• SonicOS 7
• DPI-SSL について
  • DPI-SSL の使用
    • サポートされる機能
    • ローカル CRL のサポート
    • TLS 証明書状況要求拡張機能
    • SSH X11 転送の遮断
    • ECDSA 関連暗号のサポート
    • 独立して動作する DPI-SSL および CFS HTTPS コンテンツ フィルタ
    • 復号化されたパケットに保持される元のポート番号
    • セキュリティ サービス
  • 配備方針
  • プロキシ配備
  • DPI SSL のカスタマイズ
  • 装置モデル別の接続
• DPI-SSL/TLS クライアントの設定
  • 復号化サービス > DPI-SSL/TLS クライアント
  • DPI-SSL 状況の表示
  • DPI-SSL/TLS クライアントの配備
    • 一般設定の構成
      • SSL クライアント検査を有効にする
      • ゾーンの DPI-SSL クライアントを有効にする
      • ゾーンの DPI-SSL サーバを有効にする
    • 再署名認証局の選択
      • ブラウザへの信頼の追加
    • 除外と包含の設定
      • オブジェクト/グループの除外/包含
      • コモンネームによる除外/包含
        • DPI SSL 既定の除外の状況の表示
        • コモンネームの除外/包含
        • 個別コモンネームの削除
        • 接続エラーの表示
        • 既定の除外を手動で更新する
      • CFS 種別基準の除外/包含の指定
      • クライアント DPI-SSL の例
        • コンテンツ フィルタ
        • アプリケーション ルール
• DPI-SSL/TLS サーバの設定
  • 復号化サービス > DPI-SSL/TLS サーバ
  • DPI-SSL/TLS サーバ設定について
    • DPI-SSL/TLS サーバの一般設定
    • 除外と包含の設定
    • サーバと証明書のペアリングの設定

復号化サービス > DPI-SSL/TLS サーバ

DPI SSL については、「DPI-SSL について」を参照してください。

通常、サーバ DPI-SSL の配備シナリオは、リモート クライアントが WAN 経由で接続してファイアウォールの LAN 上のコンテンツにアクセスするときに、HTTPS トラフィックを検査するために使用します。サーバ DPI-SSL では、アドレス オブジェクトと証明書のペアリングを設定できます。アドレス オブジェクトへの SSL 接続を検出した装置は、ペアリングされた証明書を提示し、接続するクライアントと SSL のネゴシエーションを行います。

その後、ペアリングでサーバがクリアテキストと定められている場合は、サーバの元の (NAT 再割付後の) ポートに対して標準の TCP 接続が行われます。ペアリングがクリアテキストと定められていない場合、サーバへの SSL 接続がネゴシエーションされます。これにより、接続のエンドツーエンドの暗号化に対応できます。

この配備方針では、ファイアウォールの所有者が元のコンテンツ サーバの証明書と秘密鍵を所持しています。サーバの元の証明書を装置にインポートし、サーバ DPI-SSL の UI で、サーバ IP アドレスとサーバ証明書の適切な割付を作成する必要があります。