティ - A (続き)
名前
タイプ
説明
パラメーター
Authentication.OTP.Context
文字列
暗号化形式でワンタイム パスワード
ユーザーを確認するために必要な情報
Authentication.SendOTP イベン
トが実行されると、この値がプロパティ
に設定されます。
認証サーバー (OTP を使用した時間/IP
ベースのセッションまたは許可オーバ
ーライド) ライブラリ ルール セットの
ルールが処理されると、HTTP プロトコ
ルの応答ヘッダーに情報が送信されま
す。
Authentication.RawCredentials
文字列
クライアントまたはネットワークの他
のインスタンスからアプライアンスが
受信した形式のユーザー認証情報
このプロパティをルールの設定で使用
すると、単純な
Authentication.UserName プロ
パティに対して処理が実行され、ユーザ
ーの認証情報を可読形式に変換する時
間が短縮されるため、処理速度が向上し
ます。
Authentication.RawUserName
文字列
クライアントまたはネットワークの他
のインスタンスからアプライアンスが
受信した形式のユーザー名
このプロパティをルールの設定で使用
すると、単純な
Authentication.UserName プロ
パティに対して処理が実行され、ユーザ
ー名を可読形式に変換する時間が短縮
されるため、処理速度が向上します。
Authentication.Realm
文字列
認証領域。例: Windows ドメイン
Authentication.UserGroups
文字列のリ
スト
認証プロセスが適用されるユーザー グ
ループのリスト
Authentication.UserName
文字列
認証プロセスが適用されるユーザー名
表 A-7 プロパティ - B
596
名前
タイ 説明
プ
Block.ID
数値 要求をブロックしたアクション ID
Block.Reason
文字 要求をブロックしたアクションの理
列
由名
BlockingSession.IsBlocked
ブー true の場合、ユーザーにブロック
ル
セッションが有効になっています。
BlockingSession。
RemainingSession
数値 ブロックするセッションの残り時間
(分)
BlockingSession。SessionLength
数値 ブロックするセッションの時間の長
さ (分)
Body.ChangeHeaderMime
ブー true の場合、Web オブジェクトの
ル
本文と一緒に MIME 形式で送信さ
れたヘッダーが変更されています。
McAfee Web Gateway 7.5.0
パラメーター
製品ガイド
構成リスト
プロパティのリスト
A
表 A-7 プロパティ - B (続き)
名前
タイ 説明
プ
パラメーター
Body.ClassID
文字 Web オブジェクトのクラスの ID
列
Body.Equals
ブー true の場合、Web オブジェクトの 1 数値: パターンが開始され
ル
本文がプロパティのパラメーターに
る場所のバイト位置
指定されたパターンと一致していま
す。
2 文字列: パターン
a.二重引用符内に文字列が
埋め込まれます (「...」は
\ が付けられた 16 進値も
含む場合があります。)
または:
b. 16 進値のシークエンス
Body.FileName
文字 Web オブジェクトの本文に埋め込
列
まれたファイル名。例: アーカイブ
のファイル
Body.FullFileName
文字 ドキュメントまたはアーカイブなど
列
埋め込みエントリ名も含む Web オ
ブジェクトの本文に埋め込まれたフ
ァイル名
複数の名前が指定されている場合に
は、名前が | (パイプ) 記号で区切ら
れています。例: test.zip|
test.doc
Body.HasMimeHeader
ブー true の場合、MIME 形式で送信され 文字列: ヘッダー名
ル
たマルチパート オブジェクトの本
文に、指定されたヘッダーが含まれ
ています。
Body.HasMimeHeaderParameter
ブー true の場合、MIME 形式で送信され 1 文字列: ヘッダー名
ル
たマルチパート オブジェクトの本
文に、指定されたヘッダー パラメー 2 文字列: ヘッダー パラメ
ターが含まれています。
ーター名
Body.Hash
文字 Web オブジェクトの本文にプロパ
列
ティ パラメーターで指定されてい
るハッシュ タイプの値
文字列: ハッシュ タイプ
ハッシュ タイプとしては、md5、
sha1、sha256、sha512 などが
あります。
Body.IsAboveSizeLimit
ブー true の場合、Web オブジェクトの
ル
本文が制限サイズを超えています。
Body.IsCompleteWithTimeout
ブー true の場合、プロパティ パラメー 数値: オブジェクトを完全に
ル
ターに指定された時間 (ミリ秒) が 送信する時間
経過する前に、Web オブジェクトの
本文がアプライアンスに完全に送信
されています。
Body.IsCorruptedObject
ブー true の場合、Web オブジェクトの
ル
本文に含まれるアーカイブが破損し
ています。
McAfee Web Gateway 7.5.0
製品ガイド
597
A
構成リスト
プロパティのリスト
表 A-7 プロパティ - B (続き)
名前
タイ 説明
プ
パラメーター
Body.IsEncryptedObject
ブー true の場合、Web オブジェクトの
ル
本文に含まれるアーカイブは暗号化
されています。
Body.IsMultiPartObject
ブー true の場合、Web オブジェクトの
ル
本文に含まれるアーカイブが複雑な
構造になっています (マルチパート
を含む)。
Body.IsSupportedByOpener
ブー true の場合、複雑な Web オブジェ
ル
クトの本文に対してアプライアンス
でオープナー デバイスを利用でき
ます。例: アーカイブの本文
Body.MimeHeaderParameterlValue
文字 MIME 形式で送信された Web オブ 1 文字列: ヘッダー名
列
ジェクト本文のヘッダー パラメー
2 文字列: ヘッダー パラメ
ターの値
ーター値
Body.MimeHeaderValue
文字 MIME 形式で送信された Web オブ 文字列: ヘッダー値
列
ジェクト本文のヘッダー値
Body.Modified
ブー true の場合、アプライアンス ジュ
ル
ールが Web オブジェクトの本文を
変更しています。
Body.NestedArchive Level
数値 アーカイブのアーカイブ部分の現在
のレベル
Body.NotEquals
ブー false の場合、Web オブジェクトの 1 数値: パターンが開始され
ル
本文がプロパティ パラメーターに
る場所のバイト位置
指定されているパターンに一致しま
す。
2 文字列: パターン
a.二重引用符内に文字列が
埋め込まれます (「...」は
\ が付けられた 16 進値も
含む場合があります。)
または:
b. 16 進値のシークエンス
Body.NumberOfChildren
598
McAfee Web Gateway 7.5.0
数値 Web オブジェクトの本文に埋め込
まれたオブジェクト数
製品ガイド
構成リスト
プロパティのリスト
A
表 A-7 プロパティ - B (続き)
名前
タイ 説明
プ
パラメーター
Body.PositionOfPattern
数値 Web オブジェクトの本文が開始す
るパターン検索のバイト位置
1 文字列: 検索するパターン
サブ文字列が見つからない場合に
は、-1 が戻されます。
a.二重引用符内に文字列が
埋め込まれます (「...」は
\ が付けられた 16 進値も
含む場合があります。)
または:
b. 16 進値のシークエンス
2 数値: パターンの検索が開
始されるバイトの位置
3 数値: 検索の長さ (バイト
では、0 つの手段がオフセ
ットからオブジェクトの末
尾まで検索されます。)
Body.Size
数値 Web オブジェクトの本文のサイズ
(バイト)
Body.Text
文字 Web オブジェクトの本文のテキス
列
ト
Body.ToNumber
数値 Web オブジェクトの本文の一部は
番号に変換されます (指定された位
置で開始される最大 8 バイト)
ビッグエンディアンまたはリトルエ
ンディアン形式を使用して変換でき
ます。
1 数値: 変換部分が開始され
る場所のバイト位置
2 数値: 変換部分の長さ (最
大 8 バイト)
最初のパラメーターと 2
番目のパラメーターの
Body.Size プロパティの
値が 0 の場合、本文全体が
変換されています。
3 ブール: true の場合、リト
ルエンディアン形式が変換
に使用されています。それ
以外の場合には、ビッグエ
ンディアン形式が使用され
ています。
Body.ToString
文字 文字列に変換された Web オブジェ 1 数値: 変換部分が開始され
列
クトの本文の一部
る場所のバイト位置
2 数値: 変換部分の長さ (バ
イト)
最初のパラメーターと 2
番目のパラメーターの
Body.Size プロパティの
値が 0 の場合、本文全体が
変換されています。
Body.UncompressedSize
McAfee Web Gateway 7.5.0
数値 アーカイブから抽出された後、アー
カイブ Web オブジェクト (バイト)
の本文のサイズ
製品ガイド
599
A
構成リスト
プロパティのリスト
表 A-7 プロパティ - B (続き)
名前
タイ 説明
プ
パラメーター
BooleanToString
文字 ブール値は文字列に変換されます
列
ブール: 変換するブール値
BytesFromClient
数値 クライアントから要求を受信したバ
イト数
BytesFromServer
数値 Web サーバーから応答を受信した
バイト数
BytesToClient
数値 クライアントへ送信された Web サ
ーバーの応答のバイト数
BytesToServer
数値 Web サーバーへ送信されたクライ
アントの応答のバイト数
表 A-8 プロパティ - C
名前
タ
イ
プ
説明
パ
ラ
メ
ー
タ
ー
Cache.IsCacheable
ブ
ー
ル
true の場合、Web サーバーに対する応答で送信したオブ
ジェクトが Web キャッシュに保存される場合がありま
す。
Cache.IsFresh
ブ
ー
ル
true の場合、Web オブジェクトに保存されたオブジェク
トは Web からダウンロードされているか、検証されてい
ます。
Cache.Status
文
字
列
Web オブジェクトのキャッシュ ステータス
値:
• TCP_HIT - Web オブジェクトは、ユーザーが要求した
キャッシュで見つかっています。
• TCP_MISS - Web オブジェクトがユーザーから要求
されていますが、キャッシュ内に存在しません。
• TCP_MISS_RELOAD - ユーザーによって Web オブ
ジェクトが要求されていますが、キャッシュは利用され
ていません。ユーザーが [更新] ボタンをクリックして、
Web サーバーからオブジェクトを直接取得するため、キ
ャッシュからは取得されていません。
オブジェクトはキャッシュに再度入力されました。
• TCP_MISS_VERIFY - ユーザーが Web オブジェク
トを要求したときに、オブジェクトがキャッシュに残っ
ていますが、Web サーバー上には古い認証情報が表示さ
れています。
オブジェクトの更新バージョンがサーバーから受信さ
れ、キャッシュに格納されます。
600
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-8 プロパティ - C (続き)
名前
タ
イ
プ
説明
パ
ラ
メ
ー
タ
ー
Category.ToShortString
文
字
列
URL カテゴリはカテゴリ省略された文字列に変換されま
す
カ
テ
ゴ
リ:
変
換
す
る
カ
テ
ゴ
リ
Category.ToString
文
字
列
URL カテゴリは文字列に変換されます
カ
テ
ゴ
リ:
変
換
す
る
カ
テ
ゴ
リ
Client.IM.Login
文
字
列
クライアントがインスタント メッセージ プロトコルでア
プライアンスへログ オンするために使用される ID
Client.IM.ScreenName
文
字
列
インスタント メッセージ プロトコルでアプライアンスと
通信するクライアントの画面名
Client.IP
IP クライアントの IP アドレス
Client.NumberOfConnections
数
値
CloudEncryption.IsEncryptionSupported ブ
ー
ル
クライアントからアプライアンスへの同時接続数
true の場合、現在処理中の要求でクラウド ストレージ サ
ービスにアップロードされるデータに暗号化が実行されま
す。
クラウド ストレージ暗号化モジュールは、クラウド ストレ
ージ サービスのサービス記述ファイルと Web Gateway
の設定を評価して、この値が true かどうか確認します。
たとえば、サポートされるクラウド ストレージ サービスが
定義されているクラウド ストレージ暗号化サポートの設
定を使用します。
CloudEncryption.IsDecryptionSupported ブ
ー
ル
true の場合、現在処理中の要求でクラウド ストレージ サ
ービスからダウンロードされるデータに暗号化が実行され
ます。
この値が true かどうか確認する方法については、
CloudEncryption.IsEncryptionSupported プロパ
ティの説明を参照してください。
McAfee Web Gateway 7.5.0
製品ガイド
601
A
構成リスト
プロパティのリスト
表 A-8 プロパティ - C (続き)
名前
タ
イ
プ
説明
パ
ラ
メ
ー
タ
ー
CloudEncryption.ServiceName
文
字
列
現在処理中の要求でデータをアップロードまたはダウンロ
ードするクラウド ストレージ サービスの名前
Web Gateway でクラウド ストレージ データの更新要求
またはダウンロード要求を受信すると、このプロパティに
値が設定されます。
ただし、このプロパティは、条件に一致した場合に暗号化
または復号を行うルール条件で使用しないでください。
この操作を行う場合には、
CloudEncryption.IsEncryptionSupported プロパ
ティと CloudEncryption.IsDecryptionSupported
プロパティを使用します。
CloudEncryption.CipherName
文
字
列
現在処理中の要求でアップロードまたはダウンロードされ
るクラウド ストレージ データの暗号化または復号に使用
されるアルゴリズム (暗号) 名
コマンド カテゴリ
文
字
列
リ
ス
ト
コマンドが属するカテゴリのリスト。例: FTP コマンド
カテゴリ
Command.Name
文
字
列
コマンド名
Command.Parameter
文
字
列
コマンドのパラメーター
Connection.Aborted
ブ
ー
ル
true の場合、接続は最終的に失敗し、接続が終了します。
Connection.IP
IP 接続で使用される IP アドレス
Connection.Protocol
文
字
列
接続で通信に使用されるプロトコル。例: HTTP
Connection.Protocol.IsIM
ブ
ー
ル
true の場合、接続の通信でインスタント メッセージ プロ
トコルが使用されます。
Connection.Protocol.Parent
文
字
列
Web Gateway が SOCKS プロトコルでプロキシとして
実行されているときに、クライアントとの通信で使用され
るプロトコルの埋め込みプロトコル。
このプロトコルは SOCKS で、HTTP や HTTPS など、様
々なプロトコルが埋め込まれます。
Connection.RunTime
数
値
Connection.SSL.TransparentCNHandling ブ
ー
ル
602
McAfee Web Gateway 7.5.0
直前まで開いていた接続の継続時間 (秒)
true の場合、接続で SSL セキュア透過型モードの通信を
実行します
製品ガイド
A
構成リスト
プロパティのリスト
表 A-8 プロパティ - C (続き)
名前
タ
イ
プ
説明
パ
ラ
メ
ー
タ
ー
Cycle.LastCall
ブ
ー
ル
true の場合、サイクルでデータの処理が完了します
Cycle.Name
文
字
列
処理サイクルの名前
Cycle.TopName
文
字
列
Web オブジェクトが埋め込みオブジェクト サイクルに処
理される前に処理されたサイクル名 (要求または応答)
表 A-9 プロパティ - D
名前
タ 説明
イ
プ
DataTrickling.Enabled
ブ true の場合、データ トラッキングが Web オ
ー ブジェクトのダウンロードに使用されます
ル
DateTime.Date.MonthDayNumber
数 月内の日数
値
DateTime.Date.MonthNumber
数 月数
値
DateTime.Date.ToString
文 現在の日付を表す文字列 (プロパティ パラメ
字 ーターで指定された形式)
列
パラメーター
次の 3 つの部分を含む文字
列。
1 1.%YYYY (年)
または:
%YY (最後の 2 文字)
または:
%Y (最後の 2 桁ですが最
後の 2 桁が 0 で開始され
る場合は 1 桁。例: 2009
の 9)
2 %MM (1 桁の数が挿入され
る前の 0 の月数)
または:
%M (0 が挿入されない。
例: 3 月に 3、12 月に 12)
3 %DD (日)
または:
%D
パラメーターが指定されてい
ない場合、形式は次のとおりに
なります。
%YYYY/%MM /%DD
McAfee Web Gateway 7.5.0
製品ガイド
603
A
構成リスト
プロパティのリスト
表 A-9 プロパティ - D (続き)
名前
タ 説明
イ
プ
DateTime.Date.WeekDayNumber
数 週内の日の数 (1 は日曜日)
値
DateTime.Date.Year
数 年 (4 字)
値
DateTime.Date.YearTwoDigits
数 年 (最後の 2 文字)
値
DateTime.Time.Hour
数 時間 (24 時間形式。例: p.m 1:00 は 13 時)
値
DateTime.Time.Minute
数 時間内の分
値
DateTime.Time.Second
数 1 分以下の秒
値
DateTime.Time.ToString
文 現在の時間を表す文字列 (プロパティ パラメ
字 ーターで指定された形式)
列
パラメーター
次の 3 つの部分を含む文字
列。
1 %h (時間)
または:
%hh (1 桁の時間のまえに
0 が挿入される)
2 %m (分)
または:
%mm
3 %s (秒)
または:
%ss
パラメーターが指定されてい
ない場合、形式は次のとおりに
なります。
%hh:%mm:%ss
604
DateTime.ToGMTString
文 文字列はグリニッチ時間形式で現在の日付お
字 よび時刻を表しています
列
例: 「2012 年 3 月 22 日 11:45:36 GMT」
DateTime.ToISOString
文 文字列は ISO 時間形式で現在の日付および時
字 刻を表しています
列
例: 「2012/03/22 11:45:12」
DateTime.ToNumber
数 1970 年 1 月 1 日からの秒数 (UNIX 開始時
値 間)
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-9 プロパティ - D (続き)
名前
タ 説明
イ
プ
パラメーター
DateTime.ToString
文 現在の日付と時刻を表す文字列 (プロパティ
字 パラメーターで指定された形式)
列
DateTime.Date.ToString
と
DateTime.Time.ToString
の部分を含む文字列
パラメーターが指定されてい
ない場合、形式は次のとおりに
なります。
%YYYY/%MM /%DD %hh:
%mm:%ss
DateTime. ToWebReporterString
文 文字列は Web Reporter 時間形式で現在の日
字 付および時刻を表しています
列
例: 「29/Oct/2012:14:28:15 +0000」
DecimalNumber.ToString
文 文字列に変換される小数
1 数値: 変換する小数
字
列 文字列は、パラメーターによって切り捨てられ 2 数値: 小数点の後ろの桁数
ます。
たとえば、このパラメーターに 2 を設定する
と、10.12345 は 10.12 になります。
Dimension.ToString
文 文字列に変換されるディメンション
字
列
ディメンション: 変換するデ
ィメンション
DLP.Classification.AnyText..Matched ブ true の場合、分類リストに 1 つ以上の項目が 文字列: 機密性または不適切
ー 含まれます。これにより、該当するテキスト文 性を確認するテキスト
ル 字列が重要または不適切な文字列かどうかを
判断します。
DLP.Classification.AnyText..
MatchedClassifications
DLP.Classification.AnyText..
MatchedTerms
文
字
列
リ
ス
ト
重要または不適切なテキスト文字列を記述し
ている分類リスト
文字列: 機密性または不適切
性を確認するテキスト
文
字
列
リ
ス
ト
true の場合、分類リストに 1 つ以上の項目が 文字列: 機密性または不適切
含まれます。これにより、該当するテキスト文 性を確認するテキスト
字列が重要または不適切な文字列かどうかを
判断します。
DLP.Classification.AnyText.Matched
が true に設定されている場合、リストがいっ
ぱいになります。
DLP.Classification.AnyText.Matched
が true に設定されている場合、リストがいっ
ぱいになります。
DLP.Classification.BodyText.Matched ブ true の場合、要求または応答の本文テキスト
ー に、分類リストで 1 つ以上の項目が重要また
ル は不適切としているコンテンツが含まれてい
ます。
DLP.Classification.BodyText.
MatchedClassifications
McAfee Web Gateway 7.5.0
文
字
列
リ
ス
ト
要求または応答の本文テキストで検出する重
要または不適切なコンテンツを指定する分類
リストの項目リスト
DLP.Classification.BodyText.Matched
が true に設定されている場合、リストがいっ
ぱいになります。
製品ガイド
605
A
構成リスト
プロパティのリスト
表 A-9 プロパティ - D (続き)
名前
タ 説明
イ
プ
DLP.Classification.BodyText.
MatchedTerms
文
字
列
リ
ス
ト
パラメーター
要求または応答の本文テキストに含まれる条
件のリスト。分類フィールドの 1 つ以上の項
目により、重要または不適切なコンテンツが設
定されます。
DLP.Classification.BodyText.Matched
が true に設定されている場合、リストがいっ
ぱいになります。
DLP.Dictionary.AnyText.Matched
ブ true の場合、特定のテキスト文字列がディレ
ー クトリ リストで重要または不適切なコンテン
ル ツとして扱われます。
文字列: 機密性または不適切
性を確認するテキスト
DLP.Dictionary.AnyText.
MatchedTerms
文
字
列
リ
ス
ト
文字列: 機密性または不適切
性を確認するテキスト
ディクショナリ リストで機密または不適切と
指定されている特定のテキスト文字列を含む
項目のリスト
DLP.Dictionary .AnyText.Matched が
true に設定されている場合、リストがいっぱ
いになります。
DLP.Dictionary.BodyText.Matched
ブ true の場合、ディレクトリ リストの 1 つ以上
ー の項目が重要または不適切としているコンテ
ル ンツが要求または応答の本文テキストに含ま
れています。
DLP.Dictionary.BodyText.
MatchedTerms
文
字
列
リ
ス
ト
要求または応答の本文テキストに含まれる条
件のリスト。ディクショナリ リストの項目に
従って、重要または不適切なコンテンツが判断
されます。
DLP.Dictionary.BodyText.Matched が
true に設定されている場合、リストがいっぱ
いになります。
DNS.Lookup
IP ホスト名に関して DNS 検索で見つけられた
の IP アドレスのリスト
リ
ス
ト
文字列: ホスト名
DNS.Lookup.Reverse
文 IP アドレスに関して DNS の逆引き参照で見
字 つけられたホスト名のリスト
列
リ
ス
ト
IP: IP アドレス
表 A-10 プロパティ - E
606
名前
タイプ
説明
Error.ID
数値
エラーの ID
Error.Message
文字列
エラーを説明するメッセージ
テキスト
McAfee Web Gateway 7.5.0
パラメーター
製品ガイド
A
構成リスト
プロパティのリスト
表 A-10 プロパティ - E (続き)
名前
タイプ
説明
パラメーター
ExtLists.Boolean
ブール
ブール値
1 文字列: 外部リスト ソ
ース (URL など) の識
別条件を保存している
値
2 文字列: 上記と同じ
3 文字列: 上記と同じ
ExtLists.Category
カテゴリ
URL カテゴリ
上記と同じ
ExtLists.CategoryList
カテゴリのリスト
URL カテゴリのリスト
上記と同じ
ExtLists.Double
倍精度
倍精度の値
上記と同じ
ExtLists.DoubleList
倍精度のリスト
倍精度の値のリスト
上記と同じ
ExtLists.Integer
整数
整数
上記と同じ
ExtLists.IntegerList
整数のリスト
整数のリスト
上記と同じ
ExtLists.IP
IP
IP アドレス
上記と同じ
ExtLists.IPList
IP のリスト
IP アドレスのリスト
上記と同じ
ExtLists.IPRange
IPRange
IP アドレスの範囲
上記と同じ
ExtLists.IPRangeList
IPRange のリスト
IP アドレス範囲のリスト
上記と同じ
ExtLists.JSON
JSON
JSON 要素のリスト
上記と同じ
ExtLists.LastUsedListName 文字列
前回使用した外部リスト モジ
ュールの設定名を表す文字列
ExtLists.MediaType
MediaType
メディア タイプ
上記と同じ
ExtLists.MediaTypeList
MediaType のリスト
メディア タイプのリスト
上記と同じ
ExtLists.String
文字列
文字列
上記と同じ
ExtLists.StringList
文字列リスト
文字列のリスト
上記と同じ
ExtLists.StringMap
文字列リスト
マップ タイプのキーと値の組 上記と同じ
み合わせを表す文字列のリス
ト
ExtLists.Wildcard
ワイルドカード式
ワイルドカード (正規表現)
上記と同じ
ExtLists.WildcardList
ワイルドカード式のリ
スト
ワイルドカード (正規表現)
のリスト
上記と同じ
表 A-11 プロパティ - F
名前
タイプ 説明
パラメーター
FileSystemLogging。MakeAnonymous
文字列 暗号化され匿名にされた文字列
文字列: 暗号化する文字列
表 A-12 プロパティ - G
名前
タイプ 説明
パラメーター
GTI.RequestSentToCloud ブール true の場合、URL カテゴリ情報の参照要求が Global Threat
Intelligence サーバーに送信しています。
McAfee Web Gateway 7.5.0
製品ガイド
607
A
構成リスト
プロパティのリスト
表 A-13 プロパティ - H
名前
タイプ
説明
パラメーター
Header.Block.Exists
ブール
true の場合、指定されたブロック ヘッダーが存在しま 文字列: ヘッ
す。
ダー名
Header.Block.Get
文字列
最初の値が指定されたブロック ヘッダーに対して見つ 文字列: ヘッ
かりました
ダー名
Header.Block.GetMultiple
文字列
リスト
指定されたブロック ヘッダーで見つかった値のリスト 文字列: ヘッ
ダー名
Header.Exists
ブール
true の場合、指定されたヘッダーにはアプライアンス 文字列: ヘッ
ダー名
で処理された要求または応答が含まれています。
実際にヘッダーに含まれている要求または応答を実行
するかどうかは、現在の処理サイクルによって決まりま
す。
Header.Get
文字列
アプライアンスで処理された要求または応答で指定さ
れたヘッダーが見つかった最初の値
文字列: ヘッ
ダー名
実際にヘッダーに含まれている要求または応答をする
かどうかは現在の処理サイクルにより決まります。
Header.GetMultiple
文字列
リスト
アプライアンスで処理された要求または応答に指定さ
れたヘッダーが見つかった値のリスト
文字列: ヘッ
ダー名
実際にヘッダーに含まれている要求または応答を実行
するかどうかは、現在の処理サイクルにより決まりま
す。
608
Header.ICAP.Request.Exists
ブール
true の場合、指定されたヘッダーが ICAP 通信で送信 文字列: ヘッ
された要求に含まれています。
ダー名
Header.ICAP.Request.Get
文字列
ICAP 通信で送信された要求の指定されたヘッダーで
見つかった最初の値
文字列: ヘッ
ダー名
Header.ICAP.Response.Exists ブール
true の場合、指定されたヘッダーに、ICAP 通信で受
信した応答が含まれています。
文字列: ヘッ
ダー名
Header.ICAP.Response.Get
文字列
ICAP 通信で受信した応答のヘッダーで見つかった最
初の値
文字列: ヘッ
ダー名
Header.Request.Exists
ブール
true の場合、指定されたヘッダーが要求に含まれてい 文字列: ヘッ
ます。
ダー名
Header.Request.Get
文字列
要求で指定されたヘッダーで見つかった最初の値
文字列: ヘッ
ダー名
Header.Request.GetMultiple
文字列
リスト
要求で指定されたヘッダーで見つかった値のリスト
文字列: ヘッ
ダー名
Header.Response.Exists
ブール
true の場合、指定されたヘッダーが応答に含まれてい 文字列: ヘッ
ます。
ダー名
Header.Response.Get
文字列
応答で指定されたヘッダーで見つかった最初の値
文字列: ヘッ
ダー名
Header.Response.GetMultiple 文字列
リスト
応答で指定されたヘッダーで見つかった値のリスト
文字列: ヘッ
ダー名
Hex.ToString
文字列
16 進値は文字列に変換されます
16 進法: 変
換する 16 進
値
HTML.Element.Attribute
文字列
文字列は HTML 要素の属性を表しています
HTML.Element.Dimension
ディメ
ンショ
ン
HTML 要素のディメンション (横幅と高さ)
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-13 プロパティ - H (続き)
名前
タイプ
説明
パラメーター
HTML.Element.HasAttribute
ブール
true の場合、HTML 要素に属性が指定されています。 文字列: 属性
名
HTML.Element.Name
文字列
HTML 要素名
HTML.Element.ScriptType
文字列
HTML のスクリプト タイプ。例: JavaScript または
Visual Basic Script
プロパティ (I ~ Q)
以下の表では、I から Q で始まるプロパティを説明します。
K または O で始まるプロパティはありません。
表 A-14 プロパティ - I
名前
タ
イ
プ
説明
ICAP.Policy
文
字
列
URL の ICAP 要求に含まれるポリシー名
ICAP.ReqMod.ResponseHeader.Exists
ブ
ー
ル
true の場合、指定されたヘッダーを含む
REQMOD モードで ICAP サーバーから応答
が送信されます
文字列: ヘ
ッダー名
ICAP.ReqMod.ResponseHeader.Get
文
字
列
REQMOD 応答で指定されたヘッダー見つか
った最初の値
文字列: ヘ
ッダー名
ICAP.ReqMod.ResponseHeader.GetMultiple
文
字
列
リ
ス
ト
REQMOD 応答で指定されたヘッダーで見つ
かった値のリスト
文字列: ヘ
ッダー名
ICAP.ReqMod.Satisfaction
ブ
ー
ル
true の場合、ICAP サーバーが要求を応答に
置換しています。
ICAP.RespMod.EncapsulatedHTTPChanged
ブ
ー
ル
true の場合、ICAP サーバーは HTTP 状態に
変更され、応答が RESPMOD モードで送信さ
れます。
ICAP.RespMod.ResponseHeader.Exists
ブ
ー
ル
true の場合、指定されたヘッダーを含む応答 文字列: ヘ
が RESPMOD モードで ICAP サーバーから ッダー名
送信されます。
ICAP.RespMod.ResponseHeader.Get
文
字
列
RESPMOD 応答で指定されたヘッダーで見つ 文字列: ヘ
かった最初の値
ッダー名
ICAP.RespMod.ResponseHeader.GetMultiple 文
字
列
リ
ス
ト
RESPMOD 応答で指定されたヘッダーで見つ 文字列: ヘ
かった値のリスト
ッダー名
McAfee Web Gateway 7.5.0
パラメータ
ー
特定の要求をブロックするメッセージを送信
した後、ICAP サーバーはこれを行います。
製品ガイド
609
A
構成リスト
プロパティのリスト
表 A-14 プロパティ - I (続き)
名前
タ
イ
プ
説明
パラメータ
ー
IM.Direction
文
字
列
チャット メッセージの送信の指示またはイン
スタント メッセージ プロトコルでにファイ
ルの転送およびアプライアンスでの処理
クライアントからアプライアンスにチャット
メッセージを送信するように指示できます。
例: サーバーからアプライアンスにメッセー
ジを送信するバイ、out として指定していた
ものを in として指定できます。
IM.FileName
文
字
列
インスタント メッセージ プロトコルで転送
するファイル名
IM.FileSize
数
値
インスタント メッセージ プロトコルで転送
するファイル サイズ (バイト)
IM.MessageCanSendBack
ブ
ー
ル
true の場合、ブロック メッセージまたはその
他のメッセージはアプライアンスからインス
タント メッセージ サービスのユーザーに送
信できます。
ブロック メッセージは、たとえば、チャット
が許可されていない時間にチャット メッセー
ジを送信したユーザーに送り返されます。
メッセージは一般的にユーザーがインスタン
ト メッセージ サービスにログオンする手順
を完了する前には送信されません。
IM.Notification
文
字
列
アプライアンスからインスタント メッセージ
サービスのユーザーに通知を送信するために
使用されるテンプレート名。例: ブロック メ
ッセージ
IM.Recipient
文
字
列
インスタント メッセージ プロトコルでチャ
ット メッセージまたはファイルを受信するク
ライアント名
また、チャット メッセージが受信者グループ
に送信されるときこの名前はグループ名にも
なります (グループ ID)
610
IM.Sender
文
字
列
インスタント メッセージ プロトコルでチャ
ット メッセージまたはファイルを送信するク
ライアント名
Incident.AffectedHost
IP
インシデントに含まれるホストの IP アドレ
ス。例: アプライアンスが接続できない Web
サーバー
Incident.Description
文
字
列
インシデントの標準テキスト形式のテキスト
説明
Incident.ID
数
値
インシデントの ID
McAfee Web Gateway 7.5.0
これらの ID のリストについては、「インシデ
ント ID のリスト」を参照してください。
製品ガイド
A
構成リスト
プロパティのリスト
表 A-14 プロパティ - I (続き)
名前
タ
イ
プ
説明
パラメータ
ー
Incident.Origin
数
値
インシデントの元のアプライアンス コンポー
ネントを指定する数
1 - アプライアンス システム
2 - コア サブシステム
3 - コーディネーター サブシステム
4 - マルウェア対策プロセス
5 - ログ ファイル マネージャー
6 - システム構成デーモン
7 - ユーザー インターフェース
8 - SaaS コネクター
9 - 未確認
さらに、インシデントの発生源は、
Incident.OriginName プロパティで識別
されます。
特定の ID を持つインシデントの発生源につ
いては、「インシデント ID のリスト」を参照
してください。
Incident.OriginName
文
字
列
インシデントの元であるアプライアンスの名
前。たとえば、Core または Log File
Manager
名前は Incident.Origin の下にリストされ
たメイン コンポーネントの 1 つである可能
性があります。
また、関連するメイン コンポーネントの
Incident.Origin の数でともに表示される
サブ コンポーネントの名前でもあります。
たとえば、Incident.OriginName の値は
2 Proxy となることがあります。
特定の ID を持つインシデントのオリジナル
名については、「インシデント ID のリスト」
を参照してください。
McAfee Web Gateway 7.5.0
製品ガイド
611
A
構成リスト
プロパティのリスト
表 A-14 プロパティ - I (続き)
名前
タ
イ
プ
説明
Incident.Severity
数
値
インシデントの重大度
パラメータ
ー
重大度:
0 - 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 - 情報
7 - デバッグ
これらのレベルは syslog エントリで使用さ
れているものと同じです。
特定の ID を持つインシデントの重大度につ
いては、「インシデント ID のリスト」を参照
してください。
IP.ToString
文
字
列
IP アドレスは文字列に変換されます
IP: 変換す
る IP アド
レス
IPRange.ToString
文
字
列
文字列に変換された IP アドレスの範囲
IPRange:
変換する
IP アドレ
スの範囲
表 A-15 プロパティ - J
名前
タイプ 説明
パラメーター
JSON.ArrayAppend
JSON 指定した要素が追加された JSON 配列
1 JSON: 配列
2 JSON: 追加する要素
JSON.AsBool
ブール 指定した JSON 要素にブール値として戻された
値
JSON: 要素
要素の値はブール値になります。
JSON.AsNumber
数値
指定した JSON 要素に数値として戻された値
JSON: 要素
要素の値は、長整数型、倍精度型または 16
進数になります。
JSON.AsString
文字列 指定した JSON 要素に文字列として戻された値
JSON: 要素
要素の値は文字列になります。
612
JSON.CreateArray
JSON 新しい空の JSON 配列
JSON.CreateObject
JSON 新しい空の JSON オブジェクト
JSON.CreateNull
JSON NULL の JSON 要素値
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-15 プロパティ - J (続き)
名前
タイプ 説明
パラメーター
JSON.FromBool
JSON ブール値から作成された JSON 要素値
ブール: JSON 要素値を作成
するブール値
JSON.FromNumber
JSON 数値から作成された JSON 要素値
数値: JSON 要素値を作成す
る数値
JSON.FromNumberList 文字列 数値リストから作成された JSON 要素値
数値リスト: JSON 要素値を
作成する数値リスト
JSON.FromString
JSON 文字列から作成された JSON 要素値
文字列: JSON 要素値を作成
する文字列
JSON.FromStringList
JSON 文字列リストから作成された JSON 要素値
文字列リスト: JSON 要素値
を作成する文字列リスト
JSON.GetAt
JSON 指定した配列の指定位置から取得した JSON 要
素値
1 JSON: 配列
2 数値: 要素の位置
JSON.GetByName
JSON 指定したオブジェクトから取得したキーで識別さ 1 JSON: オブジェクト
れる JSON 要素
2 文字列: 要素キー
JSON.GetType
文字列 指定した JSON 要素のタイプ
JSON: 要素
JSON.PutAt
JSON 指定した位置に要素が挿入された JSON 配列
1 JSON: 配列
2 数値: 要素の位置
3 JSON: 要素
JSON.ReadFromString JSON 指定した文字列から作成された JSON 要素
文字列: 要素を作成する文字
列
JSON.RemoveAt
1 JSON: 配列:
JSON 指定した位置から要素が削除された JSON 配列
2 数値: 要素の位置
JSON.RemoveByName JSON 指定したキーで識別された要素が削除された
JSON オブジェクト
1 JSON: オブジェクト
JSON.Size
数値
JSON: オブジェクトまたは
配列
JSON.StoreByName
JSON 指定したキーで要素値が格納されている JSON
オブジェクト
1 JSON: オブジェクト
文字列 文字列に変換された JSON 要素値
JSON: 変換する要素値
指定した JSON オブジェクトまたは配列の要素
数
2 文字列: 要素キー
2 文字列: 要素キー
オブジェクトが存在しない場合には、指定した名
前でオブジェクトが作成されます。
3 JSON: 要素値
JSON.ToString
要素値は文字列か、要素値の他のデータ形式
のいずれかになります。
K で始まるプロパティはありません。
McAfee Web Gateway 7.5.0
製品ガイド
613
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L
名前
タイプ
説明
License.RemainingDays
数値
ライセンスが期限
切れになるまでの
残り時間 (日)
List.LastMatches
文字列
2 つのリストが演
算子を使用して比
較されるとき、一
致することが判明
したすべての要素
を含む文字列。
例: リスト内の 1
つまたはリスト内
すべて
パラメーター
一致したものは、
演算子が評価する
リストとの関係が
存在しているか否
かに関係なく、追
加されていない場
合と同様にリスト
に追加されるだけ
です。
たとえば、リスト
A に要素 1、2、3
があり、リスト B
に 1、2、4 があ
るとします。
リストは両方とも
「リスト内の 1
つ」演算子で比較
されます。
リスト A を探す
には、実際にリス
ト B の要素を少
なくとも 1 つ以
上を含み、演算子
は要素の比較のみ
を必要とします。
一致するものが見
つかったため、
List.LastMatc
hes には 1 が含
まれます。
また、2 は 2 つの
リストで一致しま
すが、これは評価
されておらず、一
致するものも見つ
からないため
List.LastMatc
hes には含まれ
ていません。
リスト A の 1 つ
以上の要素がリス
ト B に存在し、両
方のリストが 1
と評価された後に
614
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
演算子が処理され
るため、評価され
ていません。
String.Belong
sToDomains
プロパティの値が
true の場合、最初
のパラメーターに
は
List.LastMatc
hes の値が文字
列として設定され
ます。
List.LastMatc
hes は、ドメイン
名のリストで一致
する文字列 (ドメ
イン名またはサブ
ドメイン名) を渡
します。
同じ処理が
URL.Host.Belo
ngsToDomain
s プロパティと
List.LastMatc
hes プロパティ
でも行われます。
List.OfCategory.Append
カテゴリのリ
スト
追加されたカテゴ 1 カテゴリのリスト: 追加するカ
リの URL
テゴリのリスト
2 カテゴリ: 追加するカテゴリ
List.OfCategory.ByName
カテゴリのリ
スト
URL カテゴリの 文字列: リスト名
リスト (名前で指
定)
List.OfCategory.Erase
カテゴリのリ
スト
指定されたカテゴ 1 カテゴリのリスト: 消去するカ
リが消去されてい
テゴリのリスト
る URL カテゴリ
のリスト
2 数値: 消去するカテゴリの位置
List.OfCategory.EraseElementRange
カテゴリのリ
スト
指定されたカテゴ 1 カテゴリのリスト: 消去するカ
リ範囲が消去され
テゴリのリスト
ている URL カテ
ゴリのリスト
2 数値: 消去する最初のカテゴリ
の位置
3 数値: 消去する最後のカテゴリ
の位置
List.OfCategory.EraseList
McAfee Web Gateway 7.5.0
カテゴリのリ
スト
その他のリストで 1 カテゴリのリスト: 消去するカ
も消去されている
テゴリのリスト
カテゴリの URL
カテゴリのリスト 2 カテゴリのリスト: 最初のリス
トで消去するカテゴリのリスト
製品ガイド
615
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfCategory.Find
数値
リストの URL カ
テゴリの位置
1 カテゴリのリスト: 位置を探す
カテゴリのリスト
2 カテゴリ: 位置を探すカテゴリ
List.OfCategory.Get
カテゴリ
リストの位置によ 1 カテゴリのリスト: カテゴリを
って指定される
含むリスト
URL カテゴリ
2 数値: リストのカテゴリ位置
List.OfCategory.GetElementRange
カテゴリのリ
スト
他のリストから抽 1 カテゴリのリスト: 抽出するカ
出される URL カ
テゴリのリスト
テゴリのリスト
1 カテゴリのリス 2 数値: 抽出する最初のカテゴリ
の位置
ト: 抽出するカ
テゴリのリスト 3 数値: 抽出する最後のカテゴリ
の位置
2 数値: 抽出する
最初のカテゴリ
の位置
3 数値: 抽出する
最後のカテゴリ
の位置
616
List.OfCategory.Insert
カテゴリのリ
スト
指定されたカテゴ 1 カテゴリのリスト: カテゴリに
リに挿入されてい
挿入するリスト
る URL カテゴリ
のリスト
2 カテゴリ: 挿入するカテゴリ
List.OfCategory.IsEmpty
ブール
true の場合、指定 カテゴリのリスト: 空になってい
されたリストは空 るか確認するリスト
です。
List.OfCategory.Join
カテゴリのリ
スト
2 つのリストが結 1 カテゴリのリスト: 結合する最
合することで作成
初のリスト
された URL カテ
ゴリのリスト
2 カテゴリのリスト: 結合する 2
番目のリスト
List.OfCategory.Reverse
カテゴリのリ
スト
オリジナルの順に カテゴリのリスト: オリジナルの
戻った URL カテ 順番のリスト
ゴリのリスト
List.OfCategory.Size
数値
リストの URL カ
テゴリの数
List.OfCategory.Sort
カテゴリのリ
スト
アルファベット順 カテゴリのリスト: ソートするリ
で保管されている スト
URL カテゴリの
リスト
List.OfCategory.ToShortString
文字列
省略名形式のリス カテゴリのリスト: 変換するリス
トに変換された
ト
URL カテゴリの
リスト
List.OfCategory.ToString
文字列
文字列んい変換さ カテゴリのリスト: 変換するリス
れた URL カテゴ ト
リのリスト
McAfee Web Gateway 7.5.0
カテゴリのリスト: カテゴリ数を
提供するリスト
製品ガイド
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfDimension.Append
ディメンショ
ンのリスト
ディメンションが 1 ディメンションのリスト: ディ
追加されたディメ
メンションを追加するリスト
ンションのリスト
2 ディメンション: 追加するディ
メンション
List.OfDimension.ByName
ディメンショ
ンのリスト
名前で指定するデ 文字列: リスト名
ィメンションのリ
スト
List.OfDimension.Erase
ディメンショ
ンのリスト
指定されたディメ 1 ディメンションのリスト: 消去
ンションが消去さ
するディメンションのリスト
れたディメンショ
ンのリスト
2 数値: 消去するディメンション
の位置
List.OfDimension.EraseElementRange ディメンショ
ンのリスト
指定されたディメ 1 ディメンションのリスト: 消去
ンションの範囲が
するディメンション範囲のリス
消去されたディメ
ト
ンションのリスト
2 数値: 消去する最初のディメン
ションの位置
3 数値: 消去する最後のディメン
ションの位置
List.OfDimension.EraseList
ディメンショ
ンのリスト
その他のリストで 1 ディメンションのリスト: 消去
も消去されている
するディメンションのリスト
ディメンションの
リスト
2 ディメンションのリスト: 最初
のリストで消去するディメンシ
ョンのリスト
List.OfDimension.Find
数値
リストのディメン 1 ディメンションのリスト: 位置
ションの位置
を探すディメンションのリスト
2 ディメンション: 位置を探すデ
ィメンション
List.OfDimension.Get
ディメンショ
ン
リストの位置によ 1 ディメンションのリスト: ディ
って指定されるデ
メンションを含むリスト
ィメンション
2 数値: リストのディメンション
位置
List.OfDimension.GetElementRange
ディメンショ
ンのリスト
他のリストから抽 1 ディメンションのリスト: 抽出
出されるディメン
するディメンションのリスト
ションのリスト
2 数値: 抽出する最初のディメン
ションの位置
3 数値: 抽出する最後のディメン
ションの位置
4 ディメンション: 挿入するディ
メンション
McAfee Web Gateway 7.5.0
製品ガイド
617
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfDimension.Insert
ディメンショ
ンのリスト
指定されたディメ 1 ディメンションのリスト: ディ
ンションが挿入さ
メンションに挿入するリスト
れたディメンショ
ンのリスト
2 ディメンション: 挿入するディ
メンション
List.OfDimension.IsEmpty
ブール
true の場合、指定 ディメンションのリスト: 空にな
されたリストは空 っているか確認するリスト
です。
List.OfDimension.Join
ディメンショ
ンのリスト
2 つのリストが結 1 ディメンションのリスト: 結合
合することで作成
する最初のリスト
されたディメンシ
ョンのリスト
2 ディメンションのリスト: 結合
する 2 番目のリスト
List.OfDimension.Reverse
ディメンショ
ンのリスト
オリジナルの順に ディメンションのリスト: オリジ
戻った ディメン ナルの順番のリスト
ションのリスト
List.OfDimension.Size
数値
リストのディメン ディメンションのリスト: ディメ
ションの数
ンション数を提供するリスト
List.OfDimension.Sort
ディメンショ
ンのリスト
アルファベット順 ディメンションのリスト: ソート
でソートされてい するリスト
る URL カテゴリ
のリスト
List.OfDimension.ToString
文字列
文字列に変換され ディメンションのリスト: 変換す
たディメンション るリスト
のリスト
List.OfHex.Append
16 進法のリス 16 進値が追加さ 1 16 進法のリスト: 16 進値が追
ト
れた 16 進値のリ
加されるリスト
スト
2 16 進法: 追加する 16 進値
List.OfHex.ByName
16 進法のリス 名前で指定する
16 進値のリスト
ト
List.OfHex.Erase
16 進法のリス 指定された値が消 1 16 進法のリスト: 消去される
去された 16 進値
ト
16 進値のリスト
のリスト
2 数値: 消去される 16 進値の位
置
List.OfHex.EraseElementRange
16 進法のリス 指定された値の範 1 16 進法のリスト: 消去される
囲が消去された
ト
16 進値のリスト
16 進値のリスト
2 数値: 消去される 16 進値の最
初の位置
文字列: リスト名
3 数値: 消去される 16 進値の最
後の位置
List.OfHex.EraseList
618
McAfee Web Gateway 7.5.0
16 進法のリス その他のリストで 1 16 進法のリスト: 消去される
も消去されている
ト
16 進値のリスト
値の 16 進値のリ
スト
2 16 進法のリスト: 最初のリスト
で消去する 16 進値のリスト
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfHex.Find
数値
リストの 16 進値 1 16 進法のリスト: 位置を探す
の位置
16 進値のリスト
2 16 進法: 位置を探す 16 進値
List.OfHex.Get
16 進法
List.OfHex.GetElementRange
16 進法のリス 他のリストから抽 1 16 進法のリスト: 抽出される
出される 16 進値
ト
16 進値のリスト
のリスト
2 数値: 抽出される 16 進値の最
初の位置
リストの位置によ 1 16 進法のリスト: 16 進値を含
って指定される
むリスト
16 進値
2 数値: リストの 16 進値の位置
3 数値: 抽出される 16 進値の最
後の位置
List.OfHex.Insert
16 進法のリス 指定された値が挿 1 16 進法のリスト: 16 進値が挿
入された 16 進値
ト
入されるリスト
のリスト
2 16 進法: 挿入する 16 進値
List.OfHex.IsEmpty
ブール
List.OfHex.Join
16 進法のリス 2 つのリストが結 1 16 進法のリスト: 結合する最初
ト
合することで作成
のリスト
された 16 進値の
リスト
2 16 進法のリスト: 結合する 2
番目のリスト
List.OfHex.Reverse
16 進法のリス オリジナルの順に 16 進法のリスト: オリジナルの順
戻った 16 進値の 番のリスト
ト
リスト
List.OfHex.Size
数値
List.OfHex.Sort
16 進法のリス ソートされた 16
ト
進値のリスト
List.OfHex.ToString
文字列
文字列に変換され 16 進法のリスト: 変換するリスト
た 16 進値のリス
ト
List.OfIP.Append
IP のリスト
IP アドレスが追
加された IP アド
レスのリスト
true の場合、指定 16 進法のリスト: 空になっている
されたリストは空 か確認するリスト
です。
リストの 16 進値 16 進法のリスト: 16 進値の数を
の数
提供するリスト
16 進法のリスト: ソートするリス
ト
1 IP のリスト: IP アドレスが追加
されるリスト
2 IP: 追加する IP アドレス
List.OfIP.ByName
McAfee Web Gateway 7.5.0
IP のリスト
IP アドレスのリ
スト (名前で指
定)
文字列: リスト名
製品ガイド
619
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfIP.Erase
IP のリスト
指定されたアドレ 1 IP のリスト: 消去する IP アド
スを消去された
レスのリスト
IP アドレスのリ
スト
2 数値: 消去する IP アドレスの位
置
List.OfIP.EraseElementRange
IP のリスト
指定されたアドレ 1 IP のリスト: 消去する IP アド
ス範囲を消去され
レスのリスト
た IP アドレスの
リスト
2 数値: 消去する IP アドレスの最
初の位置
3 数値: 消去する IP アドレスの最
後の位置
List.OfIP.EraseList
IP のリスト
その他のリストで 1 IP のリスト: 消去する IP アド
も消去されている
レスのリスト
アドレスの IP ア
ドレスのリスト
2 IP のリスト: 最初のリストで消
去する IP アドレスのリスト
List.OfIP.Find
数値
リストの IP アド
レスの位置
1 IP のリスト: 位置を探す IP ア
ドレスのリスト
2 IP: 位置を探す IP アドレス
List.OfIP.Get
IP
リストの位置によ 1 IP のリスト: IP アドレスを含む
って指定される
リスト
IP アドレス
2 数値: リストの IP アドレスの位
置
List.OfIP.GetElementRange
IP のリスト
他のリストから抽 1 IP のリスト: 抽出する IP アド
出される IP アド
レスのリスト
レスのリスト
2 数値: 抽出する IP アドレスの最
初の位置
3 数値: 抽出する IP アドレスの最
後の位置
620
List.OfIP.Insert
IP のリスト
指定されたアドレ 1 IP のリスト: IP アドレスを挿入
スが挿入された
するリスト
IP アドレスのリ
スト
2 IP: 挿入する IP アドレス
List.OfIP.IsEmpty
ブール
true の場合、指定 IP のリスト: 空になっているか確
されたリストは空 認するリスト
です。
List.OfIP.Join
IP のリスト
2 つのリストが結 1 IP のリスト: 結合する最初のリ
合することで作成
スト
された IP アドレ
スのリスト
2 IP のリスト: 結合する 2 番目の
リスト
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfIP.Reverse
IP のリスト
オリジナルの順に IP のリスト: オリジナルの順番の
戻った IP アドレ リスト
スのリスト
List.OfIP.Size
数値
リストの IP アド
レスの数
List.OfIP.Sort
IP のリスト
ソートされた IP IP のリスト: ソートするリスト
アドレスのリスト
List.OfIP.ToString
文字列
文字列に変換され IP のリスト: 変換するリスト
た IP アドレスの
リスト
List.OfIPRange.Append
IPRange のリ IP アドレス範囲 1 IPRange のリスト: IP アドレ
スト
が追加された IP
ス範囲が追加されるリスト
アドレス範囲のリ
スト
2 IPRange: 追加する IP アドレ
ス範囲
List.OfIPRange.ByName
IPRange のリ 名前で指定される 文字列: リスト名
IP アドレス範囲
スト
のリスト
List.OfIPRange.Erase
IPRange のリ 指定された範囲を 1 IPRange のリスト: 消去する
消去した IP アド
スト
IP アドレス範囲のリスト
レス範囲のリスト
2 数値: 消去する IP アドレス範囲
の位置
List.OfIPRange.EraseElementRange
IPRange のリ 指定された範囲を 1 IPRange のリスト: 消去する
消去した IP アド
スト
IP アドレス範囲のリスト
レス範囲のリスト
2 数値: 最初に消去する IP アドレ
ス範囲の位置
IP のリスト: IP アドレス数を提供
するリスト
3 数値: 最後に消去する IP アドレ
ス範囲の位置
List.OfIPRange.EraseList
IPRange のリ その他のリストで 1 IPRange のリスト: 消去する
も消去されている
スト
IP アドレス範囲のリスト
範囲の IP アドレ
ス範囲のリスト
2 IPRange のリスト: 最初のリス
トで消去する IP アドレス範囲
のリスト
List.OfIPRange.Find
数値
リストの IP アド
レス範囲の位置
1 IPRange のリスト: 位置を探す
IP アドレス範囲を含むリスト
2 IPRange: 位置を探す IP アド
レス範囲
List.OfIPRange.Get
McAfee Web Gateway 7.5.0
IPRange
リストの位置によ 1 IPRange のリスト: IP アドレ
って指定される
ス範囲を含むリスト
IP アドレス範囲
2 数値: リストの IP アドレス範囲
の位置
製品ガイド
621
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfIPRange.GetElementRange
IPRange のリ 他のリストから抽 1 IPRange のリスト: 抽出する
出される IP アド
スト
IP アドレス範囲のリスト
レス範囲のリスト
2 数値: 抽出する最初の IP アドレ
ス範囲の位置
3 数値: 抽出する最後の IP アドレ
スの位置
622
List.OfIPRange.Insert
IPRange のリ 指定された範囲に 1 IPRange のリスト: IP アドレ
挿入したした IP
スト
ス範囲を挿入するリスト
アドレス範囲のリ
スト
2 IPRange: 挿入する IP アドレ
ス範囲
List.OfIPRange.IsEmpty
ブール
List.OfIPRange.Join
IPRange のリ 2 つのリストが結 1 IPRange のリスト: 結合する最
スト
合することで作成
初のリスト
された IP アドレ
ス範囲のリスト
2 IPRange のリスト: 結合する 2
番目のリスト
List.OfIPRange.Reverse
IPRange のリ オリジナルの順に IPRange のリスト: オリジナルの
戻った IP アドレ 順番のリスト
スト
ス範囲のリスト
List.OfIPRange.Size
数値
List.OfIPRange.Sort
IPRange のリ ソートされた IP IPRange のリスト: ソートするリ
スト
アドレス範囲のリ スト
スト
List.OfIPRange.ToString
文字列
List.OfMediaType.Append
MediaType の メディア タイプ 1 MediaType のリスト: 追加する
リスト
が追加されたメデ
メディア タイプのリスト
ィア タイプのリ
スト
2 MediaType: 追加するメディア
タイプ
List.OfMediaType.ByName
MediaType の 名前で指定される 文字列: リスト名
メディア タイプ
リスト
のリスト
List.OfMediaType.Erase
MediaType の 指定されたタイプ 1 MediaType のリスト: 消去する
が消去されたメデ
リスト
メディア タイプのリスト
ィア タイプのリ
スト
2 数値: 消去するメディア タイプ
の位置
McAfee Web Gateway 7.5.0
true の場合、指定 IPRange のリスト: 空になってい
されたリストは空 るか確認するリスト
です。
リストの IP アド
レス範囲の数
IPRange のリスト: IP アドレス
範囲数を提供するリスト
文字列に変換され IPRange のリスト: 変換するリス
た IP アドレス範 ト
囲のリスト
製品ガイド
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfMediaType.EraseElementRange MediaType の 指定されたタイプ 1 MediaType のリスト: 消去する
範囲が消去された
リスト
メディア タイプのリスト
メディア タイプ
のリスト
2 数値: 消去する最初のメディア
タイプのリスト
3 数値: 消去する最後のメディア
タイプのリスト
List.OfMediaType.EraseList
MediaType の その他のリストで 1 MediaType のリスト: 消去する
も消去されている
リスト
メディア タイプのリスト
タイプのメディア
タイプのリスト
2 MediaType のリスト: 最初のリ
ストで消去するメディア タイプ
のリスト
List.OfMediaType.Find
数値
リストのメディア 1 MediaType のリスト: 位置を探
タイプの位置
すメディア タイプのリスト
2 MediaType: 位置を探すメディ
ア タイプ
List.OfMediaType.Get
MediaType
List.OfMediaType.GetElems
MediaType の 他のリストから抽 1 MediaType のリスト: 抽出する
出されるメディア
リスト
メディア タイプのリスト
タイプのリスト
2 数値: 抽出する最初のメディア
タイプのリスト
リストの位置によ 1 MediaType のリスト: メディア
って指定されるメ
タイプを含むリスト
ディア タイプ
2 数値: リストのメディア タイプ
の位置
3 数値: 抽出する最後のメディア
タイプのリスト
List.OfMediaType.Insert
MediaType の 指定されたタイプ 1 MediaType のリスト: メディア
が挿入されたメデ
リスト
タイプを挿入するリスト
ィア タイプのリ
スト
2 MediaType: 挿入するメディア
タイプ
List.OfMediaType.IsEmpty
ブール
List.OfMediaType.Join
MediaType の 2 つのリストが結 1 MediaType のリスト: 結合する
リスト
合することで作成
最初のリスト
されたメディア
タイプのリスト
2 MediaType のリスト: 結合する
2 番目のリスト
List.OfMediaType.Reverse
MediaType の オリジナルの順に MediaType のリスト: オリジナル
戻ったメディア
リスト
の順番のリスト
タイプのリスト
McAfee Web Gateway 7.5.0
true の場合、指定 MediaType のリスト: 空になって
されたリストは空 いるか確認するリスト
です。
製品ガイド
623
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfMediaType.Size
数値
リストのメディア MediaType のリスト: メディア
タイプの数
タイプ数を提供するリスト
List.OfMediaType.Sort
MediaType の アルファベット順 MediaType のリスト: ソートする
でソートされてい リスト
リスト
るメディア タイ
プのリスト
List.OfMediaType.ToString
文字列
文字列に変換され MediaType のリスト: 変換するリ
たメディア タイ スト
プのリスト
List.OfNumber.Append
数のリスト
数が追加された数 1 数値リスト: 数を追加するリス
のリスト
ト
2 数値: 追加する数
List.OfNumber.ByName
数のリスト
名前で指定される 文字列: リスト名
数のリスト
List.OfNumber.Erase
数のリスト
指定された数が消 1 数値リスト: 消去する数のリス
去された数のリス
ト
ト
2 数値: 消去する数の位置
List.OfNumber.EraseElementRange
数のリスト
指定された数の範 1 数値リスト: 消去する数のリス
囲が消去された数
ト
のリスト
2 数値: 消去する最初の数の位置
3 数値: 消去する最後の数の位置
List.OfNumber.EraseList
数のリスト
その他のリストで 1 数値リスト: 消去する数のリス
も消去されている
ト
数のリスト
2 数値リスト: 最初のリストで消
去する数値のリスト
List.OfNumber.Find
数値
リストの数の位置 1 数値リスト: 位置を探す数のリ
スト
2 数値: 位置を探す数
List.OfNumber.Get
数値
リストの位置によ 1 数値リスト: 数を含むリスト
って指定される数
2 数値: リストの数の位置
値
List.OfNumber.GetElementRange
数値のリスト
他のリストから抽 1 数値リスト: 抽出する数のリス
出される数値のリ
ト
スト
2 数値: 抽出する最初の数の位置
3 数値: 抽出する最後の数の位置
List.OfNumber.Insert
624
McAfee Web Gateway 7.5.0
数のリスト
指定された数が挿 1 数値リスト: 数に挿入するリス
入された数のリス
ト
ト
2 数値: 挿入する数
製品ガイド
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfNumber.IsEmpty
ブール
true の場合、指定 数値リスト: 空になっているか確
されたリストは空 認するリスト
です。
List.OfNumber.Join
数のリスト
2 つのリストが結 1 数値リスト: 結合する最初のリ
合することで作成
スト
された数のリスト
2 数値リスト: 結合する 2 番目の
リスト
List.OfNumber.Reverse
数のリスト
オリジナルの順に 数値リスト: オリジナルの順番の
戻った数のリスト リスト
List.OfNumber.Size
数値
リストの数
List.OfNumber.Sort
数のリスト
ソートされた数の 数値リスト: ソートするリスト
リスト
List.OfNumber.ToString
文字列
文字列に変換され 数値リスト: 変換するリスト
た数のリスト
List.OfSSOConnectors.Append
SSOConnect
or のリスト
指定したクラウド 1 SSOConnec のリスト: クラウ
コネクターが追加
ド コネクターが追加されるリス
されたクラウド
ト
コネクターのリス
ト
2 SSO コネクター: 追加するクラ
ウド コネクター
List.OfSSOConnectors.ByName
SSOConnect
or のリスト
名前で指定された 文字列: リスト名
クラウド コネク
ターのリスト
List.OfSSOConnectors.Erase
SSOConnect
or のリスト
指定したクラウド 1 SSOConnector のリスト: 消去
コネクターが消去
するクラウド コネクターを含む
されたクラウド
リスト
コネクターのリス
ト
2 数値: 消去するクラウド コネク
ターの位置
List.OfSSOConnectors.EraseElement
Range
SSOConnect
or のリスト
指定したコネクタ 1 SSOConnector のリスト: 消去
ーの範囲が消去さ
するクラウド コネクターの範囲
れたクラウド コ
を含むリスト
ネクターのリスト
数値リスト: 数を提供するリスト
2 数値: 消去する最初のクラウド
コネクターの位置
3 数値: 消去する最後のクラウド
コネクターの位置
List.OfSSOConnectors.EraseList
McAfee Web Gateway 7.5.0
SSOConnect
or のリスト
他のリストでも消 1 SSOConnector のリスト: 消去
去されているコネ
するクラウド コネクターを含む
クターを含むクラ
リスト
ウド コネクター
のリスト
2 SSOConnector のリスト: 最初
のリストで消去するクラウド コ
ネクターのリスト
製品ガイド
625
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfSSOConnectors.Exists
ブール
true の場合、指定 文字列: リスト名
した名前のクラウ
ド コネクターの
リストが存在しま
す。
List.OfSSOConnectors.Find
数値
リスト内のクラウ 1 SSOConnector のリスト: クラ
ド コネクターの
ウド コネクターを含むリスト
位置
2 SSOConnector: 位置を探すク
ラウド コネクター
List.OfSSOConnectors.Get
SSOConnect
or
リスト内の位置で 1 SSOConnector のリスト: クラ
指定されるクラウ
ウド コネクターを含むリスト
ド コネクター
2 数値: リスト内のクラウド コネ
クターの位置
List.OfSSOConnectors.GetElementRa
nge
SSOConnect
or のリスト
他のリストから抽 1 SSOConnector のリスト: 抽出
出されたクラウド
するクラウド コネクターを含む
コネクターのリス
リスト
ト
2 数値: 抽出する最初のクラウド
コネクターの位置
3 数値: 抽出する最後のクラウド
コネクターの位置
List.OfSSOConnectors.Insert
SSOConnect
or のリスト
指定したクラウド 1 SSO コネクターのリスト: クラ
コネクターが挿入
ウド コネクターを挿入するリス
されたクラウド
ト
コネクターのリス
ト
2 SSO コネクター: 挿入するクラ
ウド コネクター
3 数値: クラウド コネクターを挿
入する位置
626
List.OfSSOConnectors.IsEmpty
ブール
true の場合、指定 SSOConnector のリスト: 空にな
されたリストは空 っているか確認するリスト
です。
List.OfSSOConnectors.Join
SSOConnect
or のリスト
2 つのリストを結 1 SSOConnector のリスト: 結合
合して作成された
する最初のリスト
シングル サイン
オン コネクター 2 SSOConnector のリスト: 結合
のリスト
する 2 番目のリスト
List.OfSSOConnectors.Reverse
SSOConnect
or のリスト
元の順序を逆にし SSOConnector のリスト: 元の順
たクラウド コネ 序のリスト
クターのリスト
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfSSOConnectors.Set
SSOConnect
or のリスト
指定したクラウド 1 SSOConnector のリスト: クラ
コネクターが設定
ウド コネクターを設定するリス
されたクラウド
ト
コネクターのリス
ト
2 SSOConnector: 設定するクラ
ウド コネクター
3 数値: クラウド コネクターを設
定する位置
List.OfSSOConnectors.Size
数値
リスト内のクラウ SSOConnector のリスト: クラウ
ド コネクターの ド コネクターの数を提供するリス
数
ト
List.OfSSOConnectors.Sort
SSOConnect
or のリスト
名前の英字順に並 SSOConnector のリスト: ソート
んでいるクラウド するリスト
コネクターのリス
ト
List.OfSSOConnectors.ToString
文字列
文字列に変換され SSOConnector のリスト: 変換す
たクラウド コネ るリスト
クターのリスト
List.OfString.Append
文字列リスト
文字列が追加され 1 文字列リスト: 文字列を追加す
た文字列のリスト
るリスト
2 文字列: 追加する文字列
List.OfString.ByName
文字列リスト
名前で指定した文 文字列: リスト名
字列のリスト
List.OfString.Erase
文字列リスト
指定された文字列 1 文字列リスト: 消去する文字列
が消去された文字
のリスト
列のリスト
2 数値: 消去する文字列の位置
List.OfString.EraseElementRange
文字列リスト
指定された文字列 1 文字列リスト: 消去する文字列
の範囲が消去され
のリスト
た文字列のリスト
2 数値: 消去する最初の文字列の
位置
3 数値: 消去する最後の文字列の
位置
List.OfString.EraseList
文字列リスト
その他のリストで 1 文字列リスト: 消去する文字列
も消去されている
のリスト
文字列のリスト
2 文字列リスト: 最初のリストで
消去する文字列のリスト
List.OfString.Find
数値
リストの文字列の 1 文字列リスト: 位置を探す文字
位置
列のリスト
2 文字列: 位置を探す文字列
McAfee Web Gateway 7.5.0
製品ガイド
627
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfString.Get
文字列
リスト内の位置で 1 文字列リスト: 文字列を含むリ
指定される文字列
スト
2 数値: リストの文字列の位置
List.OfString.GetElementRange
文字列リスト
他のリストから抽 1 文字列リスト: 抽出する文字列
出される文字列の
のリスト
リスト
2 数値: 抽出する最初の文字列の
位置
3 数値: 抽出する最後の文字列の
位置
List.OfString.Insert
文字列リスト
指定された文字列 1 文字列リスト:文字列に挿入する
が挿入された文字
リスト
列のリスト
2 文字列: 挿入する文字列
List.OfString.IsEmpty
ブール
true の場合、指定 文字列リスト: 空になっているか
されたリストは空 確認するリスト
です。
List.OfString.Join
文字列リスト
2 つのリストが結 1 文字列リスト: 結合する最初の
合することで作成
リスト
された文字列のリ
スト
2 文字列リスト: 結合する 2 番目
のリスト
List.OfString.JSON.AsStringList
文字列リスト
JSON 配列の要素 JSON:配列
値から作成された
文字列リスト
値が NULL の場
合、空の文字列が
作成されます。
628
List.OfStringMapInList
文字列リスト
パラメーターで指 1 文字列リスト: 文字列を含む最
定され、リストに
初のリスト
含まれている文字
列。この文字列の 2 文字列リスト: 文字列を含む 2
位置を表すインデ
番目のリスト
ックスは別のリス
トに含まれていま 3 文字列: 最初と 2 番目のリスト
す。
に含まれる文字列、あるいは空の
指定した文字列が
文字列
最初のリストにな
いか、2 番目のリ
ストに位置が存在
しない場合、文字
列は空になりま
す。
List.OfString.Reverse
文字列リスト
オリジナルの順に 文字列リスト: オリジナルの順番
戻った文字列ンの のリスト
リスト
List.OfString.Size
数値
指定されたリスト 文字列リスト: 文字列数を提供す
の文字列の数
るリスト
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfString.Sort
文字列リスト
アルファベット順 文字列リスト: ソートするリスト
でソートされてい
る文字列のリスト
List.OfString.ToString
文字列
文字列に変換され 文字列リスト: 変換するリスト
た文字列のリスト
List.OfWildcard.Append
ワイルドカー
ド式のリスト
表現が追加される 1 ワイルドカード式のリスト: 追
ワイルドカード式
加するワイルドカード式のリス
のリスト
ト
2 ワイルドカード式: 追加するワ
イルドカード式
List.OfWildcard.ByName
ワイルドカー
ド式のリスト
名前で指定される 文字列: リスト名
ワイルドカード式
のリスト
List.OfWildcard.Erase
ワイルドカー
ド式のリスト
指定された表現が 1 ワイルドカード式のリスト: 消
消去されたワイル
去するワイルドカード式のリス
ドカード式のリス
ト
ト
2 数値: 消去するワイルドカード
式の位置
List.ofWildcard.EraseElementRange
ワイルドカー
ド式のリスト
指定された表現の 1 ワイルドカード式のリスト: 消
範囲が消去された
去するワイルドカード式のリス
ワイルドカード式
ト
のリスト
2 数値: 消去する最初のワイルド
カード式の位置
3 数値: 消去する最後のワイルド
カード式の位置
List.OfWildcard.EraseList
ワイルドカー
ド式のリスト
その他のリストで 1 ワイルドカード式のリスト: 消
も消去されている
去するワイルドカード式のリス
表現のワイルドカ
ト
ード式のリスト
2 ワイルドカード式のリスト: 最
初のリストで消去するワイルド
カード式のリスト
List.OfWildcard.Find
数値
リストのワイルド 1 ワイルドカード式のリスト: 位
カード式の位置
置を探すワイルドカード式のリ
スト
2 ワイルドカード式: 位置を探す
ワイルドカード式
List.OfWildcard.Get
McAfee Web Gateway 7.5.0
ワイルドカー
ド式
リストの位置で指 1 ワイルドカード式のリスト: ワ
定されるワイルド
イルドカード式を含むリスト
カード式
2 数値: リストのワイルドカード
式の位置
製品ガイド
629
A
構成リスト
プロパティのリスト
表 A-16 プロパティ - L (続き)
名前
タイプ
説明
パラメーター
List.OfWildcard.GetElementRange
ワイルドカー
ド式のリスト
他のリストから抽 1 ワイルドカード式のリスト: 抽
出されるワイルド
出するワイルドカード式のリス
カード式のリスト
ト
2 数値: 抽出する最初のワイルド
カード式の位置
3 数値: 抽出する最後のワイルド
カード式の位置
List.OfWildcard.Insert
ワイルドカー
ド式のリスト
指定された表現が 1 ワイルドカード式のリスト: ワ
挿入されたワイル
イルドカード式を挿入するリス
ドカード式のリス
ト
ト
2 ワイルドカード式: 挿入するワ
イルドカード式
List.OfWildcard.IsEmpty
ブール
true の場合、指定 ワイルドカード式のリスト: 空に
されたリストは空 なっているか確認するリスト
です。
List.OfWildcard.Join
ワイルドカー
ド式のリスト
2 つのリストが結 1 ワイルドカード式のリスト: 結
合することで作成
合する最初のリスト
されたワイルドカ
ード式のリスト
2 ワイルドカード式のリスト: 結
合する 2 番目のリスト
List.OfWildcard.Reverse
ワイルドカー
ド式のリスト
オリジナルの順に ワイルドカード式のリスト: オリ
戻ったワイルドカ ジナルの順番のリスト
ード式のリスト
List.OfWildcard.Size
数値
リストのワイルド ワイルドカード式のリスト: ワイ
カード式の数
ルドカード式数を提供するリスト
List.OfWildcard.Sort
ワイルドカー
ド式のリスト
ソートされたワイ ワイルドカード式のリスト: ソー
ルドカード式のリ トするリスト
スト
List.OfWildcard.ToString
文字列
文字列に変換され ワイルドカード式のリスト: 変換
たワイルドカード するリスト
式のリスト
表 A-17 プロパティ - M
名前
タイプ
説明
パラメーター
Map.ByName
マップ タイプ
のリスト
指定した名前ですでに存在するマップ
タイプのリスト
文字列: リスト名
Map.CreateStringMap
マップ タイプ
のリスト
新規に作成された Map タイプ リスト
マップ タイプ
のリスト
指定したキーと関連値が削除された
Map タイプ リスト
Map.DeleteKey
このリストは空です。
1 Map タイプのリ
スト: Map タイ
プ リスト
2 文字列: キー
Map.GetKeys
630
McAfee Web Gateway 7.5.0
Map タイプの
リスト
指定した Map タイプ リストに含まれ Map タイプのリス
ているキーのリスト
ト: Map タイプ リ
スト
製品ガイド
構成リスト
プロパティのリスト
A
表 A-17 プロパティ - M (続き)
名前
タイプ
説明
パラメーター
Map.GetStringValue
文字列
指定した Map タイプ リストの特定の 1 Map タイプのリ
キーの値を表す文字列
スト: Map タイ
プ リスト
2 文字列: キー
Map.HasKey
ブール
true の場合、指定したキーが Map タ 1 Map タイプのリ
イプ リストに存在します。
スト: Map タイ
プ リスト
2 文字列: キー
Map.SetStringValue
マップ タイプ
のリスト
指定したキーに特定の値が設定されて
いる Map タイプ リスト
1 Map タイプのリ
スト: Map タイ
プ リスト
2 文字列: キー
3 文字列: 値
Map.Size
数値
指定した Map タイプ リストに存在す Map タイプのリス
るキーと値の組み合わせの数
ト: Map タイプ リ
スト
Map.ToString
文字列
文字列に変換される Map タイプ リス Map タイプのリス
ト
ト: Map タイプ リ
スト
Math.Abs
数値
指定された数の絶対値
Math.Modulo
数値
整数を結果の商として受け付けるとき 1 数値: a の値
のみ、整数 a を整数 b で割った後の残
2 数値: b の値
りである整数。
数値: 絶対値が提供
された数
たとえば、a = 14 と b = 3 の場合、
Math.Modulo の値は 2 です。
14 を 3 で割った結果の整数は 4 で、
3 x 4 = 12 は 2 を残します。
Math.Random
数値
指定された最小および最大値の間のラ 1 数値: 最小値
ンダム番号 (これらの値に含まれます)
2 数値: 最大値
MediaStreamProbability
数値
問題のストリーミング メディアが見つ
かったメディア タイプに一致する可能
性 (パーセント)
MediaType.EnsuredTypes
MediaType の
リスト
50% 以上の可能性で個々のメディア
を確認するメディア タイプのリスト
MediaType.FromFileExtension
MediaType の
リスト
メディア ファイルの拡張子で見つかっ
たメディア タイプのリスト
MediaType.FromHeader
MediaType の
リスト
メディアとともに送信したコンテンツ
タイプ ヘッダーを使用して見つかった
メディア タイプのリスト
MediaType.HasOpener
ブール
true の場合、オープナー モジュールは
アプライアンスで与えられたタイプの
メディアで利用可能です
McAfee Web Gateway 7.5.0
製品ガイド
631
A
構成リスト
プロパティのリスト
表 A-17 プロパティ - M (続き)
名前
タイプ
説明
パラメーター
MediaType.IsCompositeObject
ブール
true の場合、与えられたタイプのメデ
ィアは複合オブジェクトです。例: ア
ーカイブ
MediaType.MagicBytesMismatch ブール
true の場合、メディアとともに送信さ
れたヘッダーで指定されたメディア タ
イプは、メディアに実際に含まれてい
るマジック バイトを検査することでア
プライアンスで見つかったタイプに一
致しません
MediaType.NotEnsuredTypes
MediaType の
リスト
50% 以下の可能性で個々のメディア
を確認するメディア タイプのリスト
MediaType.ToString
文字列
文字列に変換されるメディア タイプ
Message.Language
文字列
ユーザーに送信されるメッセージで使
用される言語の名前 (短縮形)。例:
en、de、ja
Message.TemplateName
文字列
ユーザーにメッセージを送信するテン
プレート名
MediaType: 変換
するメディア タイ
プ
表 A-18 プロパティ - N
名前
タイプ 説明
パラメーター
Number.ToDecimalNumber
数値
数値: 変換する整数
小数に変換される整数
たとえば、10 は 10.0 に変換されます。
Number.ToString
文字列 文字列に変換される数
数値: 変換する数
Number.ToVolumeString
文字列 文字列に変換する総バイト数
数値: 変換するバイト数
NumberOfClientConnections 数値
アプライアンスで同時に開くクライアントへの
接続数
O で始まるプロパティはありません。
表 A-19 プロパティ - P
632
名前
タイプ
説明
PDStorage.GetAllData
文字列リスト
文字列形式ですべての持続的
に保管されたデータを含むリ
スト
PDStorage.GetAllGlobalData
文字列リスト
文字列形式ですべての持続的
に保管されたグローバル デー
タを含むリスト
PDStorage.GetAllUserData
文字列リスト
文字列形式ですべての持続的
に保管されたユーザー データ
を含むリスト
PDStorage.GetGlobalData.Bool
ブール
Boolean タイプのグローバル
変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.Category
カテゴリ
Category タイプのグローバ
ル変数
文字列:
変数キ
ー
McAfee Web Gateway 7.5.0
パラメ
ーター
製品ガイド
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
名前
タイプ
説明
PDStorage.GetGlobalData.Dimension
ディメンショ
ン
Dimension タイプのグローバ 文字列:
ル変数
変数キ
ー
PDStorage.GetGlobalData.Hex
16 進法
Hex タイプのグローバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.IP
IP
IP タイプのグローバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.IPRange
IPRange
IPRange タイプのグローバル
変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.List.Category
カテゴリのリ
スト
Category タイプ リストのグ
ローバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.List.Dimension
ディメンショ
ンのリスト
Dimension タイプ リストの
グローバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.List Hex
16 進法のリ
スト
Hex タイプ リストのグローバ 文字列:
ル変数
変数キ
ー
PDStorage.GetGlobalData.List.IP
IP のリスト
IP タイプ リストのグローバル 文字列:
変数
変数キ
ー
PDStorage.GetGlobalData.List.IPRange
IPRange の
リスト
IPRange タイプ リストのグロ 文字列:
ーバル変数
変数キ
ー
PDStorage.GetGlobalData.List.MediaType
MediaType
のリスト
MediaType タイプ リストの
グローバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.List.Number
数のリスト
タイプ数のリストのグローバ
ル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.List.String
文字列リスト
タイプ文字列のリストのグロ
ーバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.List.WildcardExpression ワイルドカー
ド式のリスト
WildcardExpression タイプ
リストのグローバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.MediaType
MediaType
MediaType タイプのグローバ 文字列:
ル変数
変数キ
ー
PDStorage.GetGlobalData.Number
数値
タイプ数のグローバル変数
文字列:
変数キ
ー
PDStorage.GetGlobalData.String
文字列
タイプ文字列のグローバル変
数
文字列:
変数キ
ー
McAfee Web Gateway 7.5.0
パラメ
ーター
製品ガイド
633
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
634
名前
タイプ
説明
パラメ
ーター
PDStorage.GetGlobalData.WildcardExpression
ワイルドカー
ド式
WildcardExpression タイプ
のグローバル変数
文字列:
変数キ
ー
PDStorage.GetUserData.Bool
ブール
Boolean タイプのユーザー変
数
文字列:
変数キ
ー
PDStorage.GetUserData.Category
カテゴリ
Category タイプのユーザー
変数
文字列:
変数キ
ー
PDStorage.GetUserData.Dimension
ディメンショ
ン
Category タイプのユーザー
変数
文字列:
変数キ
ー
PDStorage.GetUserData.Hex
16 進法
Hex タイプのユーザー変数
文字列:
変数キ
ー
PDStorage.GetUserData.IP
IP
IP タイプのユーザー変数
文字列:
変数キ
ー
PDStorage.GetUserData.IPRange
IPRange
IPRange タイプのユーザー変
数
文字列:
変数キ
ー
PDStorage.GetUserData.List.Category
カテゴリのリ
スト
Category タイプのリストの
ユーザー変数
文字列:
変数キ
ー
PDStorage.GetUserData.List Dimension
ディメンショ
ンのリスト
Dimension タイプのリストの 文字列:
ユーザー変数
変数キ
ー
PDStorage.GetUserData.List Hex
16 進法のリ
スト
Hex リストのユーザー変数
文字列:
変数キ
ー
PDStorage.GetUserData.List IP
IP のリスト
IP タイプのリストのユーザー
変数
文字列:
変数キ
ー
PDStorage.GetUserData.List IPRange
IPRange の
リスト
IPRange タイプのリストのユ
ーザー変数
文字列:
変数キ
ー
PDStorage.GetUserData.List MediaType
MediaType
のリスト
MediaType タイプのリストの 文字列:
ユーザー変数
変数キ
ー
PDStorage.GetUserData.List Number
数値のリスト
Number タイプ リストのユー 文字列:
ザー変数
変数キ
ー
PDStorage.GetUserData.List String
文字列リスト
String タイプ リストのユーザ 文字列:
ー変数
変数キ
ー
PDStorage.GetUserData.ListWildcard Expression
ワイルドカー
ド式のリスト
WildcardExpression タイプ
リストのユーザー変数
McAfee Web Gateway 7.5.0
文字列:
変数キ
ー
製品ガイド
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
名前
タイプ
説明
パラメ
ーター
PDStorage.GetUserData.MediaType
MediaType
MediaType タイプのユーザー 文字列:
変数
変数キ
ー
PDStorage.GetUserData.Number
数値
Number タイプのユーザー変
数
文字列:
変数キ
ー
PDStorage.GetUserData.String
文字列
String タイプのユーザー変数
文字列:
変数キ
ー
PDStorage.GetUserData.WildcardExpression
ワイルドカー
ド式
WildcardExpression タイプ
のユーザー変数
文字列:
変数キ
ー
PDStorage.HasGlobalData
ブール
true の場合、持続的に保管さ
れたグローバル データが利用
可能です。
文字列:
変数キ
ー
PDStorage.HasGlobalDataWait
ブール
true の場合、要求されたグロ 1 文字
ーバル変数がストレージに保
列: 変
存されるか、指定された時間が
数キ
経過するまで、要求は待機状態
ー
を継続します。
待機状態が解除されると、プロ 2 数値:
パティの値は false に設定さ
タイ
れます。デフォルトは true で
ムア
す。
ウト
(秒
数)
PDStorage.HasUserData
ブール
true の場合、持続的に保管さ
れたユーザー データが利用可
能です。
ProgressPage.Enabled
ブール
true の場合、ダウンロードの
進行状況が進行状況ページで
ユーザーに表示されています。
ProgressPage.Sent
ブール
true の場合、要求された Web
オブジェクトがダウンロード
されると、進行状況ページが表
示されます。
ProtocolDetector.DetectedProtocol
文字列
Web Gateway とクライアン
トとの接続で発生したトラフ
ィックで使用されていたプロ
トコルの名前を含む文字列
ProtocolDetector.ProtocolFilterable
ブール
true の場合、Web トラフィッ
クで使用されているプロトコ
ルでフィルタリングが使用で
きます。
Protocol.FailureDescription
文字列
文字列は現在のプロトコルで
の接続エラーの説明を含んで
います
Proxy.EndUserURL
文字列
ユーザーに表示する URL を表
す文字列
Proxy.IP
IP
接続の IP アドレス
McAfee Web Gateway 7.5.0
文字列:
変数キ
ー
製品ガイド
635
A
構成リスト
プロパティのリスト
表 A-19 プロパティ - P (続き)
名前
タイプ
説明
パラメ
ーター
Proxy.OutboundIP
文字列リスト
文字列形式の IP アドレスのリ 数字: リ
ストの
スト
IP アド
このリストでは、別の送信ソー レスの
ス IP アドレスに置換する IP 位置
アドレスを選択できます。
Proxy.Port
数値
接続に使用されたポート番号
表 A-20 プロパティ - Q
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.AuthorizedOverride.GetLogin
文字 許可オーバーライドの実行時に送信される
列
ユーザー名
Quota.AuthorizedOverride.IsActivationRequest
ブー true の場合、認証されたユーザーはセッシ
ル
ョン時間が過ぎた後も許可オーバーライド
セッションの継続を選択しています。
Quota.AuthorizedOverride.IsActivationRequest.Strict ブー true の場合、認証されたユーザーが許可オ
ル
ーバーライド セッションの続行を選択し
ています。セッションの継続要求が現在の
設定に適用されます。
Quota.AuthorizedOverride.JS.ActivateSession
文字 承認されたユーザーが許可オーバーライド
列
テンプレートで所定のボタンをクリックし
て新しいセッションを開始したときに実行
される関数を呼び出す JavaScript コード
の文字列。
テンプレートが作成され、ユーザーに表示
されたときに、コードが提供されます。
636
Quota.AuthorizedOverride.LastAuthorizedPerson
文字 最後に許可オーバーライドを実行し、ユー
列
ザーに追加のセッション時間を提供したユ
ーザーの名前
Quota.AuthorizedOverride.RemainingSession
数値 許可オーバーライド セッションの残り時
間 (秒)
Quota.AuthorizedOverride.SessionExceeded
ブー true の場合、許可オーバーライドの有効期
ル
間が過ぎていることを表しています。
Quota.AuthorizedOverride.SessionLength
数値 許可オーバーライド セッションの時間
(秒)
Quota.Coaching.IsActivationRequest
ブー true の場合、ユーザーはセッションの有効
ル
期限が過ぎた後も新しい警告セッションの
継続を選択しています。
Quota.Coaching.IsActivationRequest.Strict
ブー true の場合、ユーザーが警告セッションの
ル
続行を選択しています。セッションの継続
要求が現在の設定に適用されます。
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-20 プロパティ - Q (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.Coaching.JS.ActivateSession
文字 ユーザーが警告セッション テンプレート
列
で所定のボタンをクリックし、新しいセッ
ションを開始したときに実行される関数を
呼び出す JavaScript コードの文字列。
テンプレートが作成され、ユーザーに表示
されたときに、コードが提供されます。
Quota.Coaching.RemainingSession
数値 警告セッションの残り時間 (秒)
Quota.Coaching.SessionExceeded
ブー true の場合、警告セッションの有効期間が
ル
過ぎていることを表します。
Quota.Coaching.SessionLength
数値 警告セッションの残り時間 (秒)
Quota.Time.Exceeded
ブー true の場合、時間クォータを超えていま
ル
す。
Quota.Time.IsActivationRequest
ブー true の場合、ユーザーがセッションの有効
ル
期間が過ぎた後も新しい時間セッションの
継続を選択しています。
Quota.Time.IsActivationRequest.Strict
ブー true の場合、ユーザーが新しい時間セッシ
ル
ョンの続行を選択しています。セッション
の継続要求が現在の設定に適用されます。
Quota.Time.JS.ActivateSession
文字 ユーザーが時間セッション テンプレート
列
で所定のボタンをクリックし、新しいセッ
ションを開始したときに実行される関数を
呼び出す JavaScript コードの文字列。
テンプレートが作成され、ユーザーに表示
されたときに、コードが提供されます。
Quota.Time.RemainingDay
数値 現在の日付に設定されたクォータからの残
り時間 (秒)
Quota.Time.RemainingDay.ReducedAtActivation
数値 ユーザーがセッションを開始した時点で、
現在の日付に設定されている時間クォータ
の残り時間 (秒)
Quota.Time.RemainingDay.ReducedAtDeactivation
数値 ユーザーがセッションを終了した時点で、
現在の日付に設定されている時間クォータ
の残り時間 (秒)
Quota.Time.RemainingMonth
数値 現在の月に設定された時間クォータの残り
時間 (秒)
Quota.Time.RemainingMonth.ReducedAtActivation
数値 ユーザーがセッションを開始した時点で、
現在の月に設定されている時間クォータの
残り時間 (秒)
Quota.Time.RemainingMonth.ReducedAtDeactivation 数値 ユーザーがセッションを終了した時点で、
現在の月に設定されている時間クォータの
残り時間 (秒)
Quota.Time.RemainingSession
数値 時間セッションの残り時間 (秒)
Quota.Time.RemainingWeek
数値 現在の週に設定された時間クォータの残り
時間 (秒)
McAfee Web Gateway 7.5.0
製品ガイド
637
A
構成リスト
プロパティのリスト
表 A-20 プロパティ - Q (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.Time.RemainingWeek.ReducedAtActivation
数値 ユーザーがセッションを開始した時点で、
現在の週に設定されている時間クォータの
残り時間 (秒)
Quota.Time.RemainingWeek.ReducedAtDeactivation
数値 ユーザーがセッションを終了した時点で、
現在の週に設定されている時間クォータの
残り時間 (秒)
Quota.Time.SessionExceeded
ブー true の場合、時間セッションの有効期限が
ル
過ぎています。
Quota.Time.SessionLength
数値 時間セッションの経過時間 (秒)
Quota.Time.SizePerDay
数値 設定済みのクォータで、1 日に許可されて
いる時間 (秒)
Quota.Time.SizePerMonth
数値 設定済みのクォータで、1 か月に許可され
ている時間 (秒)
Quota.Time.SizePerWeek
数値 設定済みのクォータで、1 週間に許可され
ている時間 (秒)
Quota.Volume.Exceeded
ブー true の場合、ボリューム クォータを超え
ル
ています。
Quota.Volume.IsActivationRequest
ブー true の場合、ユーザーがセッションの有効
ル
期限が過ぎた後も新しいボリューム セッ
ションの継続を選択しています。
Quota.Volume.IsActivationRequest.Strict
ブー true の場合、ユーザーがセッションの続行
ル
を選択しています。セッションの継続要求
が現在の設定に適用されます。
Quota.Volume.JS.ActivateSession
文字 ユーザーが、ボリューム セッション テンプ
列
レートで所定のボタンをクリックし、新し
いセッションの開始を選択したときに実行
される関数を呼び出す JavaScript コード
の文字列。
テンプレートが作成され、ユーザーに表示
されたときに、コードが提供されます。
638
Quota.Volume.RemainingDay
数値 現在の日付で設定済みのボリューム クォ
ータの残りのボリューム (バイト)
Quota.Volume.RemainingMonth
数値 現在の月で設定済みのボリューム クォー
タの残りのボリューム (バイト)
Quota.Volume.RemainingSession
数値 ボリューム セッションの残り時間 (秒)
Quota.Volume.RemainingWeek
数値 現在の週に設定済みのボリューム クォー
タの残りのボリューム (バイト)
Quota.Volume.SessionExceeded
ブー true の場合、ボリューム セッションの有
ル
効期間を過ぎています。
Quota.Volume.SessionLength
数値 ボリューム セッションの経過時間 (秒)
Quota.Volume.SizePerDay
数値 設定済みのクォータで、1 日に許可されて
いるボリューム (バイト)
McAfee Web Gateway 7.5.0
製品ガイド
A
構成リスト
プロパティのリスト
表 A-20 プロパティ - Q (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Quota.Volume.SizePerMonth
数値 設定済みのクォータで、1 か月に許可され
ているボリューム (バイト)
Quota.Volume.SizePerWeek
数値 設定済みのクォータで、1 週間に許可され
ているボリューム (バイト)
プロパティ (R ~ W)
以下の表では、R から W で始まるプロパティを説明します。
V、X、Y または Z で始まるプロパティはありません。
表 A-21 プロパティ - R
名前
タイプ
説明
Redirect.URL
文字列
文字列は認証またはクォータ ルールでユーザーがリダ
イレクトされた URL を表しています
Reporting.URL.Categories
カテゴリのリ
スト
アプライアンスで使用されるすべての URL カテゴリの
リスト
Reporting.URL.Reputation
数のリスト
アプライアンスで使用されるすべてのレピュテーショ
ン スコアのリスト
Request.Header.FirstLine
文字列
要求とともに送信されたヘッダーの最初の行
Request.ProtocolAndVersion
文字列
要求が送信されたときに使用されるプロトコルおよび
プロトコル
Response.ProtocolandVersion 文字列
応答が送信されたときに使用されるプロトコルおよび
プロトコル
Response.Redirect.URL
文字列
応答を送信したときにユーザーがリダイレクトした
URL
Response.StatusCode
文字列
応答のステータス コード
Rules.CurrentRuleID
文字列
現在処理中のルールの ID
Rules.CurrentRuleName
文字列
現在処理中のルール名
Rules.CurrentRuleSetName
文字列
現在処理中のルール セット名
Rules.EvaluatedRules
文字列リスト
処理されたすべてのルールのリスト
Rules.EvaluatedRules.Names 文字列リスト
処理されたすべてのルールの名前付きリスト
Rules.FiredRules
文字列リスト
適用されたすべてのルールのリスト
Rules.FiredRules.Names
文字列リスト
適用されたすべてのルールの名前付きリスト
McAfee Web Gateway 7.5.0
パラ
メー
ター
製品ガイド
639
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S
名前
タイプ
説明
SecureReverseProxy. EmbeddedHost
文字列
HTTPS 要求に埋め込まれた HTTP 要求に含
まれる URL のホスト名
SecureReverseProxy. Embedded Protocol 文字列
HTTPS 要求に埋め込まれた HTTP 要求に含
まれる URL のプロトコル
SecureReverseProxy. Embedded URL
HTTPS 要求に埋め込まれた HTTP 要求に含
まれる URL
文字列
パラメーター
文字列: URL の
ホスト名
これは、
SecureReverseProxy.EmbeddedHost
プロパティの値に指定されたホストの URL
です。
SecureReverseProxy. GetDomain
文字列
SecureReverseProxy モジュールの設定に
指定されたドメイン
SecureReverseProxy.
IsValidReverseProxyRequest
ブール
true の場合、要求で送信された URL の形式
が SecureReverseProxy の設定の要件を満
たしています。
SecureReverseProxy.URLToEmbed
文字列
HTTPS 要求に埋め込まれた HTTP 要求で送
信された URL
SecureToken.CreateToken
文字列
暗号化された文字列
この文字列は、IP アドレスを保護するトーク
ンとして機能します。トークンの作成には
AES-128 ビット アルゴリズムが使用されま
す。
文字列:暗号化す
る文字列
SecureReverseProxy モジュールの設定パ
ラメーターの値によっては、この文字列にタ
イムスタンプが含まれます。
640
SecureToken.IsValid
ブール
true の場合、指定されたトークンは有効で、 1 文字列: 検査す
期限切れになっていません。
るトークン
SecureReverseProxy モジュールの設定パ 2
数値: トークン
ラメーターの値によっては、トークンの文字
が期限切れに
列にタイムスタンプが含まれていません。
なるまでの時
この場合、トークンの期限切れは検査されま
間 (秒数)
せん。
SecureToken.GetString
文字列
IP アドレスを保護するトークンとして機能す 1 文字列: 検査す
る文字列
るトークン
トークンが無効か、期限切れの場合、文字列 2
数値: トークン
は空になります。
が期限切れに
なるまでの時
間 (秒数)
SNMP.Trap.Additional
文字列
SNMP プロトコルでトラップに送信された追
加メッセージ
SSL.Certificate.CN.ToWildcard
ワイルドカ ワイルドカード式に変換された SSL 認証書
ード式
の共通名
SSL.Client.Certificate.Serial
文字列
クライアント証明書のシリアル番号
SSL.ClientContext.IsApplied
ブール
true の場合、SSL セキュア通信のクライアン
ト コンテキストの設定パラメーターが設定さ
れています。
McAfee Web Gateway 7.5.0
製品ガイド
文字列: 変換する
共通名
構成リスト
プロパティのリスト
A
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
SSL.Server.Certificate.AlternativeCNs
ワイルドカ SSL 証明書で使用するための Web サーバー
ード式のリ の代替共通名のリスト
スト
SSL.Server.Certificate.CN
文字列
Web サーバーの共通名は SSL セキュア通信
で提供します
SSL.Server.Certificate.CN.HasWildcards
ブール
true の場合、SSL 証明書にある Web サーバ
ーの共通名にワイルドカードが含まれていま
す。
SSL.Server.Certificate.DaysExpired
数値
Web サーバーの SSL 証明書の日数は期限切
れです
SSL.Server.Certificate.HostAndCertificate HostAnd
ホスト名および SSL セキュア通信の Web
Certificate サーバーの証明書
SSL.Server.Certificate.SelfSigned
ブール
true の場合、Web サーバーの SSL 証明書は
自己署名です。
SSL.Server.Certificate.SHA1Digest
文字列
文字列は Web サーバーの SSL 証明書の
SHA1Digest を表します
SSL.Server.CertificateChain.
AllRevocationStatusesKnown
ブール
true の場合、Web サーバーの証明書チェー
ンで SSL 証明書が失効しているかどうかを
確認できます。
SSL.Server.CertificateChain.
ContainsExpiredCA
ブール
true の場合、Web サーバーの証明書チェー
ンで SSL 証明書が期限切れになっています。
SSL.Server.CertificateChain.
ContainsRevoked
ブール
true の場合、Web サーバーの証明書チェー
ンで SSL 証明書が失効しています。
SSL.Server.CertificateChain.
FirstKnownCAIsTrusted
ブール
true の場合、Web サーバーの証明書チェー
ンで先頭にある SSL 証明書の発行元は信頼
された証明機関です。
SSL.Server.CertificateChain.
FoundKnownCA
ブール
true の場合、Web サーバーの証明書チェー
ンで先頭にある SSL 証明書の発行元は既知
の証明機関です。
SSL.Server.CertificateChain.IsComplete
ブール
true の場合、Web サーバーの SSL 証明書チ
ェーンは完了しています。
SSL.Server.CertificateChain.Length
数値
Web サーバーの証明書チェーンでの SSL 証
明書番号
SSL.Server.CertificateChain.
PathLengthExceeded
ブール
true の場合、Web サーバーの SSL 証明書チ
ェーンの長さが制限を超えています。
SSL.Server.Handshake.IsRequested
ブール
true の場合、Web サーバーとの SSL セキュ
ア通信の確立でハンドシェイクが要求されて
います。
SSO.Action
文字列
SSO 要求の応答で実行された内部アクショ
ンの名前を戻します。
SSO.Config
文字列
SSO 要求の応答で実行された内部アクショ
ンで使用された文字列の名前を戻します。
SSO.Debug
文字列
SSO デバッグ メッセージを戻します。
SSO.GetConnectorInfo
変数
ユーザーが要求したサービスの SSO コネク 文字列:サービス
ターに関する情報を戻します。この情報は、 ID
sso-conn-info という名前のローカル変数に
JSON オブジェクトとして保存されます。
McAfee Web Gateway 7.5.0
製品ガイド
641
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
SSO.GetData
JSON オブ SAML シングル サインオンに必要な追加情
ジェクト
報を戻します。
SSO.GetIceTokenLoginAction
文字列
要求されたサービスまたはアプリケーション 1 文字列:サービ
でのシングル サインオンの完了に必要なユー
ス ID
ザー情報を戻します。
2 変数:
sso-user-data
SSO.GetPostLoginAction
文字列
要求された HTTP サービスまたはアプリケー 1 文字列:ID プ
ションでのシングル サインオンの完了に必要
ロバイダー
な情報を戻します。
2 文字列: ユーザ
ー名
3 文字列:サービ
ス ID
4 文字列: ユーザ
ー アカウント
SSO.GetSAMLLoginAction
文字列
SSO.GetServices
JSON オブ SSO サービス選択ルール セットで追加され 変
ジェクト
た現在のユーザーに関するすべての情報を戻 数:"conditions"
します。この情報は JSON 形式で戻されま
す。たとえば、ユーザーにアクセスが許可さ
れたクラウド サービスの名前やすべてのアカ
ウント情報が戻されます。
SSO.GetTools
文字列
JavaScript ツールの文字列を戻します。
SSO.IsManagementRequest
ブール
現在の要求が SSO 要求で、以下のいずれかま
たは両方の条件を満たしている場合、true を
戻します。
要求された SAML サービスまたはアプリケ
1 文字列:サービ
ーションでのシングル サインオンの完了に必
ス ID
要なユーザー情報を戻します。
2 変数:
sso-user-data
• Web Gateway が SSO 要求を受信してい
る。
• SSO.Action プロパティが有効な設定で処
理された。
642
SSO.ManagementHost
文字列
設定で指定された SSO サービスのホスト名
を戻します。この値は通常、Web Gateway
が提供する SSO サービスをホスティングし
ているサーバーの名前になります。
SSO.OtpRequired
ブール
SSO アクションで OTP 認証を必要とする場
合に true を戻します。
SSO.UserHasAccessToService
ブール
ユーザーにクラウド サービスへのアクセスま
たはアカウントの管理が許可された場合に
true を戻します。
SSOConnector.ToString
文字列
クラウド コネクターの名前を対応するクラウ 文字列:クラウド
ド サービスまたはアプリケーションのサービ コネクターの名
前
ス ID に変換します。
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
Statistics.Counter.Get
数値
アクティビティの発生またはカウンターで記
録された状況の数
文字列: カウンタ
ー数
Statistics.Counter.GetCurrent
数値
最後に発生したアクティビティの数またはカ
ウンターで記録された状況の数 (完全に完了
したもの)
文字列: カウンタ
ー数
Stopwatch.GetMacroSeconds
数値
ルール セットの処理にかかった時間 (マイク 文字列:ルール セ
ロ秒)
ットの名前
Stopwatch.GetMilliSeconds
数値
ルール セットの処理にかかった時間 (ミリ
秒)
StreamDetector.IsMediaStream
ブール
true の場合、Web オブジェクトとしてスト
リーミング メディアが要求されています。
文字列:ルール セ
ットの名前
これは、ストリーミング メディアのフィルタ
リングで使用される基本プロパティです。
StreamDetector.MatchedRule
文字列
一致したストリーミング メディアフィルタリ
ング ルールの名前
StreamDetector.IsMediaStream プロ
パティが true に設定されていると、このプ
ロパティに値が設定されています。
StreamDetector.Probability
数値
Web オブジェクトがストリーミング メディ
アの可能性
1 から 100 までの値。
StreamDetector.IsMediaStream プロ
パティが true に設定されていると、このプ
ロパティに値が設定されています。
String.BackwardFind
数値
逆方向検索によって文字列で見つかったサブ
文字列の開始位置
サブ文字列が見つからない場合は -1 が戻さ
れます。
1 文字列: 文字列
はサブ文字列
を含んでいま
す
2 文字列: サブ文
字列
3 数値: サブ文字
列が開始する
逆方向検索の
位置
String.Base64Decode
文字列
文字列のデコード形式はベース 64 エンコー
ド形式に指定されています
文字列: エンコー
ド形式の文字列
String.Base64Encode
文字列
指定された文字列のベース 64 エンコード
文字列: エンコー
ドする文字列
McAfee Web Gateway 7.5.0
製品ガイド
643
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
String.BelongsToDomains
ブール
true の場合、指定した文字列がドメイン名の 1 文字列: リスト
リストに含まれています。
で検索される
文字列
文字列がリスト項目 (ドメイン名) に一致す
ると、プロパティの値が true になります。
2 文字列のリス
文字またはドットとサブ文字列が続くは文字
ト: ドメイン名
列 (ドメインのサブドメイン名) がリスト項
のリスト
目 (*.<list entry>) に一致する場合にも、プ
ロパティの値が true になります。
いずれの場合も、List.LastMatches プロパ
ティの値に文字列が設定されます。
String.Concat
文字列
2 つの指定された文字列の連結
1 文字列: 連結す
る最初の文字
列
2 文字列: 連結す
る 2 番目の文
字列
String.CRLF
文字列
復帰改行
String.Find
数値
順方向検索によって文字列で見つかったサブ
文字列の開始位置
サブ文字列が見つからない場合は -1 が戻さ
れます。
1 文字列: 文字列
はサブ文字列
を含んでいま
す
2 文字列: サブ文
字列
3 数値: サブ文字
列が開始する
順方向検索の
位置
String.FindFirstOf
数値
文字列で見つかったサブ文字列の最初の文字
位置
サブ文字列が見つからない場合は -1 が戻さ
れます。
1 文字列: 文字列
はサブ文字列
を含んでいま
す
2 文字列: サブ文
字列
3 数値: サブ文字
列が開始する
検索の位置
644
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
String.FindLastOf
数値
文字列で見つかったサブ文字列の最後の文字
位置
1 文字列: 文字列
はサブ文字列
を含んでいま
す
サブ文字列が見つからない場合は -1 が戻さ
れます。
2 文字列: サブ文
字列
3 数値: サブ文字
列が開始する
検索の位置
String.GetWordCount
数値
文字列の単語数
文字列: 文字数を
取得する文字列
String.IsEmpty
ブール
true の場合、指定された文字列は空です。
文字列: 空かどう
か検査される文
字列
String.Length
数値
文字列の文字数
文字列: 文字数を
数える文字列
String.LF
文字列
改行
String.MatchWildcard
文字列リス ワイルドカード式と一致する文字列の用語リ
ト
スト
1 文字列: 用語と
一致する文字
列
2 ワイルドカー
ド式: 一致する
ワイルドカー
ド式
3 数値: サブ文字
列が開始する
検索の位置
String.Replace
文字列
指定された文字列によって置き換えられたサ
ブ文字列を持つ文字列
1 文字列: 文字列
は置き換える
サブ文字列を
含んでいます
2 数値: 置き換え
を開始する位
置
3 数値: 置き換え
る文字数
4 文字列: 置き換
えの文字列
McAfee Web Gateway 7.5.0
製品ガイド
645
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
String.ReplaceAll
文字列
文字列は指定された文字列が置き換えられそ
れぞれのサブ文字列が発生します
1 文字列: 文字列
は置き換える
サブ文字列を
含んでいます
2 文字列: サブ文
字列の置き換
え
3 文字列: 置き換
えるサブ文字
列
String.ReplaceAllMatches
文字列
文字列は指定されたような文字列に置き換え
られたワイルドカード式に一致するそれぞれ
のサブ文字列が発生します
1 文字列: 文字列
は置き換える
サブ文字列を
含んでいます
2 ワイルドカー
ド式: 一致する
ワイルドカー
ド式
3 文字列: 置き換
えるサブ文字
列
String.ReplaceFirst
文字列
文字列は指定された文字列が置き換えられ最
初のサブ文字列が発生します
1 文字列: 文字列
は置き換える
サブ文字列を
含んでいます
2 文字列: 置き換
えるサブ文字
列
3 文字列: 置き換
えの文字列
String.ReplaceFirstMatch
文字列
文字列は指定されたような文字列に置き換え
られたワイルドカード式に一致する最初のサ
ブ文字列が発生します
1 文字列: 文字列
は置き換える
サブ文字列を
含んでいます
2 ワイルドカー
ド式: 一致する
ワイルドカー
ド式
3 文字列: サブ文
字列の置き換
え
646
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
プロパティのリスト
A
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
String.ReplaceIfEquals
文字列
文字列は指定された文字列が置き換えられす
べてのサブ文字列が発生します
1 文字列: 文字列
は置き換える
サブ文字列を
含んでいます
2 文字列: 置き換
えるサブ文字
列
3 文字列: 置き換
えの文字列
String.SubString
文字列
開始位置と長さで指定した文字列に含まれて
いるサブ文字列
1 文字列: 文字列
はサブ文字列
を含んでいま
す
2 数値: サブ文字
列を開始する
位置
3 数値: サブ文字
列の文字数
数字が指定され
ていない場合、サ
ブ文字列はオリ
ジナルの文字列
の最後まで拡張
します。
String.SubStringBetween
文字列
この文字列の 2 つのその他文字列の間で拡張 1 文字列: 文字列
する文字列のサブ文字列
はサブ文字列
を含んでいま
他のサブ文字列の最初を探すとともに、この
サブ文字列の検索を開始します。この文字列
す
が見つかった場合、検索は次のサブ文字列の
2 文字列: サブ文
検索を継続します。
字列はサブ文
最初のサブ文字列が見つからなかった場合は
字列を要求す
検索結果がでません。2 番目のサブ文字列が
る前に直ちに
見つからなかった場合、見つけるサブ文字列
は最初のサブ文字列からメイン文字列の終わ
終了します
りまで拡張します。
3 文字列: サブ文
字列はサブ文
字列を要求し
た後に直ちに
開始します
String.ToCategory
カテゴリ
文字列はカテゴリへ変換しました
String.ToDimension
ディメンシ 文字列はディメンションへ変換しました
ョン
文字列: 変換する
文字列
String.ToHex
16 進法
16 進値に変換された文字列
文字列: 変換する
文字列
String.ToIP
IP
IP アドレスに変換された文字列
文字列: 変換する
文字列
McAfee Web Gateway 7.5.0
文字列: 変換する
文字列
製品ガイド
647
A
構成リスト
プロパティのリスト
表 A-22 プロパティ - S (続き)
名前
タイプ
説明
パラメーター
String.ToIPRange
PRange
IP アドレス範囲に変換された文字列
文字列: 変換する
文字列
String.ToMediaType
MediaType メディア タイプに変換された文字列
文字列: 変換する
文字列
String.ToNumber
数値
数に変換された文字列
文字列: 変換する
文字列
String.ToSSOConnector
文字列
クラウド サービスまたはアプリケーションの 文字列:サービス
サービス ID を対応するクラウド コネクター ID
の名前に変換します。
String.ToStringList
文字列リス 文字列リストに変換された文字列
ト
文字列リストは変換する文字列の要素のリス
トです。例: 変換する文字列はテキストの可
能性があり、文字列リストはこのテキストの
単語リストです。
1 文字列: 変換す
る文字列
2 文字列: 区切り
記号
区切り記号は変換する文字列内で要素を区切 3
るサブ文字列です。例: 通常のテキストでは、
区切り記号はスペースです。スペースまたは
複数の文字などサブ文字列は単一文字の可能
性があります。スペースを指定するにはスペ
ース キーを押します。
文字列: サブ文
字列はサブ文
字列を要求し
た後に直ちに
開始します
調整文字は変換する文字列の始めまたは最後
の要素に表示されますが、文字列リストには
表示されません。たとえば、カンマ、ピリオ
ド、単一疑問符などが調整文字になります。
また、タブ位置や改行など「不可視」の可能
性もあります。
調整文字を指定するには、お互いから離れて
いないユーザー インターフェースに提供され
たフィールドに調整する文字を入力します。
次の組み合わせを使用して非表示の文字を入
力します。
\t – タブ ストップ
\r – 復帰改行
\n – 改行
\b – バックスペース
\\ – バックスラッシュ
区切り記号として文字を指定した場合、文字
列リストの結果からも削除されるため、調整
文字として指定する必要はありません。
648
String.ToWildcard
ワイルドカ ワイルドカード式に変換された文字列
ード式
String.URLDecode
文字列
エンコード形式で指定された URL の標準形
式
文字列: エンコー
ド形式の URL
String.URLEncode
文字列
URL のエンコード形式
文字列: エンコー
ドする URL
System.HostName
文字列
アプライアンスのホスト名
System.UUID
文字列
アプライアンスの UUID (Universal Unique
Identifier)
McAfee Web Gateway 7.5.0
製品ガイド
文字列: 変換する
文字列
構成リスト
プロパティのリスト
A
表 A-23 プロパティ - T
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Timer.FirstReceivedFirstSentClient
数値 アプライアンスのクライアントから最初のバイトを受信し
てから、トランザクション内でこのクライアントに最初のバ
イトを送信するまでの処理時間
このプロパティは、FTP 接続でなく HTTP または HTTPS
接続の場合にのみ使用できます。
Timer.FirstSentFirstReceivedServer
数値 アプライアンスから Web サーバーに最初のバイトを送信
してから、トランザクション内でこのサーバーから最初のバ
イトを受信するまでの処理時間
このプロパティは、FTP 接続でなく HTTP または HTTPS
接続の場合にのみ使用できます。
Timer.HandleConnectToServer
数値 トランザクション内で Web サーバーに接続するまでの処
理時間
Timer.LastReceivedLastSentClient
数値 アプライアンスのクライアントから最後のバイトを受信し
てから、トランザクション内でこのクライアントに最後のバ
イトを送信するまでの処理時間
このプロパティは、FTP 接続でなく HTTP または HTTPS
接続の場合にのみ使用できます。
Timer.LastSentLastReceived
FromServer
数値 アプライアンスから Web サーバーに最後のバイトを送信
してから、トランザクション内でこのサーバーから最後のバ
イトを受信するまでの処理時間
このプロパティは、FTP 接続でなく HTTP または HTTPS
接続の場合にのみ使用できます。
Timer.ResolveHostNameViaDNS
数値 トランザクション内で DNS サーバーでホスト名を検出す
るまでの処理時間
計算されるのは、外部サーバーの検索時間です。キャッシュ
の検索は考慮されません。
Timer.TimeConsumedByRuleEngine
数値 すべての関連処理サイクルでルール エンジンが要求の処理
にかかった時間
すべての関連処理サイクルでの要求の処理は 1 つのトラン
ザクションとして見なされます。
Timer.TimeForTransaction
数値 すべての関連処理サイクルで、ルール エンジンがアプライ
アンスで受信した要求の処理にかかった時間
このプロパティは、FTP 接続でなく HTTP または HTTPS
接続の場合にのみ使用できます。
Tunnel.Enabled
McAfee Web Gateway 7.5.0
ブー true の場合、HTTP または HTTPS トンネルが有効になっ
ル
ています。
製品ガイド
649
A
構成リスト
プロパティのリスト
表 A-24 プロパティ - U
名前
タイ
プ
説明
URL
文字
列
Web オブジェクトの URL
URL.Categories
カテ
ゴリ
のリ
スト
URL が属する URL カテゴリのリスト
URL.CategoriesForURL
カテ
ゴリ
のリ
スト
指定された URL が属する URL カテゴリのリスト
URL.CloudLookupLedToResult
パラメ
ーター
文字
列: 文
字列形
式の
URL
true の場合、Global Threat Intelligence サービスがクラウ
ド検索を実行し、URL の評価が取得されています。
URL.DestinationIP
IP
DNS 検索で見つかった URL の IP アドレス
URL.FileExtension
文字
列
要求されたファイルの拡張子
URL.FileName
文字
列
URL でアクセス可能なファイルの名前
URL.ForwardDNSLedToResult
ブー
ル
true の場合、DNS 前方参照により、URL の評価が取得されて
います。
URL.Geolocation
文字
列
URL が属するホストが位置している国への ISO3166 コード
このプロパティに値を割り当てるには、URL フィルター モジ
ュールの次のオプションを有効にする必要があります。
オンラインの GTI Web レピュテーションとカテゴリ化サー
ビスだけを使用する。
650
URL.GetParameter
文字
列
文字列形式での URL のパラメーター
URL.HasParameter
ブー
ル
true の場合、指定されたパラメーターは URL のパラメーター 文字
列: パ
に属します
ラメー
ター名
URL.Host
文字
列
URL が属するホスト
McAfee Web Gateway 7.5.0
文字
列: パ
ラメー
ター名
製品ガイド
構成リスト
プロパティのリスト
A
表 A-24 プロパティ - U (続き)
名前
タイ
プ
説明
パラメ
ーター
URL.Host.BelongsToDomains
ブー
ル
true の場合、特定の URL を送信してアクセスを要求したホス 文字列
のリス
トがリスト内のいずれかのドメインに属します。
ト:ド
いずれかのドメインに属するホスト名の名前が
メイン
List:LastMatches プロパティの値に設定されます。
名のリ
URL.Host.BelongsToDomains プロパティを使用すると、 スト
URL に含まれているドメイン名またはドメイン名のドットよ
り左側の部分 (*.domain.com) と比較することができます。
ドメイン名 (*domain.com) に含まれる部分は一致と見なさ
れません。
例:
ドメイン リスト は、プロパティのパラメーターとして指定さ
れる文字列リストです。次の項目が含まれています (URL で
ドメイン名の前のドットは省略しています)。
twitter.com
mcafee.com
dell.com
k12.ga.us
xxx
条件:
URL.Host.BelongsToDomains("Domain List")
equals true
比較される URL:
http://twitter.com
http://www.twitter.com
http://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
any.site.xxx
比較されない URL:
http://malicioustwitter.com
http://www.mymcafee.com
http://www.treasury.ga.us
このプロパティを使用すると、複雑な条件を作成しなくても同
じ結果を得ることができます。例:
• ワイルカードを含む式のリストに 2 つの項目を使用する場
合:
twitter.com と *twitter.com
• ワイルドカードを含む式に複雑な項目を使用する場合:
regex((.*\.|.?)twitter\.com)
これらの項目が Other Domain List リストに含まれている
場合、次の条件が twitter.com ドメインと比較されます。
URL.Host と "Other Domain List" の比較
McAfee Web Gateway 7.5.0
製品ガイド
651
A
構成リスト
プロパティのリスト
表 A-24 プロパティ - U (続き)
名前
タイ
プ
説明
パラメ
ーター
URL.HostIsIP
ブー
ル
true の場合、ホストへのアクセスで送信される URL は IP ア
ドレスです。
URL.IsHighRisk
ブー
ル
true の場合、URL のレピュテーション スコアは高リスク範囲
内にあります
URL.IsMediumRisk
ブー
ル
true の場合、URL のレピュテーション スコアは中リスク範囲
内にあります
URL.IsMinimalRisk
ブー
ル
true の場合、URL のレピュテーション スコアは低リスク範囲
内にあります
URL.IsUnverifiedRisk
ブー
ル
true の場合、URL のレピュテーション スコアは未確認のリス
ク範囲内にあります
URL.Parameters
文字
列リ
スト
URL パラメーターのリスト
URL.ParametersString
文字
列
URL にパラメーターを含む文字列
URL.Path
文字
列
URL のパス名
URL.Port
数値
URL のポート番号
URL.Protocol
文字
列
URL のプロトコル
URL.Raw
文字
列
クライアントまたは他のネットワーク コンポーネントからア
プライアンスが受信した URL (元の形式)
URL にパラメーターが含まれている場合、文字列が ? 文字で始
まっています。
ルール構成に対してこのプロパティを使用すると、単純な URL
プロパティに対して処理が実行され、URL を可読形式に変換す
る時間が短縮されるため、処理速度が向上します。
652
URL.Reputation
数値
URL のレピュテーション スコア
URL.ReputationForURL
数値
指定された URL のレピュテーション スコア
URL.ReputationString
文字
列
文字列は URL のレピュテーション スコアを表します
URL.ReverseDNSLedToResult
ブー
ル
true の場合、DNS 逆引き参照により、URL の評価が取得され
ています。
McAfee Web Gateway 7.5.0
文字
列: 文
字列形
式の
URL
製品ガイド
構成リスト
プロパティのリスト
A
表 A-24 プロパティ - U (続き)
名前
タイ
プ
説明
パラメ
ーター
URL.SmartMatch
ブー
ル
true の場合、このプロパティのパラメーターで渡された URL
リストで文字列として指定されている 1 つ以上の部分と URL
が比較されます。
文字列
リス
ト:文
字列形
この文字列リストの項目には、サブ文字列として URL のドメ 式の
インンまたはパス部分を指定する必要があります。両方を指定 URL
することもできます。
部分か
URL に指定されたドメインのサブドメインしか含まれていな ら構成
された
い場合には、ドメイン部分も比較されます。
リスト
パス部分は、URL のパス部分の先頭が比較されます。
また、リスト項目に URL のプロトコルとポートを指定できま
す。
文字列リストの項目のドメイン部分またはパス部分 (あるいは
その両方) と URL が比較され、プロトコル部分とポート部分
(いずれも指定されている場合) が比較された場合、プロパティ
の値が true になります。
文字列リストの項目にポートが指定され、URL が指定された場
合、該当する結果が戻されません。
たとえば、次の項目を含む文字列リストを使用します。
http://www.mycompany.com/samplepath/xyz
比較結果は次のとおりです。
mycompany.com (一致)
http://mycompany.com (一致)
https://mycompany.com (不一致)
http://www.mycompany.com/ (一致)
host.mycompany.com (不一致)
http://www.mycompany.com:8080/ (不一致)
http://www.mycompany.com/samplepath/ (一致)
/samplepath/ (一致)
mycompany.com/samplepath/ (一致)
com (一致)
このプロパティを使用すると、複雑な URL ホワイトリストま
たはブラックリストと比較して検索を行うことができます。た
とえば、URL ホストと完全な URL の両方の項目を含むリスト
を使用できます。
User-Defined.cacheMessage
文字
列
Web キャッシュの使用率の情報を提供するメッセージ テキス
ト
User-Defined.eventMessage
文字
列
イベントで情報を提供するメッセージ テキスト
User-Defined.loadMessage
文字
列
CPU 負荷で情報を提供するメッセージ テキスト
User-Defined.logLine
文字
列
ログ ファイルに書き込まれるエントリ
User-Defined.
monitorLogMessage
文字
列
ログ ファイルに書き込まれるエントリ
McAfee Web Gateway 7.5.0
製品ガイド
653
A
構成リスト
ワイルドカード式
表 A-24 プロパティ - U (続き)
名前
タイ
プ
説明
パラメ
ーター
User-Defined.
notificationMessage
文字
列
通知メッセージのテキスト
User-Defined.
requestLoadMessage
文字
列
要求負荷で情報を提供するメッセージ テキスト
User-Defined.
requestsPerSecond
数値
1 秒間にアプライアンスで処理される要求数
V で始まるプロパティはありません。
表 A-25 プロパティ - W
名前
タイプ 説明
パラメーター
Wildcard.ToString 文字列 ワイルカード表現は文字列に変換され ワイルドカード式: 変換するワイルドカード
ます
式
V、X、Y または Z で始まるプロパティはありません。
ワイルドカード式
構成アクティビティがアプライアンスで完了したら、ブロック リストやホワイトリストに URL を一致させるためな
ど、複数の目的に対してワイルドカード式を使用できます。
使用できるワイルドカード式には、2 つのタイプがあります。
•
glob 表現 — これらの使用はデフォルトで行われます。
表現タイプに関する詳細は、次の Linux マン ページなどに記載されています。
glob(7)
•
正規表現(Regex) — これらを使用する場合は、regex という語を最初に入力した後、半角丸括弧内に正規表
現を含める必要があります。例は次のとおりです。
regex(a*b)
McAfee Web Gateway アプライアンスで使用される正規表現は、Perl の正規表現構文に従います。この構文に
関する情報は、次の Linux マン ページなどに記載されています。
perlre(1)
ワイルドカード式のテスト
ワイルドカード式をリストに追加する際には、テストを行ってから実際に追加することができます。
タスク
654
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、[ワイルドカード式]を展開し、リストを選択します。
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
ワイルドカード式
3
A
設定ペインで、[追加]アイコンをクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
4
入力フィールドにワイルドカード式を入力し、[テスト]をクリックします。
[ワイルドカード式のテスト]ウィンドウが開き、式が有効であるかどうかに関する情報が表示されます。
重要な特殊 glob 文字のリスト
以下の表は、glob タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提供
します。
表 A-26 重要な特殊 glob 文字のリスト
文字 説明
?
任意の単一の文字と一致します(角括弧の間にない場合)。
例: ?est は、以下と一致します。
best
rest
test
およびその他
*
空の文字列を含む任意の文字列と一致します(角括弧の間にない場合)。
例: b* は、以下と一致します。
b
best
binary
およびその他
[...] 角括弧に含まれるいずれかの単一の文字と一致します。
? および * は角括弧内の通常文字です。
例: [a5?] は、以下と一致します。
a
5
?
最初の文字は! 以外である必要があります(感嘆符)。
!
感嘆符の後の文字を除く任意の 1 文字と一致します。
例: [!ab] は、以下と一致します。
c
S
%
以下とは一致しません。
a
b
McAfee Web Gateway 7.5.0
製品ガイド
655
A
構成リスト
ワイルドカード式
表 A-26 重要な特殊 glob 文字のリスト (続き)
文字 説明
-
文字の範囲を示すために使用されます。
例: [a-f A-F 0-5] は、以下と一致します。
d
F
3
およびその他
/
? および * とは一致しません。また、[...] に含むこと、および範囲の一部にすることができません。
これは、たとえば、以下のことを意味します
http://linux.die.net/*
は以下のパス名と一致しません。
http://linux.die.net/man/7/glob
しかし、パス名は次と一致します。
http://linux.die.net/*/*/*
\
前に ?、*、または [ が付いている場合、これらは通常文字になります。
例: [mn\*\[] は、以下と一致します。
m
n
*
[
.
.(ドット)で始まるファイル名は明示的に一致する必要があります。
例: 以下のコマンド
rm *
はファイル .profile を削除しません。
しかし、次のコマンドの場合は削除します。
rm .*
重要な特殊正規表現文字のリスト
以下の表は、正規表現タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提
供します。
以下の例には、regex の用語と括弧が含まれます。アプライアンスでこれらの式に関する作業を行う際には、両方
を使用する必要があります。
656
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
ワイルドカード式
A
表 A-27 重要な特殊正規表現文字のリスト
文字
説明
.
任意の 1 文字と一致します。
例: regex(.est) は、以下と一致します。
best
rest
テスト
およびその他
*
前の文字 0 回以上と一致します
例: regex(a*b) は、以下と一致します。
b
ab
aaaaab
およびその他
+
前の文字 1 回以上と一致します。
例: regex(c+d) は、以下と一致します。
cd
ccccd
およびその他
?
前の文字 0 回または 1 回と一致します。
例: regex(m?n) は、以下と一致します。
n
mn
^
行の先頭と一致します
$
行の末尾と一致します。
McAfee Web Gateway 7.5.0
製品ガイド
657
A
構成リスト
ワイルドカード式
表 A-27 重要な特殊正規表現文字のリスト (続き)
文字
説明
{...} 指定回数の 1 文字と一致するために使用します。
オプション:
• a{n} — n 回の 1 文字と一致します。
例: regex(a{3}) は、以下と一致します。
aaa
• a{n,} — n 回以上の 1 文字と一致します。
例: regex(p{4,}) は、以下と一致します。
pppp
ppppp
およびその他
• a{n,m} — 限界値を含めて n ~ m 回と一致します。
例: regex(q{1,3}) は、以下と一致します。
q
qq
qqq
|
二者択一的に一致する表現を分割します。
例: regex(abc|klm) は以下と一致します。
abc
klm
(...)
他の表現と組み合わせて、別の表現を区切ります。
例: regex(bi(n|rd)) は以下と一致します。
bin
bird
[...]
角括弧に含まれるいずれかの単一の文字と一致します。
例: regex([bc3]) は、以下と一致します。
b
c
3
-
文字の範囲を括弧内の表現で示すために使用されます。
例:regex([c-f C-F 3-5]) は、以下と一致します。
d
F
4
およびその他
658
McAfee Web Gateway 7.5.0
製品ガイド
構成リスト
ワイルドカード式
A
表 A-27 重要な特殊正規表現文字のリスト (続き)
文字
説明
^
かっこ内にある表現を、アクセント サーカムフレックスの後に続く文字を除き、任意の 1 文字と一致しま
す。
例: regex([^a-d]) は、以下と一致します。
e
7
&
およびその他。以下を除きます。
a
b
c
d
\
特殊文字の前にある場合、それを通常の文字に変換します。
例: regex(mn\+) は、以下と一致します。
mn+
通常の文字の前にある場合、文字の特定のクラスと一致します。
これらのクラスの詳細については、perlre man ページまたはその他のドキュメントを参照してください。
次はよく使われる文字クラスの例です。
regex(\d) は、次のような数字と一致します。
3
4
7
およびその他
regex(\w) は次のようなすべてのアルファベット文字と一致します。
a
F
s
およびその他
regex(\D) は数字ではなく次のようなすべての文字と一致します。
c
T
%
およびその他
McAfee Web Gateway 7.5.0
製品ガイド
659
A
構成リスト
ワイルドカード式
660
McAfee Web Gateway 7.5.0
製品ガイド
B
REST インターフェース
アプライアンスの標準インターフェースにログオンすることなく、アプライアンスを管理することを可能にするイン
ターフェースが提供されています。この代わりのインターフェースは、REST()インターフェースとして知られて
います。
REST インターフェースを使用して、さまざまな種類のアクティビティを特定のアプライアンス、またはそれに接続
されている他のアプライアンスに実行できます。
•
アクション — アプライアンスをオフ、再起動、キャッシュを消去、構成バックアップを作成、およびさまざまな
他のアクティビティを実行します。
•
ファイル処理 — ダウンロード、変更、削除、およびその他のアクティビティを実行するために、システムにアク
セス、ログ、およびファイルのトラブルシューティングします
•
ポリシー構成 — エンジンおよびルール アクションの設定を構成したり、有効化、追加、削除、エクスポート、
インポートなどのアクティビティを実行することにより、ルール セットおよびルールを管理したりします。
•
更新 — 手動エンジン構成および自動 yum 更新とエンジン更新のトリガーを実行します。
適切なスクリプトは、これらのアクティビティを実行する通常の方法です。
目次
REST インターフェースの使用の準備
REST インターフェースの操作
REST インターフェースを操作するためのサンプル スクリプト
McAfee Web Gateway 7.5.0
製品ガイド
661
B
REST インターフェース
REST インターフェースの使用の準備
REST インターフェースの使用の準備
ユーザーが REST インターフェースを操作できるようにするには、アプライアンスの標準ユーザー インターフェー
スで REST インターフェースを有効にし、アクセスを許可する必要があります。
タスク
•
662 ページの「インターフェースの使用の有効化」
アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェー
スの使用を有効化できます。
•
662 ページの「インターフェースにアクセスする権限を与える」
インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限
を追加する必要があります。
インターフェースの使用の有効化
アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェースの使用を有
効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、REST インターフェースを使用して管理するアプライアンスを選択して、[ユーザー
インタフェース]をクリックします。
3
[UI アクセス]で、必要に応じて、[HTTP 経由の REST インターフェースの有効化]または[HTTPS 経由の REST
インターフェースの有効化]を選択します。
4
[変更の保存]をクリックします。
インターフェースにアクセスする権限を与える
インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限を追加する必
要があります。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[ロール領域]で管理者ロールを選択して、[編集]をクリックします。
[ロールの編集]ウィンドウが開きます。
3
[REST インタフェースがアクセス可能]を選択します。
4
[OK]をクリックしてウィンドウを閉じます。
5
[変更の保存]をクリックします。
これで、管理者ロールを適切なユーザーに割り当てることができます。
662
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
既存のロールにアクセス権限を追加する代わりに、この権限を持つ新しいロールを作成して、それを名前を付けるこ
とも可能です。例: REST Admin。
REST インターフェースの操作
REST インターフェースを操作する際には、1 つまたは複数のアプライアンスでアクティビティを実行するために、
HTTP または HTTPS の要求を送信することを目的として REST インターフェースを使用します。
直ちに処理される個々の要求を送信したり、bash スクリプトなどのスクリプト内で要求を使用したりすることがで
きます。後者は、一般的な使用法です。
要求は、この要求を処理して応答を送信するためのサーバーを提供するアプライアンスのクライアントを使用して、
REST インターフェースに送信されます。このサーバーでは特定の作業領域が割り当てられるため、一部のタイプの
変更を適用するには、変更を確定するための要求を送信して、この変更が有効になるようにする必要があります。
1 つのアプライアンスで REST インターフェースにログオンする際には、認証が行われ、セッション ID が提供され
ます。すると、アプライアンスでアクションを実行したり、ファイルやリストを操作したりするために、HTTP また
は HTTPS の要求を送信できます。さらに、集中管理構成でノードとして接続されているその他のアプライアンス(最
初にログオンしたアプライアンス以外)でも、同じことを実行できます。
REST インターフェースは、ATOM 形式とも呼ばれる特定の形式で提供されます。
インターフェース サーバーと通信するためのクライアントとして、curl(Client for URLs)などのデータ転送ツー
ルを使用することができます。
要求を送信するためのサンプル スクリプト
curl を使用して REST インターフェースに要求を送信する bash スクリプトの例は、次のとおりです。要求の目的
は、構成バックアップを作成することです。
このスクリプトは、基本的に以下を実行します。
•
アプライアンスで REST インターフェースへのログオンと認証を行う
•
バックアップ ファイルを作成するための要求を送信する
•
再度ログオフする
また、このスクリプトは、REST インターフェースにログオンするための要求内で指定された URL に対する変数を
使用します。この変数は、先頭で設定されます。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Create backup file
curl -b cookies.txt -X POST "$REST/backup" -o filename.backup
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
McAfee Web Gateway 7.5.0
製品ガイド
663
B
REST インターフェース
REST インターフェースの操作
データ転送ツールとしての curl の使用
アプライアンスで REST インターフェースに要求を送信するために、データ転送ツールとして curl を使用すること
ができます。
curl を使用して送信される要求は、curl コマンド、1 つまたは複数のオプション、および 1 つの URL という 3 つ
の部分で通常は構成されます。
たとえば、次のバックアップ要求が送信されたとします。
curl -b cookies.txt -X POST "$REST/backup" -o filename.backup
ここで、curl コマンドは、テキスト ファイル内に収集された cookie を送信するための -b オプション、および別の
ファイルに要求の出力を保存する -o オプションとともに指定されています。-X オプションは、要求メソッドに対す
るものです。
URL は、IP アドレス、ポート番号、およびアプライアンスで REST インターフェースにアクセスするために必要な
その他の情報を値として持つ変数として指定されます。この後には、実行する必要のあるアクティビティの名前が続
きます。
これらと、curl の他のオプションを、適切な URL とともに使用することにより、必要に応じてアクティビティを実
行するために、アプライアンスで REST インターフェースに要求を送信できます。
curl データ転送ツールは、Linux およびその他の UNIX オペレーティング システムで利用可能です。詳細は、curl
マン ページなどで説明されています。
要求メソッド
要求メソッドは、-X オプションによって curl で指定されます。アプライアンスで REST インターフェースを操作す
る際には、GET、POST、PUT、および DELETE という方法を使用することができます。例は次のとおりです。
curl -X POST <URL>
要求メソッドが指定されていない場合は、デフォルトのメソッドとして GET が使用されます。
ヘッダー
要求とともにヘッダーが送信される場合は、-H オプションによって指定されます。例は次のとおりです。
curl -H <ヘッダー名>:<ヘッダー値> -X POST <URL>
-H オプション文字を各ヘッダーの前で繰り返すことにより、1 つの要求内で複数のヘッダーを送信できます。
curl -H <ヘッダー名 1>:<ヘッダー値 1> -H <ヘッダー名 2>:<ヘッダー 2> <...>-X POST <URL>
要求には、application/atom+xml を値として持つ Accept ヘッダーが通常は含まれています。curl では、
REST インターフェースで受け入れられる Accept: */* がデフォルトとして送信されるため、多くの場合はこのヘ
ッダーを省略してもかまいません。
ただし、要求の本文内にあるデータを送信する場合は、application/atom+xml を値として持つ Content-Type
ヘッダーを含める必要があります。その後、Content-Length ヘッダーを含めて正しく設定する必要もあります。
後者については、デフォルトによって curl で行われるため、このツールを使用する場合には明示的に行う必要はあ
りません。
要求時に取得する応答のヘッダーを出力に含める場合は、-i オプションを挿入する必要があります。
curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST
"$REST/login"
-v オプションは、詳細出力を作成します。つまり、要求ヘッダーも含まれるようになります。
664
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
URL
要求内の URL は、プロトコル(REST インターフェースとの通信において HTTP または HTTPS)、IP アドレスまた
はホスト名と、要求が送信される先のアプライアンスのポート番号、および REST インターフェースへのアプライア
ンスの内部パスを指定します。
この後には、実行する必要のあるアクティビティの名前と、存在する場合はさらなるパラメーターが続きます。
REST インターフェースはアプライアンスのコンフィギュレーター サブシステム内にあるため、このサブシステムの
内部名である Konfigurator が URL 内に現れます。
たとえば、ログイン要求内の URL は、次のようになります。
curl -X POST "HTTP://localhost:4711/Konfigurator/REST/login?userName=myusername
&pass=mypassword
この要求では、ログオン認証情報に対するクエリ パラメーターも URL 内にあります。クエリ パラメーターは、示す
ように、?(疑問符)によって導入され、&(アンパサンド)で区切られます。また、URL は、;(セミコロン)によ
って導入されるマトリックス パラメーターを持つこともできます。
URL エンコードが正しくなるように、URL 内のスペースは %20 記号で埋める必要があります。たとえば、Bob
Smith は Bob%20Smith にします。
コードの書き込みと読み取りを容易にするために、URL 内では変数を使用できます。たとえば、$REST 変数を適宜
設定した場合、上記の要求は次のようになります。
curl -X POST "$REST/login?userName=myusername&pass=mypassword
要求本文内のデータの送信
要求の本文内にあるデータを送信するには、そのデータを含んでいるファイルの名前の前で -d オプションを使用し
ます。
curl -b cookies.txt -X POST -d "file.txt" "$REST/list?name=newlist&type=string"
バイナリ データのみを送信する場合に使用するオプションは、--data-binary です。
curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H
"Content-Type:text/plain; charset=UTF-8"
ファイル名を指定するためのオプション名の後には、@ 記号を使用できます。
インターフェースへの認証
REST インターフェースを使用して、アプライアンスのアクティビティを実行する前に、認証する必要があります。
認証するには、REST インターフェースに送信するログオン要求でユーザー名とパスワードを提出します。
それらを提出するには、以下の 2 つの方法があります。
•
クエリ パラメーターの使用
•
認証ヘッダーの使用
認証に成功した後、応答には後に続くそれぞれの要求に含む必要のある、セッション ID が含まれます。
認証のためにクエリ パラメーターを使用する
ログオン要求で URL に追加するクエリ パラメーターで認証情報を提出できます。
curl -i -X POST "$REST/login?userName=myusername&pass=mypassword"
McAfee Web Gateway 7.5.0
製品ガイド
665
B
REST インターフェース
REST インターフェースの操作
認証ヘッダーの使用
また、認証するために基本アクセス認証方法を使用することも可能で、それは認証情報を認証ヘッダーに提出するこ
とを必要とします。
curl -i -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/login
認証ヘッダーで、認証: 基本 の後の文字列が、ユーザー名とパスワードの Base64 エンコード形式です。
セッション ID
ログオン要求の応答してセッション ID が送信されます。セッション ID は、次のような形式になっています。
D0EFF1F50909466159728F28465CF763
それは、次のいずれかに含まれます。応答本文:
<entryxmlns="http://www.w3.org/2005/
Atom"><contenttype="text">D0EFF1F50909466159728F28465CF763</content></entry>
Set-Cookie ヘッダー:
Set-Cookie:JSESSIONID=D0EFF1F50909466159728F28465CF763
ログオン要求の後に続くセッションの要求では、セッション ID を JSESSIONID として含める必要があります。
より簡単にコードを書いたり読んだりするために、変数を ID の値に設定し、それを ID を含めるために使用するこ
とが可能です。
export SESSIONID=D0EFF1F50909466159728F28465CF763
ID の前にセミコロンを付けたして、それをマトリックス パラメーターとして URL に付与することができます。
curl -i "$REST/appliances;jsessionid=$SESSIONID"
あるいは、ID を Cookie ヘッダー内で ID を送信できます。
curl -i -H "Cookie:JSESSIONID=$SESSIONID" "$REST/appliances"
curl のオプション -c は、テキストファイルですべての Cookie を収集することを可能にし、それはその後に後続の
要求とともに送信されます。
curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST
"$REST/login"
Cookie ファイルを要求とともに送信するには、オプション -b が使用されます。
curl -i -b cookies.txt "$REST/appliances"
666
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
リソースの要求
システム ファイル、ログ ファイル、リスト、およびその他の項目に関して REST インターフェースに送信された要
求は、リソースの要求と見なされます。
リソースの要求に対する応答は、以下のいずれかに設定できます。
•
エントリ — エントリは、個々のリソースに関する情報(リソースにアクセスするために使用できる ID、名前、
URL など)を xml 形式で配信します。
•
フィード - フィードは、リソースの集合に関する情報を xml 形式で配信します。
フィードの例には、集中管理構成でノードとして利用可能なアプライアンスのリスト、アプライアンスに存在す
るすべてのリストのリスト、または特定のタイプのすべてのリストのリストが含まれます。
•
バイナリ データ — バイナリ データは、ダウンロードを要求したファイル内に配信されます。
要求されたデータが利用可能でない場合は、応答を空にすることもできます。
xml データのオーバーヘッドの削減
応答で受信する xml データのオーバーヘッドは、適切な Accept ヘッダーをリソースの要求に含めることによって
削減できます。この目的のため、ヘッダー値は application/mwg+xml にする必要があります。
通常の Atom 形式のエントリの代わりに、xml データのみをその形式のコンテンツ部分から受信します。
Atom 形式のフィードの代わりに、ID のリストのみを要求したリソースに対して受信します。
同様に、リソースを操作する際(リソースを変更する場合など)にも xml データのオーバーヘッドを削減できます。
このためには、Content-Type ヘッダーを application/mwg+xml に設定する必要があります。
フィードのページング
フィードを要求する際に、ページングを使用することができます。つまり、複数のページに分割されるフィードを要
求することが可能です。
ページング情報は、URL に追加されるクエリ パラメーターによって要求内で指定されます。使用できるパラメータ
ーには、以下の 2 つがあります。
•
PageSize — 1 ページの最大要素数
•
Page — ページ番号
ページングを使用するフィードの要求は、次のようになります。
curl -i -b cookies.txt "$REST/list?pageSize=10&page=4"
たとえば、フィードが 35 リストのリストである場合、上記の要求内の pageSize パラメーターはフィードを 4 ペ
ージに分割し、そのうちの 3 ページにはそれぞれ 10 リスト、最後の 1 つには 5 リストのみが含まれます。また、
最後のページが配信される対象です。
フィード内での移動
フィード内での移動を可能にするため、受信する xml ファイルには適切なリンクが含まれています。
これらのリンクを使用すると、現在、次、前、最初、および最後のページにそれぞれ移動できます。
McAfee Web Gateway 7.5.0
製品ガイド
667
B
REST インターフェース
REST インターフェースの操作
基本アクティビティの実行
REST インターフェースを操作する際には、ログオン、ログオフ、変更の確定、構成バックアップの作成など、複数
の基本アクティビティを作業環境内で実行できます。
POST 要求メソッドは、これらのアクティビティすべてを実行するために使用されます。特定のアクティビティは、
要求の URL に追加されるパラメーターによって指定されます。
たとえば、アプライアンスで REST インターフェースからログオフするための要求は、次のとおりです。
curl -i -b cookies.txt -X POST "$REST/logout"
基本アクティビティに対するパラメーターは、以下のとおりです。
•
login — ログオンします
•
discard — 変更を破棄します
•
logout — ログオフします
•
backup — 構成をバックアップします
•
heartbeat — セッションをキープアライブ(維
持)します
•
restore — 構成を復元します
•
commit — 変更を確定します
これらのアクティビティの実行以外にも、REST インターフェースのバージョンに関する情報、および現在作業して
いるアプライアンスの標準ユーザー インターフェースのバージョンに関する情報も要求することができます。
ログオン
アプライアンスで REST インターフェースにログオンするには、login パラメーターが要求内で使用されます。この
要求内では、認証用の情報も入力します。例は次のとおりです。
curl -i -X POST "$REST/login?userName=myusername&pass=mypassword"
認証が正常に実行されると、ログオン要求に対する応答によってセッション ID が提供されます。
ログオフ
アプライアンスで REST インターフェースからログオフするには、logout パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/logout"
ログオフすると、セッション情報が削除され、必要な確定が行われていないセッション中の変更は破棄されます。
セッションのキープアライブ
要求内で heartbeat パラメーターを使用すると、現在作業しているセッションが維持されます。
curl -i -b cookies.txt -X POST "$REST/heartbeat"
変更の確定
アプライアンスで項目(システム ファイル、ログ ファイル、リストなど)に対して行った変更を確定するには、
commit パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/commit"
変更の破棄
アプライアンスで項目(システム ファイル、ログ ファイル、リストなど)に対して行った変更を破棄するには、
discard パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/discard"
668
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
構成のバックアップ
現在作業しているアプライアンスに対して構成バックアップを作成するには、backup パラメーターが使用されま
す。
curl -b cookies.txt -X POST "$REST/backup -o filename.backup"
構成をバックアップまたは復元する際には、出力の一部として応答ヘッダーは必要ないため、要求内に -i オプショ
ンを含めなくてもかまいません。
構成の復元
現在作業しているアプライアンスの構成を復元するには、restore パラメーターが使用されます。また、バックアッ
プ ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。
curl -b cookies.txt --data-binary @filename.backup -X POST "$REST/restore" -H
"Content-Type:text/plain;charset=UTF-8"
バージョン情報の要求
REST インターフェースのバージョンに関する情報や、現在作業しているアプライアンスの標準ユーザー インターフ
ェースのバージョンに関する情報を要求するには、version パラメーターを使用できます。
このパラメーターを要求内で単独使用すると、両方のインターフェースのバージョンを含むフィードが XML 形式で
取得されます。
curl -i -b cookies.txt -X GET "$REST/version"
また、いずれかのインターフェースに対するバージョン情報のみを取得することもできます。REST インターフェー
スに対しては、次の要求を送信できます。
curl -i -b cookies.txt -X GET "$REST/version/mwg-rest"
標準ユーザー インターフェースに対しては、次の要求を送信できます。
curl -i -b cookies.txt -X GET "$REST/version/mwg-ui"
個々のアプライアンスでの作業
1 つのアプライアンスで REST インターフェースにログオンした後、接続されているその他のアプライアンスでアク
ティビティを実行することができます。個々のアプライアンスは、その UUID(ユニバーサル固有識別子)によって
要求内で識別されます。
個々のアプライアンスの UUID を調べるには、集中管理構成でノードとして接続されているすべてのアプライアンス
のフィードを、現在作業しているアプライアンスに要求できます。
フィードには、すべてのノードに対する UUID のリストが含まれます。UUID は次のようになります。
081EEDBC-7978-4611-9B96-CB388EEFC4BC
フィードを取得するために、GET 要求が送信されます(appliances パラメーターが URL に追加された状態で)。
curl -i -b cookies.txt -X GET "$REST/appliances"
これで、個々のアプライアンスを UUID によって識別し、たとえば、action パラメーターと shutdown アクショ
ン名が追加された POST 要求を使用してこのアプライアンスをシャットダウンできます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown"
適切なスクリプトを実行するなどして、フィードによって UUID が配信された個々のアプライアンスすべてで、この
アクションまたはその他のアクティビティを繰り返すことが可能です。
McAfee Web Gateway 7.5.0
製品ガイド
669
B
REST インターフェース
REST インターフェースの操作
アクション
REST インターフェースを操作する際のアクションとは、要求内の action パラメーターに先行するアクティビティ
です。リソースの変更を伴わず、アクションは直ちに実行され、確定するための要求は必要ありません。
アクション名は以下のとおりです。
•
restart — アプライアンスを再起動します
•
rotateLogs — ログ ファイルのローテーション
を行います
•
shutdown — アプライアンスをシャットダウ
ンします
•
rotateAndPushLogs — ログ ファイルのロー
テーションとプッシュを行います
•
flushcache — キャッシュをフラッシュします
•
license — ライセンスをインポートします
アプライアンスの再起動
アプライアンスを再起動するには、要求内のアクション名として restart が使用されます。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/action/restart"
アプライアンスのシャットダウン
アプライアンスをシャットダウンするには、アクション名として shutdown が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown"
キャッシュのフラッシュ
アプライアンスでキャッシュをフラッシュするには、アクション名として flushcache が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/flushcache"
ログ ファイルのローテーション
アプライアンスでログ ファイルのローテーションを行うには、アクション名として rotateLogs が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/rotateLogs"
ログ ファイルのローテーションとプッシュ
アプライアンスでログ ファイルのローテーションとプッシュを行うには、アクション名として
rotateAndPushLogs が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/" <UUID>/action/rotateAndPushLogs"
ライセンスのインポート
アプライアンスでライセンスをインポートするには、アクション名として license が使用されます。また、ライセ
ンス ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。
curl -i -b cookies.txt -H "Content-Type:text/plain; charset=UTF-8" -X POST "$REST/
appliances/ <UUID>/action/license" --data-binary @license.xml
ファイルとリストの操作
システム ファイル、ログ ファイル、トラブルシューティング用にアップロードされたファイル、およびリストを操
作する際には、action パラメーターの代わりに、system、log、files、および list といったパラメーターが要求
内で使用されます。
670
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
システム ファイルおよびリストに対して行われた変更は、適切な要求を送信することによって確定される必要があり
ます。
システム ファイルの操作
アプライアンスでシステム ファイルを操作するために、REST インターフェースを使用することができます。
不適切な方法でシステム ファイルを移動すると、正常に動作しているアプライアンスに影響を与える可能性がありま
す。
特定のアプライアンスでシステム ファイル(/etc/hosts ファイルなど)にアクセスするための要求内では、UUID
を使用してアプライアンスを識別し、system パラメーターを URL に追加します。
システム ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接ア
クセスすることができます。
それ以外の場合は、アプライアンスに存在するシステム ファイルのリストを配信するフィードを要求できます。例は
次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/system"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
システム ファイルに関しては、以下を実行できます。
•
システム ファイルのダウンロード
•
システム ファイルの変更
アプライアンスのログ ファイルやその他のファイルとは異なり、システム ファイルに対して行った変更を確定する
ための要求を別途に送信する必要があります。
FIPS 対応モードでアプライアンスを実行している場合は、システム ファイルを変更できません。
システム ファイルのダウンロード
システム ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、
このシステム ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID> /system/etc/hosts" -O
-O オプションは、データをローカル ファイル(名前は、データをダウンロードしたアプライアンスで指定されてい
るものと同じ)内に保存します。
システム ファイルの変更
システム ファイルを変更する際には、Content-Type ヘッダーを設定し、このシステム ファイルのパスと名前を
URL に追加します。また、ファイルは、このシステム ファイルを変更するためのバイナリ形式データを含む要求本
文として提供します。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/
system/etc/hosts" --data-binary @binary.zip
ログ ファイルの操作
アプライアンスでログ ファイルを操作するために、REST インターフェースを使用することができます。
特定のアプライアンスでログ ファイルにアクセスするための要求内では、UUID を使用してアプライアンスを識別
し、log パラメーターを URL に追加します。
McAfee Web Gateway 7.5.0
製品ガイド
671
B
REST インターフェース
REST インターフェースの操作
ログ ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接アクセ
スすることができます。
それ以外の場合は、アプライアンスのルート ログ ディレクトリに保存されているファイルとディレクトリのリスト
を配信するフィードを要求できます。例は次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/log"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
応答のフィードとして受信する xml ファイルは、MIME タイプの情報を提供し、個々のログ ファイルであるのか、
またはディレクトリであるのかを、フィード内の各要素に対して示します。
•
"application/x-download" — 個々のログ ファイルの場合
•
"application/atom+xml; type=feed" — ディレクトリの場合
たとえば、ルート ログ ディレクトリに個々のログ ファイル debug_1234.log が含まれていることを示す xml フ
ァイルは、次のようになります。
<link href="http://localhost:4711/Konfigurator/REST/appliances/
081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/debug_1234.log" rel="self"
type="application/x-download"/>
また、ディレクトリ connection_tracing が含まれていることは、次のように示されます。
<link href="http://localhost:4711/Konfigurator/REST/appliances/
081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/connection_tracing" rel="self"
type="application/atom+xml; type=feed"/>
個々のログ ファイルに関しては、以下を実行できます。
•
ログ ファイルのダウンロード
•
ログ ファイルの削除
ログ ファイルのダウンロード
ログ ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、この
ログ ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID> /log/debug/debug_1234.log" -O
-O オプションは、ログ ファイル データをローカル ファイル(名前は、データをダウンロードしたアプライアンス
で指定されているものと同じ)内に保存します。
ログ ファイルの削除
ログ ファイルを削除する際には、このログ ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/log/debug/debug_1234.log"
トラブルシューティング用にアップロードされたファイルの操作
アプライアンスでトラブルシューティングを目的としてアップロードされたファイルを操作するために、REST イン
ターフェースを使用することができます。
アプライアンスの標準ユーザー インターフェースでは、[トラブルシューティング]トップレベル メニューからアク
セスできる[ファイル]の下に、トラブルシューティングを目的としてファイルをアップロードできます。
672
McAfee Web Gateway 7.5.0
製品ガイド
B
REST インターフェース
REST インターフェースの操作
特定のアプライアンスでアップロードされたファイルの 1 つにアクセスするための要求内では、UUID を使用してア
プライアンスを識別し、files パラメーターを URL に追加します。
アップロードされたファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイ
ルに直接アクセスすることができます。
それ以外の場合は、これらのファイルのリストを配信するフィードを要求できます。例は次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/files"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
アップロードされたファイルに関しては、以下を実行できます。
•
アップロードされたファイルのダウンロード
•
アップロードされたファイルへのファイルの追加
•
アップロードされたファイルの変更
•
アップロードされたファイルの削除
アップロードされたファイルのダウンロード
アップロードされたファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダー
を指定し、このファイルの名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID>/files/troubleshooting.zip" -O
-O オプションは、ダウンロードされたデータをローカル ファイル(名前は、データをダウンロードしたアプライア
ンスで指定されているものと同じ)内に保存します。
アップロードされたファイルへのファイルの追加
アップロードされたファイルに別のファイルを追加する際には、Content-Type ヘッダーを設定し、追加するファイ
ルの名前を URL に追加します。また、バイナリ形式のデータを含むこのファイルは、要求本文として提供します。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/
moretroubleshooting.zip" --data-binary @moretroubleshooting.zip
コンテンツ タイプが application/x-www-form-urlencoded でないことを確認してください。これは、curl
ツールによってヘッダーがこの値に設定されるためです。
アップロードされたファイルの変更
アップロードされたファイルを変更する際には、Content-Type ヘッダーを設定し、このファイルの名前を URL に
追加します。また、ファイルは、このファイルを変更するためのバイナリ形式データを含む要求本文として提供しま
す。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/
troubleshooting.zip" --data-binary @binary.zip
アップロードされたファイルの削除
アップロードされたファイルを削除する際には、このファイルの名前を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/files/troubleshooting.zip"
McAfee Web Gateway 7.5.0
製品ガイド
673
B
REST インターフェース
REST インターフェースの操作
リストの操作
アプライアンスでリストとリスト エントリを操作するために、REST インターフェースを使用することができます。
リストにアクセスするための要求内では、list パラメーターを URL に追加します。
アプライアンスで利用可能なすべてのリストのリストを配信するフィードに対する要求は、次のようになります。
curl -i -b cookies.txt -X GET "$REST/appliances/ list"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することができます。これ
以外に、ファイルの名前とタイプに対するクエリ パラメーターを追加することもできます。
次の要求は、利用可能な文字列リストのフィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances/ list?type=string"
次の要求は、Default という名前を持つすべてのリストのフィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances/ list?name=Default"
要求に応答するフィードとして受信する xml ファイルは、各リストに対してリスト ID を提供します。この ID は、
アクセスするリストを識別するために使用できます。リスト ID は次のようになります。
com.scur.type.regex.11347
リスト ID は、特定のリストのエントリのフィードに対する要求内で、entry パラメーターとともに使用することも
できます。次の要求は、リスト エントリ フィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances//list/<list ID>/entry"
要求に応答するフィードとして受信する xml ファイルは、各エントリに対して位置を識別するための番号を提供し
ます。この位置は、アクセスするエントリを識別するために使用できます。
リストに関しては、以下を実行できます。
•
コンテンツを含むリストの追加
•
リストの取得
•
コンテンツ内に名前とタイプを含むリストの追加
•
リストの変更
•
空のリストの追加
•
リストのコピー
•
リストの削除
リスト エントリに関しては、以下を実行できます。
•
リスト エントリの取得
•
リスト エントリの移動
•
リスト エントリの削除
•
リスト エントリの挿入
•
リスト エントリの変更
コンテンツを含むリストの追加
コンテンツを含むリストを追加する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式
のファイルを要求本文として提供します。また、URL のクエリ パラメーターを使用して、リストの名前をタイプを
指定します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d
@listwithcontent.xml "$REST/list?name=newlist&type=category"
この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。
674
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
要求とともに送信する xml ファイルは、次のようになります。
<entry>
<content type=“application/xml”>
<list>
<description/>
<content>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.195</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.140</entry>
<description/>
</listEntry>
</content>
</list>
</content>
</entry>
コンテンツ内に名前とタイプを含むリストの追加
コンテンツ内に名前とタイプが含まれているリストを追加する際には、Content-Type ヘッダーを指定し、-d オプ
ションを使用して xml 形式のファイルを要求本文として提供します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d
@nameandtypeinside.xml" "$REST/list"
この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。
要求とともに送信する xml ファイルは、次のようになります。
<entry>
<content type=“application/xml”>
<list name=“Lifestyle” typeId=“com.scur.type.category”>
<description/>
<content>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
<listEntry>
McAfee Web Gateway 7.5.0
製品ガイド
675
B
REST インターフェース
REST インターフェースの操作
<entry>com.scur.category.195</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.140</entry>
<description/>
</listEntry>
</content>
</list>
</content>
</entry>
空のリストの追加
空のリストを追加する際には、URL のクエリ パラメーターを使用して、リストの名前をタイプを指定します。
curl -i -b cookies.txt -X POST "$REST/list?name=newlist&type=category"
この要求への応答には、xml 形式の空のリストが要求本文として含まれます。
リストの取得
コンテンツを含むリストを取得する際には、そのリスト ID を URL に追加します。
curl -i -b cookies.txt -X GET "$REST/list/ <リスト ID>"
この要求への応答には、xml 形式の該当リストが要求本文として含まれます。これは、新しいリストが追加された場
合と同じ構造を持ちます。
リストの削除
リストを削除する際には、そのリスト ID を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/list/ <リスト ID>"
リストの変更
リストを変更する際には、変更されたコンテンツでそのリストを置換します。Content-Type ヘッダーを指定し、-d
オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。また、リスト ID も URL に追
加します。
変更されたコンテンツの構造は、コンテンツ内に名前とタイプを含めずにリストのコンテンツが追加された場合と同
じです。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X PUT -d @modifiedlist.xml
"$REST/list/<list ID>"
この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。
リストのコピー
リストをコピーする際には、コピーするリストの ID を URL に追加します。また、copy パラメーターと、コピー
されるリストが持つべき名前に対するクエリ パラメーターも追加します。
curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/copy/?newname"
676
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースの操作
B
この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。
リスト エントリの取得
リスト エントリを取得する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し
ます。
curl -i -b cookies.txt -X GET "$REST/list/<リスト ID>/entry/3"
この要求への応答には、xml 形式のエントリが要求本文として含まれます。
リスト エントリの削除
リスト エントリを削除する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し
ます。
curl -i -b cookies.txt -X DELETE "$REST/list/<リスト ID>/entry/4"
リスト エントリの変更
リスト エントリを変更する際には、変更されたコンテンツでそのリスト エントリを置換します。Content-Type ヘ
ッダーを指定し、-d オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。
また、リスト ID、entry パラメーター、およびそのエントリの位置も URL に追加します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X PUT -d @modifiedentry.xml
"$REST/list/<リスト ID>/entry/2"
この要求への応答には、xml 形式の変更済みエントリが要求本文として含まれます。
要求とともに送信する変更済みコンテンツは、次のようになります。
<entry xmlns=“http://www.w3org/2011/Atom”>
<content type=“application/xml”>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
</content>
</entry>
リスト エントリの移動
リスト エントリを移動する際には、リスト ID、entry パラメーター、およびそのエントリの元の位置を URL に追
加します。また、move、newpos クエリ パラメーター、およびそのエントリの新しい位置も追加します。
curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/entry/4/move?newpos=3"
この要求への応答には、xml 形式のエントリ(新しい位置)が要求本文として含まれます。
リスト エントリの挿入
リスト エントリを挿入する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式のエント
リを要求本文として提供します。
McAfee Web Gateway 7.5.0
製品ガイド
677
B
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
また、リスト ID、entry パラメーター、そのエントリを挿入する位置、および insert パラメーターも URL に追
加します。
curl -i -b cookies.txt -H "Content-Type:application/xml -X POST -d @newentry.xml
"$REST/list/<リスト ID>/entry/2/insert"
この要求への応答には、xml 形式の挿入済みエントリが要求本文として含まれます。
REST インターフェースを操作するためのサンプル スクリプト
REST インターフェースを操作する際には、インターフェースに要求を送信するために適切なスクリプトを使用する
ことができます。
以下のスクリプトは、データ転送ツールとして curl を使用する bash スクリプトです。これらは、以下のアクティ
ビティを完了します。
•
アクションの実行
•
ログ ファイルのダウンロード
•
構成バックアップの作成
•
構成の復元
アクションの実行
次の bash スクリプトは、複数のアプライアンスのそれぞれで特定のアクションを実行します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://10.149.112.48:4711/Konfigurator/REST"
# Set action variable
action="flushcache"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Write appliances feed to appliancesxml variable
appliancesxml=`curl -b cookies.txt "$REST/appliances"`
## Retrieve UUIDs from appliancesxml variable using xpath
uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"``
## Perform action on all appliances, identifying them by their UUIDs
echo $uuids
for uuid in $uuids
do
echo Sending $action to $uuid
curl -b cookies.txt -X POST "$REST/appliances/$uuid/action/$action"
done
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
678
McAfee Web Gateway 7.5.0
製品ガイド
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
B
ログ ファイルのダウンロード
次の bash スクリプトは、複数のアプライアンスのそれぞれから特定のログ ファイルをダウンロードします。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://10.149.112.48:4711/Konfigurator/REST"
# Set log file variable
auditlog="/audit/audit.log"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Write appliances feed to appliancesxml variable
appliancesxml=`curl -b cookies.txt "$REST/appliances"`
## Retrieve UUIDs from appliancesxml variable using xpath
uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"`
## Retrieve log file from all appliances, identifying them by their UUIDs
echo $uuids
for uuid in $uuids
do
echo Downloading $auditlog from $uuid
curl -b cookies.txt -H "Accept:application/x-download" -X POST "$REST/appliances/
$uuid/log/$auditlog" -o audit$uuid.log
done
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
構成バックアップの作成
次の bash スクリプトは、1 つのアプライアンスで構成バックアップを作成します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Create backup file
curl -b cookies.txt -X POST "$REST/backup" -o file.backup
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
構成の復元
次の bash スクリプトは、1 つのアプライアンスでバックアップ ファイルから構成を復元します。
McAfee Web Gateway 7.5.0
製品ガイド
679
B
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Restore configuration from backup file
curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H
"Content-Type:text/plain; charset=UTF-8"
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
680
McAfee Web Gateway 7.5.0
製品ガイド
C
サードパーティ ソフトウェア
以下のリストでは、McAfee Web Gateway アプライアンス ソフトウェアの開発に使用したサードパーティ ソフト
ウェアの情報を提供します。
情報はサードパーティ ソフトウェア名のアルファベット順で示しています。
サードパーティ ソフトウェアのリスト
このリストの情報は、サードパーティ ソフトウェアの名前の英字順に並んでいます。
Apache Jakarta 共通 IO
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2002-2012 The Apache Software Foundation
Apache log4j
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2007 The Apache Software Foundation.
Apache ORO
部分的に使用
Apache License 1.1 で使用可能
Copyright © 2002-2003 The Apache Software Foundation.
Apache Tomcat
部分的に使用
Apache License 2.0 で使用可能
McAfee Web Gateway 7.5.0
製品ガイド
681
C
サードパーティ ソフトウェア
サードパーティ ソフトウェアのリスト
Copyright © 2012 The Apache Software Foundation.
Apache-Jakarta Codec
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2000-2009 The Apache Software Foundation
Apache-Jakarta Fileupload
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2002-2010 The Apache Software Foundation
Apache-Jakarta Lang
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2001-2011 The Apache Software Foundation
Arabica XML and HTML Toolkit for C++
Berkeley Software Distribution (BSD) License 2.0 で使用可能
部分的に使用
Copyright © 2001-2013 Jez UK Ltd
ASM
部分的に使用
Berkeley Software Distribution (BSD) License 2.0 で使用可能
Copyright © 2000-2005 INRIA France Telekom.
Boost C++ Libraries
部分的に使用
Boost Software License 1.0 で使用可能
Copyright © miscelleaneous
Bzip2
部分的に使用
Bzip2 License で使用可能
Copyright © 1996-2013 [email protected]
Chromium Source
部分的に使用
682
McAfee Web Gateway 7.5.0
製品ガイド
サードパーティ ソフトウェア
サードパーティ ソフトウェアのリスト
C
Berkeley Software Distribution (BSD) License 2.0 で使用可能
Copyright © 2010
Code Project - Walking the callstack
部分的に使用
Berkeley Software Distribution (BSD) License 2.0 で使用可能
Copyright © 2005 Jochen Kalmbach
Dynamic Drive - DD Tooltip
部分的に使用
Dynamic Drive DHTML Scripts License で使用可能
Copyright © 1998-2004 Dynamic Drive
Eclipse
部分的に使用
Eclipse Public License 1.0 および Common Public License で使用可能
Copyright © 2005-2009 Eclipse contributors and others
ftpparse
部分的に使用
Ftp Parse License で使用可能
Copyright © 2000 D. J. Bernstein
図のアイコン
部分的に使用
Creative Commons Attribution License 3.0 で使用可能
Copyright © 2013 Yusuke Kamiyamane
Glazed Lists
部分的に使用
Mozilla Public License 1.1 で使用可能
Copyright © 2003-2006 publicobject.com O'Dell Engineering Ltd
googletest
部分的に使用
Berkeley Software Distribution (BSD) License 2.0 で使用可能
Copyright © 2008 Google Inc
McAfee Web Gateway 7.5.0
製品ガイド
683
C
サードパーティ ソフトウェア
サードパーティ ソフトウェアのリスト
Info-ZIP project - source-UnZip
部分的に使用
Info-ZIP Updated License で使用可能
Copyright © 1999-2005 Greg Roelofs
Jackson JSON Processor Core Annotations
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2000-2005 INRIA France Telecom
jersey-bundle
部分的に使用
Common Development and Distribution License 1.0 で使用可能
Copyright © 2000-2005 INRIA France Telecom
JFreeChart
部分的に使用
GNU Lesser General Public License 2.1 で使用可能
Copyright © 2000-2009 Object Refinery Limited and Contributors
JIDE Common Layer
部分的に使用
GNU Lesser General Public License 2.1 で使用可能
Copyright © 2002-2011 JIDE Software, Inc
jsprogressBarHandler
部分的に使用
Creative Commons Attribution Share-Alike License 2.5 で使用可能
Copyright © 2007 - 2008 Bram Van Damme
JSR-311 - JAX-RS - The Java API for RESTful Web Services
部分的に使用
Common Development and Distribution License 1.0 で使用可能
Copyright © 2009 Sun Microsystems, Inc
jQuery
部分的に使用
Massachusetts Institute for Technology (MIT) License で使用可能
Copyright © 2005, 2013 jQuery Foundation, Inc
684
McAfee Web Gateway 7.5.0
製品ガイド
サードパーティ ソフトウェア
サードパーティ ソフトウェアのリスト
C
jQuery UI
部分的に使用
Massachusetts Institute for Technology (MIT) License で使用可能
Copyright © 2013 jQuery Foundation and other contributors
Kerberos 5
部分的に使用
Kerberos 5 Massachusetts Institute of Technology (MIT) License で使用可能
Copyright © 1985-2013 Massachusetts Institute of Technology and contributors
Mozilla Rhino JavaScript for Java
部分的に使用
Mozilla Public License 1.1 で使用可能
Copyright © 2012 Mozilla Foundation
Open BSD
部分的に使用
Berkeley Software Distribution (BSD) License 2.0 で使用可能
Copyright © 1982, 1986, 1990, 1991, 1993 The Regents of the University of California
opencsv
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2005 Bytecode Pty Ltd
OpenSSL
部分的に使用
OpenSSL License 1.1 で使用可能
Copyright © 1999-2011 The OpenSSL Project
Prototype JavaScript Framework
部分的に使用
Massachusetts Institute of Technology (MIT) License 2.0 で使用可能
Copyright © 2005 2005-2010 Sam Stephenson
rapidjson
部分的に使用
Massachusetts Institute of Technology (MIT) License 2.0 で使用可能
Copyright © 2011 Milo Yip
McAfee Web Gateway 7.5.0
製品ガイド
685
C
サードパーティ ソフトウェア
サードパーティ ソフトウェアのリスト
RapidXml
部分的に使用
Massachusetts Institute of Technology (MIT) License 2.0 で使用可能
Copyright © 2008 2006, 2007 Marcin Kalicinski
RARLAB-UnRAR
部分的に使用
unRAR License で使用可能
Copyright ©1993-2012
RDialog
部分的に使用
Ruby License で使用可能
Copyright © 2007 Aleks Clarks
RegExFormatter Tutorial
部分的に使用
Creative Commons Attribution License 2.5 で使用可能
Copyright © 2008, 2010, Oracle and/or its affiliates
Ruby
部分的に使用
Ruby License 2.5 で使用可能
Copyright © 1995-2013 Yukihiro Matsumoto
シルク アイコン
部分的に使用
Creative Commons Attribution License 2.5 で使用可能
Copyright © 2008 Mark James
StAX2
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2004 Alexander Slominski 2006 Chris Fry
test/unit
部分的に使用
Ruby License 2.0 で使用可能
Copyright © 2000-2003, Nathaniel Talbott
686
McAfee Web Gateway 7.5.0
製品ガイド
サードパーティ ソフトウェア
サードパーティ ソフトウェアのリスト
C
The ASN.1 Compiler
部分的に使用
Berkeley Software Distribution (BSD) Two Clause License (BSD -) License 2.0 で使用可能
Copyright © 2003, 2004, 2005, 2006, 2007 Lev Walkin
The Legion of the Bouncy Castle
部分的に使用
Massachusetts Institute of Technology (MIT) License 2.0 で使用可能
Copyright © 2000-2012 2000 - 2012 The Legion Of The Bouncy Castle
The prefuse visualization toolkit
部分的に使用
Berkeley Software Distribution (BSD) License 2.0 で使用可能
Copyright © 2000-2012 Regents of the University of California
Trove for Java
部分的に使用
Massachusetts Institute of Technology (MIT) License 2.0 で使用可能
Copyright © 2000-2012 The Legion of the Bouncy Castle
Valgrind Instrumentation Framework
部分的に使用
Massachusetts Institute of Technology (MIT) License 2.0 で使用可能
Copyright © 2000-2012 The Legion of the Bouncy Castle
Woodstox
部分的に使用
Apache License 2.0 で使用可能
Copyright © 2000-2012 2004 Tatu Saloranta
XStream Library
部分的に使用
Berkeley Software Distribution (BSD) License 2.0 で使用可能
Copyright © 2003-2006 Joe Walnes 2006-2007 XStream Committers.
McAfee Web Gateway 7.5.0
製品ガイド
687
C
サードパーティ ソフトウェア
サードパーティ ソフトウェアのリスト
688
McAfee Web Gateway 7.5.0
製品ガイド
索引
A
I
Advanced Threat Defense
ICAP 通信
Advanced Threat Defense ルール セット 329
ICAP クライアントの設定 342
ATD - ファイルをすぐに使用可能にするオフライン スキャンのラ
イブラリ ルール セット 330
ICAP サーバーの設定 131
キー要素 325
セキュア ICAP 124
ICAP サーバー リスト 342
既存のレポートの使用 321
ゲートウェイ ATD の設定 327
データ損失防止での ICAP サーバーの使用 341
IceToken 認証
結果の使用、実行中のスキャン 323
SAML との比較 443
スキャン条件 318
説明 423
設定 323
モニタリング 320
ワークフロー 317
C
Common Federation Module (CFM) 423
D
Data Loss Prevention
ディクショナリ設定 338
分類設定 338
DNS サーバー
逆引き参照 147
条件付きの前方参照 146
設定 147
ドメインに応じた使用 146
Dynamic Content Classifier
URL カテゴリ 270
使用を構成する 270
J
JavaScript Object Notation データ (JSON) 89
L
LDAP ダイジェスト認証 167
M
McAfee Attribute Store (MAS) 423
McAfee Pledge 194
McAfee ServicePortal、アクセス 16
R
REST インターフェース
curl 664
アクション 669
アクセス権限 662
アップロードされたファイル 672
インターフェースの操作 663
個々のアプライアンスでの作業 669
E
Enterprise Security Manager 541
ePolicy Orchestrator 539
ESM 541
サンプル スクリプト 678
システム ファイル 671
使用の準備 662
使用の有効化 662
G
認証 665
GTI URL フィードバックの設定 382
リソースの要求 667
リスト 674
ログ ファイル 671
H
基本アクティビティ 668
Helix プロキシ 163
McAfee Web Gateway 7.5.0
製品ガイド
689
索引
S
URL フィルタリング
キー要素 257
SAML SSO データ ソース
キー要素の設定 257
LDAP サーバーの使用 442
LDAP 認証 441
固有の URL フィルター データベース 271
Web サービスの使用 441
ブロック リスト 255
データベースの使用 442
ベスト プラクティス、URL プロパティを使用してホワイトリスト
に追加 263
SAML シングル サインオン
ホワイトリスト 255
ID プロバイダー 433
モジュール 255
開始 433
ルール 255
外部データ ソースの設定 441
ルール セット 255
サービス プロバイダー 433
証明書管理 435
説明 433
ServicePortal、製品マニュアルの入手方法 16
W
Web キャッシュ
SNMP モニタリング 536
Web キャッシュ ルール セット 352
SOCKS プロキシ
有効にする 352
ルール 352
設定 126
ルール セット 352
SOCKS プロトコル
SOCKS プロキシ 124
SOCKS プロキシ ルール セット 126
Web フィルタリング
Advanced Threat Defense 316
ネクスト ホップ プロキシ 357
SSL スキャン 295
プロトコル ディテクターの設定 362
URL フィルタリング 255
SSL スキャナが無効な XMPP 131
アプリケーション フィルタリング 282
SSL スキャン
ウイルスとマルウェアのフィルタリング 240
SSL スキャナー ルール セット 304
グローバル ホワイトリスト 293
クライアント証明書リスト 299
ストリーミング メディア フィルタリング 288
証明書キー 309
データ損失防止 332
ハードウェア セキュリティ モジュール 309
メディア タイプ フィルタリング 277
秘密鍵 309
ホワイトリスト 295
あ
モジュール 295
アクション
リスト 295
アクションのリスト 567
ルール 295
設定 93
SSO カタログ
設定タブ 95
クラウド コネクター 423
サービス 424
ルールに追加 50
ルール要素 38
テクニカル ノート 424
ユーザー インターフェースでの表示 424
SSO コネクター リスト
アプライアンス
REST インターフェース 663
Web フィルタリング 17
クラウド アクセスの設定 427
[アプライアンス] タブ 380
コネクターの追加 427
アラート 491
エラー処理 519
T
オペレーティング システム 20
TCP ウィンドウ スケーリング 131
管理者 214
コア 20
U
構成のバックアップ 563
URL フィルタリング
Dynamic Content Classifier 270
構成の復元 563
690
高レベルの管理アクティビティ 21
IFP プロキシ 272
コーディネーター 20
URL フィルター モジュール 255
コンフィギュレーター 20
URL フィルタリング ルール セット 255
コンポーネント 20
URL プロパティを使用してホワイトリストを追加 263
システム アーキテクチャ 20
McAfee Web Gateway 7.5.0
製品ガイド
索引
アプライアンス (続き)
ウイルスとマルウェアのフィルタリング
システム構成 378
キー要素の設定 241
システム情報行 24
ホワイトリスト 240
集中管理 400
マルウェア対策モジュール 240
主要機能 18
メディア ストリームのスキャン 252
設定デーモン 20
モジュール 240
ダッシュボード 491
モジュールの設定 245
トラブルシューティング 547
ルール 240
配備概要 21
ルール セット 240
フィルタリング サイクル 37
埋め込みオブジェクト サイクル 37
ユーザー インターフェース 24
ルール 38
え
ログ 501
エラー処理
ログオフ 24
インシデント ID のリスト 585
アプリケーション フィルタリング
インシデント情報の使用 520
各機能 282
エラー ID の使用 519
システム リスト 282
エラー ID のリスト 569
プロセス 282
演算子 38
ブロッキング リスト 282
演算対象 38
ルール 282
ルール セット 287
アラート 491
お
応答サイクル 37
オペレーティング システム 20
い
オンライン ヘルプ 24
一元管理
オンライン ルール セット ライブラリ 43
グループにノードを割り当てる 403
更新グループにノードを割り当てる 404
か
スケジュール設定されたジョブを追加 407
外部リスト
ネットワーク グループにノードを割り当てる 404
システム設定 82
ノードの追加 402
推奨される使用方法 73
ランタイム グループにノードを割り当てる 403
ソース 73
イベント
プロパティ 73
イベントのリスト 574
モジュール 73
ルールに追加 51
ルール要素 38
インスタント メッセージ
モジュールの設定 76
隔絶されたネットワークの更新 397
監視
プロセス 127
インスタント メッセージング
ICQ の設定 131
ESM への syslog データの送信 541
管理者
アカウント 214
Windows Live Messenger の設定 131
外部アカウント 217
XMPP の設定 131
高レベルのアクティビティ 21
Yahoo の設定 131
テスト アカウント 215
インライン リスト 60
う
ロール 216
き
ウイルスおよびマルウェアのフィルタリング
システム設定 253
マルウェア対策キュー 252
マルウェア対策の透かしを削除する 254
ウイルスとマルウェアのフィルタリング
Gateway Anti-Malware ルール セット 240, 250
キャッシュ ボリュームのサイズ変更 395
共通カタログ
使用の有効化 86
ユーザー アカウント 87
リスト タイプ 86
キー要素 241
McAfee Web Gateway 7.5.0
製品ガイド
691
索引
く
このガイドで使用している表記規則とアイコン 15
クォータの管理
このガイドについて 15, 16
許可オーバーライド 232
警告 230
時間のクォータ 222
コンフィギュレーター サブシステム 20
さ
システム設定 237
サードパーティ ソフトウェア 681
セッションのブロック 235
サイクル
埋め込みオブジェクト 37
ボリュームのクォータ 225
応答 37
クラウド コネクター
リクエスト 37
HTTP、設定 428
SAML2、設定 436
最上位メニュー
カスタム 424
アカウント 24
カスタム、削除 426
設定 24
カスタム、設定 425
ダッシュボード 24
事前定義 424
トラブルシューティング 24
説明 423
ポリシー 24
テンプレート 423
テンプレート、汎用と個別 425
し
汎用 HTTP 425
システム アーキテクチャ 20
汎用 IceToken 425
汎用 SAML2 425
システム構成
GTI URL フィードバックの設定 382
汎用の HTTP、設定 429, 430
キャッシュ ボリュームのサイズ変更 395
汎用の IceToken、設定 443, 444
システム ファイル 393
汎用の SAML2、設定 437, 438
初期設定 377
クラウド ストレージの暗号化
初期セットアップ後 378
暗号化アルゴリズム 471
静的ルート設定 392
クラウド ストレージ暗号化サポートの設定 475
データベースの更新 396
クラウド ストレージ暗号化の設定 475
日時設定 384
クラウド ストレージ暗号化ルール セット 476
ネットワーク保護設定 391
手動でのストレージ データの復号 476
ファイル エディター タブ 394
ストレージ サービス 471
ファイル サーバー設定 385
ストレージ データの暗号化 471
フィードバック収集 382
ストレージ データの復号 471
ユーザー インターフェース設定 386
設定 474
ライセンス 381
データの暗号化と復号の概要 474
データの暗号化と復号の設定 474
グローバル ホワイトリスト
ライセンスの設定 381
システム情報行 24
システム設定
グローバル ホワイトリストのルール セット 293
[アプライアンス] タブ 380
ホワイトリスト 293
ポート転送の設定 391
ルール 293
集中管理
ルール セット 293
構成の更新 408
スケジュール ジョブ 400
こ
設定 400, 409
コア サブシステム 20
ノード 400
構成のバックアップ 563
ノード グループ 400
構成の復元 563
ノード グループの設定 405
購読リスト
ノード通信プロトコル 145
閉鎖ネットワークのアプライアンスの更新 397
更新 69
ベスト プラクティス - ノード グループの設定 405
コンテンツの取得 67
コンテンツの設定 68
演算子 38
作成 67
コーディネーター サブシステム 20
692
条件
McAfee Web Gateway 7.5.0
演算対象 38
製品ガイド
索引
条件 (続き)
ストリーミング メディア フィルタリング
パラメーター 38
モジュールの設定 292
複雑 41
ルール 288
プロパティ 38
ルールに追加 49
ルール要素 38
証明書キー 309
せ
設定
アクション 93
シングル サインオン
アクセス 96
.NET と Java Web アプリケーション 443
作成 97
HTTP アプリケーションとサービス 428
システム 93
HTTP アプリケーションの認証情報モデル 428
制限付きアクセス 57
SAML アプリケーションとサービス 433
設定タブ 95
SSO カタログ 423
タイプ 93
キー要素 448
モジュール 93
クラウド コネクター 423
リスト タブにアクセスする 96
証明書と秘密鍵 468
設定方法 420
対応する認証方法 423
データソース 423
動的 HTTP アプリケーション 428
ブックマークの作成 447
プロキシ モードと非プロキシ モードでのプロセス 421
ルールのアクセス 96
設定デーモン 20
た
帯域幅スロットル 350
ダッシュボード
アクセス 492
問題の解決 469
アラート 491
ランチパッドの使用 445
グラフおよび表 491
リストと設定 465
トップ スコア 495
ルール セットのサマリー 447
ルール セットのリファレンス 450
ログオンのモニタリング 447
発展データ 495
タブ
アプライアンス 380
シングル サインオンの設定
アラート 492
設定 466
管理者アカウント 214
シングル サインオン リスト 465
グラフおよび表 495
シングル サインオン ルール セット
設定 95
HTTPS の処理 454
ファイル エディター 394
IceToken SSO の実行 462
リスト 61
OTP 認証 456
ルール セット 44
SAML SSO の実行 461
SSO の実行 464
オンプレミスでの属性の取得 460
ち
クラウドでの属性の取得 461
長期接続ハンドラー
ICAP サーバーの設定 131
サービスの選択 451
説明 450
フォーム認証情報の管理 462
未処理の管理要求のブロック 464
ランチパッド 454
ログイン アクションの取得 458
進行状況の表示
進行状況ページ 345
データ トリックル 345
て
定期的なルール エンジン トリガー リスト 131
データ トリックル 345
データ損失防止
ICAP サーバー 341
プロセス 332
ルール 332
ルール セット 339
す
ロギング 332
ストリーミング メディア フィルタリング
ベスト プラクティス 291
McAfee Web Gateway 7.5.0
データベースの更新
自動 396
製品ガイド
693
索引
データベースの更新 (続き)
ネクスト ホップ プロキシ
手動 396
モード 354
テクニカル サポート、製品情報の入手方法 16
要求の転送 354
テンプレート エディター 371
ラウンド ロビン 354
ルール セット 362
と
の
透過型モード
ブリッジ 119
ノード通信プロトコル 145
ルーター 113
ドキュメント
は
製品固有、入手方法 16
表記規則とアイコン 15
ハードウェア セキュリティ モジュール
アクセス 309
トラブルシューティング
インストール 309
コア ファイル 561
管理者の作業 309
構成のバックアップ 563
設定 313
構成の復元 563
秘密鍵の保存 309
接続追跡ファイル 562
リモート使用の設定 312
ネットワーク ツール 563
ローカル使用の設定 311
パケット追跡ファイル 562
バックアップの暗号化 563
フィードバック ファイル 561
ログ モジュールの操作 309
ハイブリッド ソリューション
Web Hybrid の設定 485
方法 547
概要 480
ルール追跡 548
手動同期 483
製品 480
に
設定 481, 485
使い方 480
認証
IM 認証ルール セット 192
手順 481
Kerberos 管理システムの設定 180
同期の有効化 485
LDAP ダイジェスト認証 167
プロキシの使用 485
LDAP の設定 169
McAfee Pledge 194
パスワードの変更 24
Novell eDirectory の設定 169
バックアップの暗号化 563
ルール セットの選択 482
NTML エージェントの設定 169
NTML の設定 169
ひ
RADIUS の設定 169
秘密鍵 309
Windows ドメイン メンバーシップの設定 182
インスタント メッセージング 190
共通の設定 169
異なる方法の実装 179
システム設定 180
詳細設定 169
ふ
フィードバック収集 382
フィルタリング
埋め込みオブジェクト サイクル 37
応答サイクル 37
設定 169
認証サーバーの設定 169
ユーザー データベースの設定 169
ワンタイム パスワード 194
ワンタイム パスワードの設定 169
プロセス フロー 37
プロパティ 35
ユーザー 35
リクエスト サイクル 37
フェールオーバー モード 354
プロキシ
ね
DNS 設定 131
SOCKS プロトコル 357
FTP プロキシ設定 131
Helix 163
設定 361
HTTP プロキシ設定 131
フェールオーバー 354
ICAP サーバーの設定 131
ネクスト ホップ プロキシ
694
McAfee Web Gateway 7.5.0
製品ガイド
索引
プロキシ (続き)
ベスト プラクティス
ICQ の設定 131
ルールの設定 54
IFP プロキシ設定 131
ログの作成 512
SOCKS プロキシ 124
ログ ファイル フィールドの追加 511
SOCKS プロキシの設定 131
ヘルプ 24
SSL スキャナが無効な XMPP 131
変更の保存 24
TCP ウィンドウ スケーリング 131
WCCP による FTP トラフィックのリダイレクト 143
め
Windows Live Messenger の設定 131
明示的プロキシ モード 100
XMPP の設定 131
メディア ストリームのスキャン 252
Yahoo の設定 131
メディア タイプ フィルタリング
インスタント メッセージ 127
キー要素 278
高可用性でのサイズ制限 105
キー要素の設定 278
自動設定 161
ブロック リスト 277
条件付きの DNS 前方参照 146
メディア タイプ フィルタリングのルール セット 277
詳細設定 131
ルール 277
設定 131
ルール セット 277
送信元 IP アドレス 142
タイムアウト 131
定期的なルール エンジン トリガー リスト 131
透過型ブリッジ モード 119
透過型プロキシ 106
も
モニタリング
ePolicy Orchestrator 539
SNMP エージェント 536
透過型ルーター モード 113
エラー処理 519
ネットワークのセットアップ 131
ダッシュボード 491
ノード通信プロトコル 145
パフォーマンスの測定 531
プロキシ HA の設定 112
ログ 501
プロキシ HA モード 102
明示的プロキシ モード 100
リバース HTTPS 148
ブロック理由 ID
ゆ
ユーザー インターフェース
認証設定 368
Web セキュリティ ポリシーの設定 27
ブロック設定 369
完全なルール ビュー 31
ブロック理由 ID のリスト 568
キー要素 27
リダイレクト設定 370
キー要素ビュー 29
プロパティ
検索 24
フィルター処理 35
最上位メニュー 24
プロパティのリスト 593
サンプル画面の取得 24
ルールに追加 49
システム情報行 24
ルール要素 38
システム設定 386
設定機能のサポート 26
設定タブ 95
へ
閉鎖されたネットワークの更新 397
ベスト プラクティス
URL プロパティを使用してホワイトリストを追加 263
エラー ハンドラーの使い方 522
高可用性でのサイズ制限 105
集中管理でのノード グループの設定 405
ストリーム ディテクターの設定 291
使い方、McAfee が維持する購読リスト 71
配備タイプに合わせた認証の設定 183
プロキシ HA モードの設定 102
理由の特定、画像が表示されない 558
McAfee Web Gateway 7.5.0
設定ペイン 24
タブ バー 24
ツールバー 24
ナビゲーション ペイン 24
パスワードの変更 24
ヘルプ 24
変更の保存 24
メイン要素 24
ユーザー設定 24
ログオフ 24
ユーザー メッセージ
種類 365
製品ガイド
695
索引
ユーザー メッセージ (続き)
ルール
テキスト 365
要素 38
テキストの編集 367
テンプレート 365
ルール セット タブ 44
ルール セット
テンプレート エディター 371
インポート 53
認証設定 368
オンライン ライブラリ 43
ブロック設定 369
サイクル 41
変数 365
作成 51
リダイレクト設定 370
システム 42
条件 41
制限付きアクセス 57
ら
デフォルト システム 42
ライセンス 381
ネストされた 41
ライセンスの設定 381
ライブラリ 43
ラウンドロビン モード 354
ルール セット タブ 44
ルール追跡
り
概要 548
リクエスト サイクル 37
検索 550
リスト
追跡の削除 560
インライン リスト 60
追跡の復元 559
外部リスト 73
リスト 550
カスタム リスト 60
理由の特定、画像が表示されない 558
共通カタログ 86
ルール追跡ペイン 550
更新可能なシステム リスト 60
購読リスト 67
ろ
作成 63
システム リスト 60
ログ
種類 60
モジュール 501
制限付きアクセス 57
ルール 501
リスト タブ 61
ログ ファイル 501
リスト タブにアクセスする 63
ルールのアクセス 63
ログオフ 24
わ
ワイルドカード式
る
glob 表現 654
ルール
重要な特殊 glob 文字のリスト 655
アクション 38
重要な特殊正規表現文字のリスト 656
イベント 38
正規表現 654
演算子 38
テスト 654
演算対象 38
ワンタイム パスワード
McAfee Pledge 194
作成 46
条件 38
セットせっと 41
プロセス フロー 37
プロパティ 38
概要 194
許可オーバーライドに設定 196
ユーザー認証に設定 195
ユーザー インターフェースでの形式 39
696
McAfee Web Gateway 7.5.0
製品ガイド
A16
Fly UP