DPI-SSL > クライアント SSL

トピック:
クライアント DPI-SSL の設定

クライアント DPI-SSL の設定

* 
補足:DPI SSL については、DPI-SSL の概要 を参照してください。

一般に、クライアント DPI-SSL の配備シナリオは、LAN 上のクライアントが WAN 上のコンテンツを参照するときに HTTPS トラフィックを検査するために使用します。クライアント DPI-SSL のシナリオでは、ファイアウォールは検査対象のコンテンツに対する証明書と秘密鍵を所持していないのが普通です。装置は、DPI-SSL 検査を実行した後で、リモート サーバから送信された証明書を書き直し、新規に生成したこの証明書に署名します。 これには、クライアント DPI-SSL の設定で指定した証明書が使用されます。既定では、これはファイアウォールの認証局 (CA) の証明書ですが、別の証明書を指定することもできます。証明書の信頼のエラーを防ぐために、ユーザに対しては、ブラウザの信頼済み証明書の一覧にこの証明書を追加するよう指示する必要があります。

トピック:
一般設定の構成
再署名認証局の選択
除外と包含の設定
クライアント DPI-SSL の例

一般設定の構成

クライアント DPI-SSL 検査を有効にするには、以下の手順を実行します。
1
DPI-SSL > クライアント SSL」ページの「一般設定」セクションに移動します。

2
SSL クライアント検査を有効にする」チェックボックスをオンにします。このチェックボックスは、既定ではオンになっていません。
3
検査を実行するサービスを、以下の中から 1 つ以上選択します。
侵入阻止
ゲートウェイ アンチウイルス
ゲートウェイ アンチスパイウェア
アプリケーション ファイアウォール
コンテンツ フィルタ
4
適用」を選択します。

再署名認証局の選択

再署名証明書は、その認証局の証明書がファイアウォールによって信頼されている場合のみ、元の証明書の署名認証局を置き換えます。認証局が信頼されていない場合は、証明書は自己署名になります。証明書エラーを避けるために、DPI-SSL によって保護されているデバイスによって信頼されている証明書を選択してください。

* 
補足:DPI SSL 認証局 (CA) による証明書の要求/作成については、Dell サポート サイトにあるナレッジ ベースの記事「DPI-SSL 証明書再署名を目的とした DPI-SSL 認証局 (CA) による証明書の要求/作成方法」(SW14090) を参照してください。
再署名証明書の選択
1
DPI-SSL > クライアント SSL」ページに移動します。
2
証明書再署名の認可」セクションに移動します。

3
証明書」ドロップダウン メニューから使用する証明書を選択します。既定では、DPI-SSL は、「SonicWALL の既定の DPI-SSL CA 証明書」を使用して、検査したトラフィックを再署名します。
* 
補足:求める証明書が表示されない場合は、「システム > 証明書」ページでそれをインポートできます。証明書のインポート を参照してください。PKCS-12 形式の証明書については、PKCS-12 形式の証明書ファイルの作成 を参照してください。
4
選択した証明書をファイアウォールにダウンロードするには、(ダウンロード) リンクを選択します。「ファイル名を開く」ダイアログが表示されます。
* 
ヒント:利用可能な証明書を表示するには、(証明書の管理) リンクを選択して、「システム > 証明書」ページを表示します。

a
ファイルの保存」ラジオ ボタンが選択されていることを確認してください。
b
OK」を選択します。

ファイルがダウンロードされます。

5
適用」を選択します。
ブラウザへの信頼の追加

再署名認証局による証明書の再署名を正しく行うためには、ブラウザがこの認証局を信頼する必要があります。この信頼は、ブラウザの信頼できる CA のリストに再署名証明書をインポートすることによって確立できます。お使いのブラウザの指示に従って、再署名証明書をインポートしてください。

除外と包含の設定

既定では、DPI-SSL を有効にすると、それが装置上のすべてのトラフィックに適用されます。DPI-SSL 検査を適用するトラフィックを、以下のようにカスタマイズできます。
除外/包含」リストで、除外/包含するオブジェクトとグループを指定します。
コモンネーム除外」で、除外するホスト名を指定します。

大量のトラフィックを処理する配備において、DPI-SSL が CPU に及ぼす影響を軽減し、DPI-SSL 検査の同時接続が最大数に達するのを防ぐために、信頼できる送信元を除外することが有効となる場合があります。

トピック:
オブジェクト/グループの除外/包含
コモンネームによる除外/包含
オブジェクト/グループの除外/包含
DPI-SSL クライアント検査をカスタマイズするには:
1
DPI-SSL > クライアント SSL」ページの「包含/除外」セクションに移動します。

2
アドレス オブジェクト/グループ」の「除外」と「包含」のドロップダウン メニューで、DPI-SSL 検査に対して除外/包含するアドレス オブジェクト/グループを選択します。既定では、「除外」は「なし」、「包含」は「すべて」に設定されています。
* 
ヒント:包含」ドロップダウン メニューは、指定する除外リストの微調整に使用できます。例えば、「除外」ドロップダウン メニューで「Remote-office-California」というアドレス オブジェクトを選択し、「包含」ドロップダウン メニューで「Remote-office-Oakland」というアドレス オブジェクトを選択します。
3
サービス オブジェクト/グループ」の「除外」と「包含」のドロップダウン メニューで、DPI-SSL 検査に対して除外/包含するアドレス オブジェクト/グループを選択します。既定では、「除外」は「なし」、「包含」は「すべて」に設定されています。
4
ユーザ オブジェクト/グループ」の「除外」と「包含」のドロップダウン メニューで、DPI-SSL 検査に対して除外/包含するアドレス オブジェクト/グループを選択します。既定では、「除外」は「なし」、「包含」は「すべて」に設定されています。
5
適用」を選択します。
コモンネームによる除外/包含

除外リストにドメイン名を追加できます。

トピック:
コモンネームの除外/包含
個別コモンネームの削除
コモンネームの除外/包含
コモンネーム (共通名) によってエンティティを除外/包含するには:
1
コモンネーム」タブを選択します。

2
ドメイン名を「接尾辞」フィールドに入力します。
3
追加」を選択します。名前が「除外」リストに追加されます。
4
ページの先頭にある「適用」ボタンを選択して、設定を確定します。
個別コモンネームの削除
個別コモンネームを削除するには:
1
以下のいずれかを実行します。
除外」の中の名前を選択して、「削除」ボタンを選択します。
すべて削除」チェックボックスを選択すると、すべての個別コモンネームが削除されます。
2
適用」を選択します。
Showing Connection Failures

SonicOS keeps a list of all client SSL connection failures. You can use this list to add custom common exclusions names.

To see the connection failure list:
1
Click the Show Connection Failures button. The Connection Failure List dialog displays.

 

Each entry in this lists displays the:
Client Address
Server Address
Common Name
Error Message
2
To add an entry to the exclusion list, select the entry and click the Exclude button.
3
To delete an entry, select it and click the Clear button.
4
To delete all entries, click the Clear All button.
5
When you have finished, click the Close button.

クライアント DPI-SSL の例

トピック:
コンテンツ フィルタ
アプリケーション ルール
コンテンツ フィルタ
HTTPS および SSL ベースのトラフィック上で SonicWALL のコンテンツ フィルタの実行に DPI-SSLを使用するには:
1
DPI-SSL > クライアント SSL」ページの「一般設定」セクションに移動します。

2
SSL クライアント検査を有効にする」チェックボックスをオンにします。
3
コンテンツ フィルタ」チェックボックスをオンにします。
4
適用」を選択します。
5
セキュリティ サービス > コンテンツ フィルタ」ページの「コンテンツ フィルタの種類」セクションに移動します。

6
ドロップダウン メニューから「コンテンツ フィルタ サービス」が選択されていることを確認します。
7
設定」ボタンを選択します。「フィルタ プロパティ」ダイアログが表示されます。

8
HTTPS コンテンツ フィルタを有効にする」チェックボックスをオフにします。
* 
補足:HTTPS コンテンツ フィルタは、IP とホスト名をベースとします。HTTP コンテンツ フィルタでは、認証を強制するためにリダイレクトを実行したり遮断ページを表示したりすることができますが、HTTPS フィルタでは、ユーザに通知することなくページを遮断します。
9
遮断する適切な種別を選択します。このダイアログの設定については、コンテンツ フィルタ サービスの設定 を参照してください。
10
OK」を選択します。
11
適用」を選択します。
12
HTTPS プロトコルを使用して、遮断されるサイトに移動し、適切に遮断されることを確認します。
* 
補足:DPI-SSL 上のコンテンツ フィルタで HTTPS アクセスを初めて遮断したときには、空白のページが表示されます。ページを更新すると、ファイアウォールの遮断ページが表示されます。
アプリケーション ルール

アプリケーション ファイアウォール ルールによってフィルタするには、「DPI-SSL > クライアント SSL」ページと「アプリケーション ルール > ポリシー」ページの両方で、それらを有効にする必要があります。

1
DPI-SSL > クライアント SSL」ページの「一般設定」セクションに移動します。

2
SSL クライアント検査を有効にする」チェックボックスをオンにします。
3
アプリケーション ファイアウォール」チェックボックスをオンにします。
4
適用」を選択します。
5
ファイアウォール > アプリケーション ルール」ページの「アプリケーション ルールのグローバル設定」セクションに移動します。

6
アプリケーション ルールを有効にする」を選択します。
7
ポリシーの動作として「ページの遮断」を設定し、Microsoft Internet Explorer ブラウザを遮断するように、HTTP クライアント ポリシーを設定します。アプリケーション ルールの設定方法については、アプリケーション ルール ポリシーの設定 (788 ページ)を参照してください。
8
適用」を選択します。
9
Internet Explorer から HTTPS プロトコルで任意のウェブサイトにアクセスし、遮断されることを確認します。

DPI-SSL は SSL トンネル上のアプリケーション レベルの帯域幅管理もサポートします。アプリケーション ルールの HTTP 帯域幅管理ポリシーは、アプリケーション ルールに対してDPI-SSL を有効にしているときに HTTPS でアクセスするコンテンツにも適用されます。