SSL/TLS インスペクションルールを使用して、復号化できないトラフィックを許可する方法
SSL 2.0 および SSL 3.0、SSL 圧縮、または識別できない暗号化スイートを使用する信頼済み Web サイトでは、復号化せずに接続を許可できます。
はじめに
復号化できないトラフィックを許可するには、以下の手順に従います。
- 接続パラメータ (SSL 2.0 および SSL 3.0、SSL 圧縮、識別できない暗号化スイート) を指定して、復号化なしで許可する、復号化プロファイルを作成します。
- 復号化しない接続の SSL/TLS インスペクションルールを作成します。この例では、宛先 IP アドレスを使用して、ルール条件に一致するトラフィックを検索します。または、SSL/TLS インスペクションルールに FQDN ホストグループを追加して、一致するトラフィックを検索することもできます。
復号化プロファイルを作成して、復号化できないトラフィックを許可する方法
復号化プロファイルを作成して、SSL 2.0 および SSL 3.0、SSL 圧縮、および識別できない暗号化スイートを使用する接続を復号化なしで許可します。
- 「プロファイル > 復号化のプロファイル」に移動し、「追加」をクリックします。
-
以下のように設定します。
名前 説明 名前 名前を入力します。
例:Allow_non-decryptable_profile
SSL 2.0 および SSL 3.0 Allow without decryption
SSL 圧縮 Allow without decryption
識別できない暗号化スイート Allow without decryption
-
「保存」をクリックします。
復号化できないトラフィック用の SSL/TLS ルールの作成
SSL 2.0 および SSL 3.0、SSL 圧縮、および識別できない暗号化スイートを使用する信頼済み接続に対して、復号化せずに SSL/TLS ルールを作成します。
- 「ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「追加」をクリックします。
- 名前を入力します。
-
以下のように設定します。
名前 説明 アクション Don't decrypt
復号化のプロファイル 作成した復号化プロファイルを選択します。
Allow_non-decryptable_profile
送信元ゾーン LAN
宛先ゾーン WAN
宛先ネットワーク Web サイトの IP アドレスを入力します。
例:11.1.1.1
-
「保存」をクリックします。