SSL/TLS インスペクションルールの追加

ポリシーベースのインスペクションルールを指定して、クライアントと Web サーバー間に TCP 経由の SSL/TLS 双方向接続を確立し、トラフィックを復号化することができます。

SSL/TLS インスペクションは、任意の TCP ポートで SSL/TLS トラフィックを検出します。検出された SSL/TLS 接続にはインスペクションルールが適用されます。送信元、宛先、ユーザーとグループ、サービス、Web サイト、および Web カテゴリに基づいてトラフィックを復号化するルールを指定できます。指定した条件のすべてに一致した場合に、復号化が適用されます。

また、復号化プロファイルを追加して、安全な接続を強制することもできます。

  1. ルールとポリシー > SSL/TLS インスペクションルールに移動して、追加をクリックします。
  2. 全般的な情報を入力します。

    名前

    説明

    ルール名

    名前を入力します。

    ルールの位置

    ルールテーブル内のルールの位置を指定します:

    • 最上位
    • 最下位

    XG Firewall では、一致するルールが見つかるまで、上から下に向かってルールが評価されます。パケットがルールに一致すると、その後のルールは評価されません。後でルールの順序を変更するには、ルールテーブルでルールをドラッグ&ドロップします。

    アクション

    アクションを選択します:

    • 復号化: 接続を確立し、復号化します
    • 復号化しない: 接続を確立し、復号化しません。除外ルールを作成するには、このオプションを使用します。

      復号化プロファイルの制限は、アクションが復号化しないに設定されているルールにも適用されます。

    • 拒否: 接続を確立しません
    TLS 1.3 接続の場合、次の操作を行うには、SSL/TLS インスペクションルールでアクションを復号化に設定する必要があります。
    • SSL/TLS の全般設定で指定した、TLS の互換性設定TLS 1.2 にダウングレードして復号化を適用する。
    • 証明書エラーをブロックし、復号化プロファイルで指定した RSA 鍵の最小サイズを適用する。
    • 復号化プロファイルで指定したブロックアクション拒否して通知を適用する。このような復号化プロファイルを、アクションを復号化しないまたは拒否に設定した SSL/TLS インスペクションルールに適用した場合、ブロックアクション拒否が適用されます。

    ログ接続

    接続を記録します。

    復号化のプロファイル

    復号化プロファイルを選択または作成します。 デフォルトのプロファイルを編集することはできません。

    復号化プロファイルの設定は、デフォルトの SSL/TLS の全般設定 (再署名 CA や復号化できないトラフィックに対するアクションなど) よりも優先されます。復号化プロファイルを使えば、ルールにポリシーベースのアクションを指定できます。

    SSL/TLS インスペクションルールでアクションを復号化に設定した場合、SSL 2.0 および 3.0、SSL 圧縮識別できない暗号スイートを含む接続は拒否されます。

    これらの接続を許可するには、復号化プロファイルを作成して復号化せずに許可に設定します。このプロファイルを、アクションを復号化しないに設定した SSL/TLS インスペクションルールに追加してください。

  3. 送信元の条件を選択します。
    名前説明

    送信元ゾーン

    トラフィックの送信元ゾーンを選択します。

    SSL/TLS インスペクションルールは送信トラフィックにのみ適用されるため、内部のゾーンのみを選択できます。

    送信元ネットワークとデバイス

    送信元のネットワークとデバイスを選択または作成します。

    ユーザーやグループ

    送信元のユーザーおよびグループを選択します。ここで指定したユーザーからのトラフィックにのみルールが適用されます。

  4. 宛先およびサービスの条件を選択します。

    名前

    説明

    宛先ゾーン

    トラフィックの宛先ゾーンを選択します。

    宛先ネットワーク

    宛先ネットワークを選択または作成します。

    サービス

    サービスを選択または作成します。サービスは、プロトコルとポートの組み合わせです。

    SSL/TLS 接続は UDP には適用されません。

  5. Web サイトおよび Web カテゴリの設定を指定します。

    名前

    説明

    カテゴリと Web サイト

    Web カテゴリと Web サイトを選択します。

    特定の Web サイトを追加するには、Web > URL グループまたはカテゴリにアクセスして、既存または新規のオブジェクトにその Web サイトを追加します。その後、SSL/TLS インスペクションルールでそのオブジェクトを選択します。

    XG Firewall では、SSL/TLS のハンドシェイクの SNI (Server Name Indication) に基づいて Web カテゴリおよび Web サイトを識別します。
    指定した SSL/TLS インスペクションルールおよび URL グループを適用するには、基本ライセンスが必要です。また、Web プロテクションのライセンスがない場合、Web カテゴリの設定はできますが、適用することはできません。
  6. 保存」をクリックします。