HTTP 要求:全般設定
HTTP プロキシ アクション HTTP 要求の全般設定の構成で、アイドル タイムアウトや URL の長さのような基本 HTTP パラメータを設定することができます。
- ファイアウォール > プロキシ アクション の順に選択します。
プロキシ アクション ページが開きます。 - 編集するプロキシ アクションを選択します。
- 編集 をクリックします。
- プロキシ アクション > HTTP 要求 の順に選択します。
- 設定 > アクション > プロキシ の順に選択します。
プロキシ アクション ダイアログ ボックスが開きます。 - 編集するプロキシ アクションを選択します。
- 編集 をクリックします。
- HTTP 要求 > 全般設定 の順に選択します。
設定
Policy Manager における HTTP プロキシ アクション HTTP 要求の全般設定の構成
接続アイドル タイムアウトの設定
パフォーマンスは、このオプションで制御されます。
指定した時間内に TCP ソケットを経由してパケットが通過しない場合に HTTP に対して TCP ソケットを閉じるには、接続アイドル タイムアウトの設定 チェックボックスを選択します。隣のテキスト ボックスで、プロキシ タイムアウトまでの時間を分単位で入力または選択します。
オープン TCP セッションは Firebox のメモリを少量使用し、またブラウザとサーバーは HTTP セッションを完全に閉じないこともあるため、このチェックボックスをオンのままにしておくことをお勧めします。このように設定すると、古い TCP 接続が確実に閉じ、Firebox のメモリを節約することができます。タイムアウトを 5 分まで小さくしても、パフォーマンス標準が低下しません。
URL のパス最大長の設定
許可される URL の最大バイト数を設定するには、URL のパス最大長の設定 チェックボックスを選択します。
プロキシのこの領域では、URL はトップ レベル ドメインの後の Web アドレスすべてを含みます。これは、スラッシュ文字を含みますが、ドメイン名 (www.myexample.com または myexample.com) は含みません。例えば、/product には 9 文字が入るため、www.myexample.com/products という URL では 9 文字が制限に数えられます。
既定値は 4096 です。これは、Firebox の背後にあるコンピュータが通常要求する URL に十分対応する数値です。URL に含まれる文字は Firebox によってエンコードされ、通常は 1 バイトずつになります。たとえば、/product は 9 文字であるため、www.myexample.com/products という URL では 9 バイトが制限に数えられます。非常に長い URL は、Web サーバーに危険をもたらす意図があることを示します。最小長は 15 バイトです。この設定は、既定の設定のまま有効にしておくことをお勧めします。これにより、HTTP プロキシが保護するネットワーク上の、感染したWeb クライアントを防御できます。
変更されていない範囲要求を許可
Firebox 経由で範囲要求を許可する場合に、このチェックボックスを選択します。レンジ要求により、クライアントは、完全なコンテンツではなく Web リソース内のバイトのサブセットを要求できます。たとえば、大規模な Adobe ファイルの全体ではなく一部のセクションだけが必要な場合、必要なものだけを要求できれば、ダウンロードの速度を向上させて、不要なページをダウンロードしなくて済みます。
レンジ要求は、セキュリティのリスクとなる場合があります。悪意のあるコンテンツは、ファイルの任意の場所に隠されている場合があり、レンジ要求によってコンテンツが範囲境界を越えて分割されます。ファイルが 2 つの GET 操作にわたる場合、プロキシは検索しているパターンの認識に失敗することがあります。
プロキシの本文のコンテンツの種類 セクションに追加するルールが、ファイル ヘッダー内でなくファイルの大部分のバイト署名を識別するように設計されている場合は、このチェックボックスを選択しないことをお勧めします。
プロキシがレンジ要求のチェックボックスで示されているアクションを実行した場合にトラフィック ログ メッセージを追加するには、このアクションをログ記録する を選択します。
SafeSearch
SafeSearch は Web ブラウザの検索エンジンに搭載されている機能で、ユーザーは検索結果に戻すことのできる不適切なコンテンツのレベルを指定できます。
HTTP クライアントプロキシ アクションで SafeSearch を有効にするには、SafeSearch を強制する チェックボックスを選択します。SafeSearch を有効にすると、クライントの Web ブラウザの検索エンジンの設定に関わりなく、もっとも厳しいレベルの SafeSearch ルールが強制されます。
HTTPS 接続を必要とするサイト(Google と YouTube など)における検索で SafeSearch を強制するには、コンテンツ インスペクションが有効化されている状態で HTTPS プロキシ ポリシーを使用する必要があります。復号化された HTTPS コンテンツで SafeSearch を有効にするには、HTTPS クライアント プロキシ ポリシーのプロキシ アクションで SafeSearch が有効な HTTPS クライアント プロキシ ポリシーを選択します。HTTPS およびコンテンツ インスペクションの詳細については、次を参照してください: HTTPS プロキシ:コンテンツ インスペクション。
SafeSearch が有効になると、YouTube 上で視聴可能な動画の制限レベルを選択できます。YouTube には、中 (Moderate) と高 (Strict) の 2 段階の制限レベルがあります。
YouTube の SafeSearch 制限レベル ドロップダウン リストから、使用するコンテンツ 制限レベルを選択します。YouTube は、アルゴリズムを使用して制限をかける動画を決定します。
SafeSearch では、HTTP ヘッダー要求 YouTube-Restrict: Strict または YouTube-Restrict: Moderate が使用され、ユーザーが以下の YouTube ドメインに接続した場合のブラウザにおける YouTube コンテンツ制限レベルが設定されます。
- www.youtube.com
- m.youtube.com
- youtubei.googleapis.com
- youtube.googleapis.com
- www.youtube-nocookie.com
YouTube の SafeSearch 制限レベルは、Fireware OS v12.2.1 以降でご利用いただけます。
レポートのログ記録を有効化する
各通信のトラフィック ログ メッセージを作成するには、このチェックボックスを選択します。このオプションにより、大きなログ ファイルが作成されますが、この情報はファイアウォールが攻撃された場合に非常に重要なものとなります。このチェックボックスをオンにしない場合、レポートで HTTP プロキシ接続の詳細情報を確認できません。
Web 監査と WebBlocker レポートの両方に対してログ メッセージを生成するには、このオプションを選択する必要があります。デバイスでログ メッセージのレポートを生成する方法の詳細については、次を参照してください: レポート作成の設定を構成する。
Active Directory Authentication を使用する場合は、Firebox デバイスがシングル サインオンを使用するように構成されていることを確認します。これにより、認証されたユーザー名に基づいてレポートを作成することができるようになります。シングル サインオンでの認証方法の詳細については、次を参照してください: Active Directory SSO の仕組み。
このプロキシ アクションを使用するプロキシ ポリシーの診断ログ レベルをオーバーライドする
このプロキシ アクションを使用するすべてのプロキシ ポリシーの診断ログ レベルを指定するには、このチェックボックスを選択します。そして、このプロキシ アクションの診断ログ レベル ドロップダウン リストから、ログ レベルを選択します。
- エラー
- 警告
- 情報
- デバッグ
ここで選択するログ レベルによって、このプロキシ ポリシーの種類のすべてのログ メッセージに構成されている診断ログ レベルがオーバーライドされます。
診断ログ レベルの詳細については、次を参照してください: 診断ログ レベルを設定する。