Mobile VPN with SSL トンネル経由のインターネット アクセスのオプション
すべてのクライアント トラフィックをトンネル経由にする
これが最も安全なオプションです。リモートユーザーからのインターネット トラフィックを、すべて VPN トンネル経由で Firebox にルーティングする必要があります。次に Firebox から、トラフィックをインターネットに送り出します。この構成 (既定ルート VPN と呼ばれます) では、Firebox はすべてのトラフィックを検査し、セキュリティを強化することができます。ただし、Firebox に要求する処理能力も帯域幅も増大します。多数の VPN ユーザーがある場合、ネットワークに大きく影響することがあります。既定では、SSLVPN-Users を許可する というポリシーによって、すべての内部リソースおよびインターネットにアクセスできます。
Mobile VPN with SSL クライアントは、Firebox の構成に一致するクライアントのルートを構成します。ユーザーのコンピュータで、手動またはインストールされている他のソフトウェアを介して追加のルートを構成できますその場合、すべてのトラフィックが VPN トンネルから Firebox にルーティングされません。
インターネットの直接アクセスを許可する
Mobile VPN with SSL 構成で VPN トラフィックのルーティング を選択し、すべてのクライアント トラフィックにトンネル経由を強制しない場合は、SSL VPN ユーザー用に許可されたリソースを構成する必要があります。許可されたリソースを指定する または 信頼済みネットワーク、任意ネットワーク、およびカスタム ネットワークへのアクセスを許可する を選択すると、それらのリソースへのトラフィックのみが VPN トンネル経由で送信されます。それ以外のすべてのトラフィックはインターネットおよびリモート SSL VPN ユーザーが接続されているネットワークへ直接送信します。このオプションはセキュリティに影響を及ぼすことがあります。その理由は、インターネットまたはリモート クライアント ネットワークに送信されるトラフィックは暗号化されておらず、Firebox で構成したポリシーにより制御されないためです。
HTTP プロキシを使用して、Mobile VPN with SSL ユーザーのインターネット アクセスを制御します。
すべてのクライアント トラフィックをトンネル経由にして、Mobile VPN with SSLを構成すると、HTTP プロキシ ポリシーによって、インターネット アクセスを制限されます。既定の Allow SSLVPN-Users ポリシーでは、SSL クライアントからインターネットへ許可があるトラフィックを制限できません。以前構成したHTTP ポリシーを使用して、または SSL クライアントの新しい HTTP プロキシ ポリシーを追加して、インターネット アクセスを制限することができます。
- ファイアウォール > ファイアウォール ポリシー の順に選択します。
- ポリシー構成 ページを開始するには、ポリシーをダブルクリックします。
- ポリシー タブで、送信元 エリアの 追加 をクリックします。
- メンバーの種類 ドロップダウン リストから、SSLVPN グループ を選択します。
- SSLVPN-Users を選択して OK をクリックします。
- 保存 をクリックします。
- 編集する HTTP プロキシ ポリシーをダブルクリックします。
ポリシー プロパティの編集 ダイアログ ボックスが表示されます。 - ポリシー タブで、送信元 エリアの 追加 をクリックします。
- ユーザーを追加する をクリックします。
- 種類 には、SSL VPN および グループ を選択します。
- SSLVPN-Users を選択して 選択 をクリックします。
- OK をクリックして、ポリシー プロパティの編集 ダイアログ ボックスに戻ります。
- OK をクリックします。構成ファイルを保存する。
HTTP プロキシ ポリシーは Any policy より優先されます。HTTP 以外のトラフィックを扱うために Any Policy を使用できます。または、SSL クライアントからトラフィックを管理するために、他のポリシーで同じ手順を使用できます。
HTTP プロキシ ポリシーの構成方法詳細については、次を参照してください: HTTP プロキシについて。