HTTPS プロキシについて

HTTPS (Hypertext Transfer Protocol over Secure Socket Layer または HTTP over SSL) は、セキュリティで保護された通信およびトランザクションを実現するためにクライアントとサーバーの間で使用される要求/応答プロトコルです。HTTPS プロキシを使用して、Firebox によって保護されている Web サーバーまたは Firebox を保護することができます。また、ネットワーク上のクライアントによって要求される HTTPS トラフィックを検査することができます。既定では、HTTPS クライアントが要求を開始するとき、ポート 443 で TCP (Transmission Control Protocol) 接続が確立されます。ほとんどの HTTPS サーバーは、ポート 443 で要求を待機します。

HTTPS は、接続の保護、Web サーバーのアイデンティティの検証、および共有キーの交換をデジタル証明書を使用して行うため、HTTP より高いセキュリティ性を提供します。その後、Firebox は HTTPS トラフィックを暗号化および復号化することができます。これは、Web サーバーから返されるページ、およびユーザー ページ要求を暗号化および復号化します。Firebox はページを検査する前に復号化する必要があります。コンテンツを検査した後、Firebox は証明書でトラフィックを暗号化して、対象とする送信先へ送信します。

この機能で、Firebox によって作成された既定の証明書をエクスポートすることができます。または、デバイスが使用できるように、証明書をインポートすることができます。ネットワーク上のユーザーによって要求される Web トラフィックを検査するためにHTTPS プロキシを使用する場合、ユーザーが信頼されない証明書についてブラウザ警告を受けないように、既定の証明書をエクスポートして各ユーザーへ分配することをお勧めします。外部のネットワークから要求を受け取る Web サーバーを保護するために HTTPS プロキシを使用する場合は、現在の Web サーバー証明書をインポートすることをお勧めします。

組織で HTTPS クライアントまたはサーバーでポート 443 以外のポートを使用する場合、必要なポート用のカスタム ポリシーを作成することをお勧めします。このポリシーを作成するためのテンプレートとして、HTTPS プロキシを使用します。詳細については、構成にプロキシ ポリシーを追加する を参照してください。

どのプロキシ アクションを使用するか

プロキシ ポリシーを構成する際、ポリシーに適したプロキシ アクションを選択する必要があります。内部クライアントからインターネットへの接続を許可するプロキシ ポリシーの場合、クライアント プロキシ アクションを使用します。内部サーバーからインターネットへの接続を許可するポリシーの場合、サーバー プロキシ アクションを使用します。

プロキシ アクション名に Standard という用語が付加されている事前定義済みプロキシ アクションには、最新のインターネット ネットワーク トラフィックの傾向を反映した推奨標準設定が含まれています。

プロキシで適切な証明書が使用されるように、受信または送信 HTTPS 接続に正しいプロキシ アクションを選択することが重要です。HTTPS クライアント プロキシ アクションでは、送信プロキシ認証機関 CA 証明書が使用されます。HTTPS サーバー プロキシ アクションでは、プロキシ サーバー Web サーバー証明書が使用されます。

Fireware v11.12 以上では、Web Setup Wizard と WSM Quick Setup Wizard が、Default-HTTPS-Client プロキシ アクションを使用する HTTPS プロキシ ポリシーを自動的に追加します。Default-HTTPS-Client プロキシ アクションは、HTTPS-Client.Standard プロキシ アクションに基づいており、セットアップ ウィザードを実行したときに機能キーでライセンス付与されたサブスクリプション サービスを有効化します。新しい HTTPS プロキシ ポリシーを追加する場合、Default-HTTPS-Client プロキシ アクションのほうが HTTPS-Client.Standard プロキシ アクションより優れた選択肢かもしれません。Default-HTTPS-Client プロキシ アクションの詳細については、以下を参照してください Setup Wizard の既定のポリシーと設定

HTTPS-プロキシを構成する

設定タブ

設定 タブで、トラフィックを許可するか拒否するかの判断、ポリシーのアクセス ルールの作成、帯域幅と時間クォータの有効化、静的 NAT およびサーバー負荷分散の構成など、プロキシ ポリシーに関する基本情報を設定することができます、設定 タブにはポリシーのポートとポリシーのプロトコルも表示され、オプションでポリシーの説明を加えた場合はそれも表示されます。ログ記録、通知、自動的なブロックおよびタイムアウトの基本設定を行うには、このタブの設定を使用できます。

SD-WAN タブ

SD-WAN タブで、SD-WAN アクションを選択してポリシーに適用します。また、新しい SD-WAN アクションを追加することができます。SD-WAN ルーティングの詳細については、SD-WAN について を参照してください。

Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。

Application Control タブ

Firebox の Application Control が有効化されている場合は、このプロキシが Application Control に使用するアクションを設定することができます。

  1. Application Control タブを選択します。
  2. Application Control アクション ドロップダウン リストから、このポリシーに使用する Application Control アクションを選択します。または、新しいアクションを作成します。
  3. (オプション) 選択したアクションの Application Control 設定を編集します。
  4. 保存 をクリックします。

詳細については、ポリシーで Application Control を有効化する を参照してください。

Geolocation タブ

Firebox で Geolocation が有効化されている場合は、Geolocation タブで、このプロキシの Geolocation アクションを選択することができます。また、新しい Geolocation アクションを追加することができます。Geolocation の詳細については、Geolocation を構成する を参照してください。

ポリシーに Geolocation アクションを適用するには、以下の手順を実行します。

  1. Geolocation タブを選択します。
  2. Geolocation 管理アクション ドロップダウン リストから、Geolocation アクションを選択します。

    新しい Geolocation アクションを作成する場合は、追加 をクリックします。
  3. 保存 をクリックします。

Geolocation タブは、Fireware 12.3 以降で使用できます。

トラフィック管理 タブ

トラフィック管理 タブでは、ポリシーのトラフィック管理アクションを選択することができます。新しいトラフィック管理アクションを作成することもできます。トラフィック管理アクションの詳細については、v11.8.x 以降でトラフィック管理アクションを定義する および ポリシーにトラフィック管理アクションを追加する を参照してください。

ポリシーにトラフィック管理アクションを適用するには、以下の手順を実行します:

  1. トラフィック管理 タブを選択します。
  2. トラフィック管理アクション ドロップダウン リストから、トラフィック管理アクションを選択します。

    または、次のトピックで説明されている通り、新規作成 を選択し、設定を構成して、新しいトラフィック管理アクションを作成します v11.8.x 以降でトラフィック管理アクションを定義する
  3. 保存 をクリックします。

プロキシ アクション タブ

このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて

プロキシ アクションを構成するには、以下の手順を実行します:

  1. プロキシ アクション タブを選択します。
  2. プロキシ アクション ドロップダウン リストから、このプロキシ ポリシーで使用するプロキシ アクションを選択します。

    プロキシ アクションの詳細については、次を参照してください: プロキシ アクションについて
  3. 保存 をクリックします。

HTTPS プロキシには、 プロキシ アクションの設定のこれらのカテゴリを構成することができます:

スケジューリング タブ

スケジューリング タブで、ポリシーの作動スケジュールを指定することができます。既存のスケジュールを選択するか、または新しいスケジュールを作成することができます。

  1. スケジューリング タブを選択します。
  2. アクションのスケジュール ドロップダウン リストから、スケジュールを選択します。
    または、トピック Firebox アクションのスケジュールを作成する および 運用スケジュールを設定する に説明されている通り、新規作成 を選択し、設定を構成して、新しいスケジュールを作成します。
  3. 保存 をクリックします。

詳細 タブ

詳細 タブ には、NAT、QoS、複数 WAN、および ICMP オプションの設定が含まれています。

このプロキシ ポリシー構成のコメントを編集または追加するには、コメント テキスト ボックスに、コメントを入力します。

このタブのオプションの詳細については、次を参照してください:

ポリシー タブ

アクセス ルールと他のオプションを設定するには、ポリシー タブを使用します。

プロパティ タブ

プロパティ タブで、次のオプションを設定します。

  • このポリシー構成のコメントを編集または追加するには、コメントを コメント テキスト ボックスに入力します。
  • ポリシーのログ記録の設定を定義するには、ログ記録 をクリックします。

    詳細については、次を参照してください:ログ記録と通知の基本設定を行う
  • HTTPS プロキシ接続 ドロップダウン リスト(ポリシー タブ)を 拒否 または 拒否 (リセット送信) に設定すると、HTTPS を使用しようとするサイトをブロックすることができます。
    詳細については、ポリシー設定で一時的にサイトをブロックする を参照してください。
  • Firebox または認証サーバーで設定されているアイドル タイムアウトを変更する方法については、次を参照してください: カスタムのアイドル タイムアウトを設定する

詳細 タブ

プロキシ定義で、これらのオプションを使用できます。

プロキシ アクションを構成する

このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて

HTTPS プロキシには、 プロキシ アクションの設定のこれらのカテゴリを構成することができます:

HTTP プロキシ アクションで WebBlocker は有効化しているが、コンテンツ インスペクションを使用しない場合、コンテンツが WebBlocker によって拒否された場合にユーザーに拒否メッセージが表示されません。コンテンツ インスペクションをしないと、保護は十分ではありません。WebBlocker で検出できるのは URL ではなく、一般名やサーバー名のドメイン情報のみです。詳細については、HTTPS プロキシ: WebBlocker を参照してください。

関連情報:

プロキシ ポリシーと ALG について