コンテンツにスキップ

SSL/TLS インスペクションルールの追加

ポリシーベースのインスペクションルールを指定して、クライアントと Web サーバー間の TCP を介した送受信 SSL および TLS 接続を確立し、トラフィックを復号化できます。

SSL/TLS インスペクションは、任意の TCP ポートの SSL/TLS トラフィックを検出します。検出された SSL/TLS 接続には、インスペクションルールが適用されます。インスペクションルールでは、送信元、宛先、ユーザーとグループ、サービス、Web サイト、Web カテゴリを指定して、トラフィックを復号化できます。指定したすべての条件に一致するトラフィックに、ルールが適用されます。

暗号化解除プロファイルを追加して、セキュアな接続を強制することもできます。

  1. ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「追加」をクリックします。

  2. 基本的な情報を入力します。

    名前 説明
    ルール名 名前を入力します。
    ルールの位置 ルールテーブル内のルールの位置を指定します。
    • 最上位
    • 最下位
    一致するルールが見つかるまで、上から下に向かってルールが評価されます。パケットの一致が見つかると、後続のルールは評価されません。後でルールの順序を変更するには、ルールをルールテーブルにドラッグアンドドロップします。
    アクション アクションを選択します。
    • 復号化: 接続を確立し、復号化します。
    • 復号化しない: 接続を確立し、復号化しません。これを使用して除外ルールを作成します。
      復号化プロファイルの制限は、ルールの処理を「復号化しない」に設定した場合にも適用されます。
    • 拒否: 接続を確立しません。

    TLS 1.3 接続に対して以下の処理を実行するには、SSL/TLS インスペクションルールの処理を「復号化」に設定する必要があります。
    • SSL/TLS の全般設定で指定した TLS 互換性の設定「TLS 1.2 にダウングレードして復号化」を適用する。
    • 証明書エラーをブロックし、復号化プロファイルで指定した RSA 鍵の最小サイズを適用する。
    • 復号化プロファイルで指定した「拒否して通知」を適用する。このような復号化プロファイルを、「復号化しない」または「拒否」アクションを指定して SSL/TLS インスペクションルールに適用すると、Sophos Firewall はブロックアクション「拒否」を適用します。
    ログ接続 接続を記録する場合に選択します。
    復号化のプロファイル 復号化プロファイルを選択するか、作成します。デフォルトのプロファイルを編集することはできません。

    復号化プロファイルは、再署名 CA のデフォルトの SSL/TLS 一般設定を上書きし、復号化できないトラフィックのアクションを実行します。これらのオプションを使用すると、ルールに対してポリシー駆動型のアクションを指定できます。

    SSL/TLS インスペクションルールでアクションを「復号化」に設定した場合、Sophos Firewall は、SSL 2.0 および 3.0、SSL 圧縮、および識別できない暗号化スイートを使用した接続を拒否します。

    これらの接続を許可するには、復号化プロファイルで、「復号化せずに許可」を設定します。アクションが「復号化しない」に設定された SSL/TLS インスペクションルールにプロファイルを追加します。

  3. ソース一致条件を選択します。

    名前 説明
    送信元ゾーン トラフィックの発信元ゾーンを選択します。

    SSL/TLS インスペクションルールは送信トラフィックのみに適用されるため、内部ゾーンだけを選択できます。
    送信元ネットワークとデバイス 送信元ネットワークとデバイスを選択するか、新しいネットワークとデバイスを作成します。
    ユーザーやグループ 送信元のユーザーおよびグループを選択します。このルールは、指定されたユーザーから送信されたトラフィックのみに適用されます。

  4. 宛先とサービスの一致基準を選択します。

    名前 説明
    宛先ゾーン トラフィックの宛先ゾーンを選択します。
    宛先ネットワーク 宛先ネットワークを選択するか、新しいネットワークを作成します。
    サービス サービスを選択するか、新しいサービスを作成します。サービスは、プロトコルとポートの組み合わせです。

    SSL/TLS 接続は UDP 上では強制されません。

  5. Web サイトおよび Web カテゴリの設定を指定します。

    名前 説明
    カテゴリと Web サイト Web カテゴリと Web サイトを選択します。

    個々の Web サイトを追加するには、「Web > URL グループ」または「カテゴリ」に移動し、既存または新規のグループやカテゴリに Web サイトを追加します。その後、 SSL/TLS インスペクションルールでオブジェクトを選択できます。Sophos Firewall は、SSL/TLS ハンドシェイクの SNI (Server Name Indication) に基づいて Web カテゴリと Web サイトを識別します。

    Sophos Firewall は、基本ライセンスがある場合は、SSL/TLS インスペクションルールと指定した URL グループを適用します。Web カテゴリの設定はできますが、Web プロテクションのライセンスなしで適用することはできません。

  6. 保存」をクリックします。

その他のリソース