SonicOS 7 DPI-SSL

SSL クライアント検査を有効にする

SSL クライアント検査を有効にするには、以下の手順に従います。

  1. ポリシー | DPI-SSL > クライアント SSL」に移動します。

  2. 一般」を選択します。

  3. SSL クライアント検査を有効にする」を選択します。このオプションは、既定では選択されていません。

  4. 検査を実行するサービスを 1 つ以上選択します。既定では何も選択されていません。

    • 侵入防御
    • ゲートウェイ アンチウイルス
    • ゲートウェイ アンチスパイウェア
    • アプリケーション ファイアウォール
    • コンテンツ フィルタ
  5. 復号化/インターセプトされた接続についてサーバの認証を行うには、「復号化された接続で常にサーバを認証する」を選択します。有効にすると、DPI-SSL によって以下のような接続が遮断されます。

    • 信頼できない証明書を使用するサイトへの接続。

    • Client Hello のドメイン名が、この接続のサーバ証明書に照らして検証できない場合。

このオプションは、既定では選択されていません。このオプションを選択すると、「期限切れ CA を許可する」が使用可能になります。

このオプションは、高いレベルのセキュリティが必要な場合にのみ有効にします。遮断された接続は、接続エラー リストに表示されます (「接続エラーの表示」を参照してください)。

このオプションを有効にする場合は、「CFS 種別基準の除外をスキップする」オプション (「コモンネームの除外/包含」を参照) を使用して、このグローバル認証オプションから特定のドメインを除外します。これは、信頼できるサイトのあらゆるサーバ関連エラーをオーバーライドするのに役立ちます。

  1. 期限切れまたは中間の CA を許可するには、「期限切れ CA を許可する」を選択します。このオプションは、既定では選択されていません。これを選択しないと、Client Hello のドメイン名が、この接続のサーバ証明書に照らして正当であると確認できない場合、接続は遮断されます。

  2. 除外のためにサーバ IP アドレスベースの動的キャッシュの使用を無効にするには、「複数の異なるサーバ ドメインをファイアウォールが単一のサーバ IP と見なす配備。例: プロキシ セットアップ」を選択します。このオプションは、既定では選択されていません。

このオプションは、装置がクライアント ブラウザとプロキシ サーバの間に存在する場合を含め、すべてのクライアント ブラウザがプロキシ サーバにリダイレクトされるプロキシ配備で役に立ちます。ドメインが、前面に負荷分散装置を配置したサーバ ファームの一部として、または、同じサーバ IP を複数のドメインで使用できるクラウド配備内で、仮想ホスティング サーバに含まれる場合のドメイン除外など、すべての DPI-SSL 機能がサポートされています。

そのような配備では、装置から見えるすべてのサーバ IP がプロキシ サーバの IP になっています。そのため、プロキシ配備では、IP ベースの除外キャッシュを無効にしておく必要があります。このオプションを有効にしても、SonicOS が除外を実行する機能に影響はありません。

  1. 既定では、DPI-SSL の接続制限を超える新しい接続はバイパスされます。接続制限を超えた場合に、新しい接続が破棄されずに復号化をバイパスできるようにするには、「接続制限を超えたときに、復号化なしの SSL を許可 (バイパス) する」チェックボックスをオンにします。このオプションは、既定では選択されています。

DPI-SSL の接続制限を超える新しい接続が確実に破棄されるようにするには、このチェックボックスをオフ (無効) にします。

  1. 新しい組み込みの除外ドメイン名を監査したうえで除外のために追加するには、「除外に追加される前に、新しいビルトイン除外ドメイン名を監査する」チェックボックスをオンにします。このチェックボックスは、既定ではオンになっていません。

このオプションを有効にすると、組み込みの除外リストが変更されるたびに (例えば、新しいファームウェア イメージやその他のシステム関連動作のアップグレード)、そうした変更を知らせる通知用ポップアップ ダイアログが「復号化サービス > DPI-SSL/TLS クライアント」ページの上に表示されます。新しい変更の内容を検査/監査し、組み込みの除外リストに対する新しい変更のうち任意のもの、一部、またはすべてを許可または拒否することができます。この時点で、実行時除外リストは更新され、新しい変更が反映されます。

このオプションを無効にすると、SonicOS は、組み込み除外リストに対する新しい変更すべての許可および追加を自動的に行います。

  1. コモンネームまたは種別の除外ポリシーの適用前にサーバの認証を必ず行うには、「除外ポリシーを適用する前に、常にサーバを認証する」チェックボックスをオンにします。このオプションは、既定では選択されていません。有効にすると、DPI-SSL によって以下のような除外された接続が遮断されます。

    • 信頼できない証明書を使用するサイトへの接続。
    • Client Hello のドメイン名が、この接続のサーバ証明書に照らして検証できない場合。

これは、除外ポリシーの適用前にサーバ接続を認証する場合に便利な機能です。このオプションを有効にすると、装置は、接続に対する除外を無分別に適用したり、その結果として除外サイトや除外対象種別に属するサイトについてのセキュリティ ホールを生み出したりすることがなくなります。これは、バンキング サイトが種別として除外されている場合に特に重要です。

サーバ証明書と Client Hello でのドメイン名の両方を検証したうえで除外ポリシーを適用することで、SonicOS は信頼できないサイトを拒否したり、ある主のゼロデイ攻撃の発生を潜在的に阻止したりできます。SonicOS の実装では、「信頼だけでなく検証も」というアプローチを採用しており、除外ポリシーの基準に適合するドメイン名をまず検証するようにし、それによって無防備なクライアントによるフィッシングや URL リダイレクト関連の攻撃を防止しています。

サブジェクト代替名拡張における代替ドメインを除外する場合は、このオプションを有効にすることをお勧めします。

このオプションを有効にする場合は、「CFS 種別基準の除外をスキップする」オプション (「コモンネームの除外/包含」を参照) を使用して、このグローバル認証オプションから特定のドメインを除外します。これは、信頼できるサイトのあらゆるサーバ関連エラーをオーバーライドするのに役立ちます。

  1. 「適用」をクリックします。

Was This Article Helpful?

Help us to improve our support portal

Techdocs Article Helpful form

  • Hidden
  • Hidden

Techdocs Article NOT Helpful form

  • Still can't find what you're looking for? Try our knowledge base or ask our community for more help.
  • Hidden
  • Hidden