コンテンツにスキップ

Exchange Outlook Anywhere ルールの追加

IPv4 プロトコルを使用する Exchange Outlook Anywhere ルールを作成することで、Web アプリケーションとの間でやり取りされる HTTP トラフィックを制御できます。

  1. ルールとポリシー > ファイアウォール」に移動します。「IPv4」を選択し、「ファイアウォールルールの追加」を選択します。
  2. ルールは、デフォルトで有効に設定されます。一致条件を適用しない場合は、ルールをオフにすることができます。
  3. 基本的な情報を入力します。

    名前 説明
    ルール名 名前を入力します。
    ルールの位置 ルールの位置を指定します。

    利用可能なオプション:
    • 最上位
    • 最下位
    ルールグループ ファイアウォールルールの追加先となるルールグループを指定します。リストから「新規作成」を選択して、新規ルールグループを作成することもできます。

    自動」を選択すると、ルールの種類、送信元ゾーン、宛先ソーンが一致する最初の既存のグループに、ルールが追加されます。
    アクション Web サーバープロテクションで保護する」を選択します。
    事前設定済みのテンプレート 適用するテンプレートを選択します。
    • なし: Web サーバープロテクションの詳細を指定します。
    • Exchange Autodiscover
    • Exchange Outlook Anywhere
    • Exchange 全般
    • Microsoft Lync
    • Microsoft Remote Desktop Gateway 2008 and R2
    • Microsoft Remote Desktop Web 2008 and R2
    • Microsoft Sharepoint 2010 and 2013
  4. ホスト型サーバー」の詳細を入力します。

    名前 説明
    ホスト型アドレス ユーザーが内部サーバーまたはホストにアクセスするために使用するインターフェースに割り当てられたパブリック IP アドレスを選択します。WAF ルールは、インターフェースに割り当てられた IP アドレスにバインドされます。

    インターフェースに割り当てられたパブリック IP アドレスを使用するか、エイリアスを使用して必要なパブリック IP アドレスをバインドできます。

    クライアントが接続を確立して Web サーバーにアクセスすると、Web サーバーはクライアントの IP アドレスではなく、Web Application Firewall (WAF) のインターフェースのアドレスを取得します。クライアントの IP アドレスは、HTTP ヘッダー X-Forwarded-For に含まれます。
    リスニングポート ホストされている Web サーバーに到達するポート番号を入力します。デフォルトは、HTTP の場合はポート 80、HTTPS の場合はポート 443 です。

    SSL VPN と WAF には、同じポート (443など) を使用できます。この場合、SSL VPN は、WAF 用に設定された IP アドレス (ホスト型アドレス) を除く任意の IP アドレスで動作します。

    WAF は、ユーザーポータルとポートを共有できません。ユーザーポータルのデフォルトのポートは 443 です。

    一部のポートはシステムサービス用に予約されているため、使用できません。詳しくは、予約済みポートを参照してください。
    HTTPS このオプションをオンにすると、ホストされているサーバーに HTTP ではなく HTTPS 経由でアクセスできます。
    HTTPS 証明書 HTTPS を選択した場合は、証明書を選択します。

    Sophos Firewall は SNI (Server Name Indication) に対応しているので、同じ IP アドレスとポートを介してアクセス可能な、仮想 Web サーバーを複数作成できます。サーバーごとに異なる証明書を割り当てることができます。サーバーは、要求されたホスト名に基づいてクライアントに提示されます。

    証明書を作成またはアップロードするには、「証明書 > 証明書」に移動します。
    転送 HTTP ポート 80 のトラフィックをポート 443 にリダイレクトする場合に選択します。
    ドメイン Web サーバーに設定されている FQDN を入力します (例: shop.example.com)。

    HTTPS をオンにしている場合は、選択した HTTPS 証明書のドメイン名がリストに表示されます。これらを編集または削除したり、新しいドメイン名を追加したりできます。

    ワイルドカード *. は、ドメイン名の先頭のみで使用できます。

    例: *.company.com

    1つの WAF ポリシーで複数のワイルドカードドメインをサポートします。ワイルドカードドメインを持つ仮想 Web サーバーは、特定のドメインが設定された仮想 Web サーバーがない場合のみに照合されます。

    例: ドメイン test.company.com へのクライアント要求は、test.company.com とまず照合され、その後 *.company.com と照合され、その後 *.com と照合されます。
  5. 保護されたサーバー」の詳細を指定します。Web サーバー、認証方式、および許可およびブロックされたクライアントネットワークを指定できます。パス固有のルーティングを選択した場合は、これらの設定に加えて、セッションをサーバーにバインドし、プライマリサーバーとバックアップサーバーを指定し、WebSocket プロトコルを使用できます。

    複数の Web サーバーを選択した場合、要求は Web サーバー間で分散されます。

    パス固有のルーティングを設定しない場合は、「Web サーバー」および「アクセス権限」を指定します。

    名前 説明
    Web サーバー Web サーバーリスト」から Web サーバーを選択します。または、新しい Web サーバーを作成することもできます。選択した Web サーバーは、「選択した Web サーバー」に表示されます。
    許可されたクライアントネットワーク ホストされている Web サーバーへの接続を許可する IP アドレスとネットワークを指定します。
    ブロックされたクライアントネットワーク ホストされている Web サーバーへの接続をブロックする IP アドレスとネットワークを指定します。
    認証 Web アプリケーションの認証プロファイルを指定します。
  6. スキップするセキュリティ状態のチェックを指定するには、「新しい例外の追加」を選択します。

    スキップするパス、ソース、およびセキュリティチェックを選択します。WAF ルールには複数の例外を指定できます。

    名前 説明
    パス 例外を作成するパスを指定します。パスにはワイルドカード文字を使用できます。例: /products/*/images/*
    操作 パスとソースネットワークのブール演算を選択します。
    ソース トラフィックの送信元の IP アドレス、範囲、リスト、またはネットワークを指定します。
    Cookie 署名 Cookie の改ざんをチェックしません。Cookie 署名によって、Cookie の改ざんを防止し、プライベートセッションデータの不正取得や、詐欺行為を防ぐことができます。Web サーバーが Cookie を設定し、そのプライマリ Cookie の名前、値、およびシークレット (Sophos Firewall のみが把握しているシークレット) から構成されるハッシュを含む 2つ目の Cookie が、最初の Cookie に追加されるという仕組みになっています。リクエストから正しい Cookie ペアが提供されない場合、その Cookie は破棄されます。
    スタティック URL ハードニング 指定されたパスおよび送信元ネットワークの書き換えられたリンクを許可します。

    スタティック URL ハードニングとは、ユーザーによるディープリンクの手動生成を防止し、不正アクセスを防ぐ仕組みです。クライアントが Web サイトを要求すると、クッキー署名に似た方法で、Web サイトのすべてのスタティック URL に署名が付与されます。また、Web サーバーからのレスポンスが分析され、次にどのリンクを要求可能かどうかが調べられます。

    スタティック URL ハードニングをオンにすると、URL パスのエントリの大文字と小文字が区別されるようになります。たとえば、/rule.html というパスを追加した場合、ユーザーが /Rule.html と入力すると、署名が見つからないと報告されます。
    フォームハードニング Web フォームの書き換えのチェックをスキップします。Sophos Firewall では、フォームの改ざんを防ぐために、Web フォームの元の構造を保存し、署名しています。送信されたフォームの構造が変更されている場合、Sophos Firewall は要求を拒否します。
    ウイルス対策 指定した送信元ネットワークからの要求および指定したパスに対するウイルス対策スキャンをスキップします。
    低レピュテーションのクライアントをブロック リアルタイムブラックホールリスト (RBL) と GeoIP 情報に基づく、クライアントのレピュテーションチェックを省略します。
  7. 高度な保護ポリシーを指定します。

    名前 説明
    保護 サーバーの保護ポリシーを指定します。
    侵入防御 侵入防御ポリシーを指定します。
    トラフィックシェーピング 帯域幅を割り当てるトラフィックシェーピングポリシーを指定します。
  8. 詳細」設定を指定します。

    名前 説明
    圧縮サポートの無効化 クライアントが圧縮データを要求すると、Sophos Firewall は圧縮形式でデータを送信します。

    Web ページが正しく表示されない場合、またはユーザーがコンテンツエンコードエラーが発生した場合に圧縮をオフにするには、この設定を選択します。Sophos Firewall は次に、Web サーバーから非圧縮データを要求し、要求の encoding パラメータに関係なくクライアントに送信します。
    HTML の書き換え リンクの有効性を維持するために、返された Web ページのリンクを書き換える場合に選択します。

    例: Web サーバーのホスト名が yourcompany.local で、ホストされている Web サーバーのホスト名が yourcompany.com の場合、リンクがクライアントに配信される前に [a href="http://yourcompany.local/"] に書き換えられないと、 [a href="http://yourcompany.com/"] のような絶対リンクは切断されます。

    Web サーバー上に yourcompany.com が構成されている場合や、Web ページの内部リンクが常に相対リンクとして表される場合は、このオプションを選択する必要はありません。

    Microsoft Outlook Web Access や SharePoint のポータルサーバーには、このオプションを使用することを推奨します。

    この設定は、HTTP コンテンツタイプが text/* または *xml* のすべてのファイルに影響します。* はワイルドカードです。HTML 書き換え中の破損を防ぐため、他のファイルタイプ (バイナリファイルなど) に正しい HTTP コンテンツタイプが含まれていることを確認してください。
    Cookie の書き換え 返された Web ページの Cookie を書き換える場合に選択します。
    ホストヘッダをパス 選択すると、クライアントが要求したホストヘッダが Web サーバーに転送されます。

    サーバー上で複数の Web サイトをホストしている場合は、これを使用して、要求されたホスト名と Web サーバーを照合できます。
  9. 保存」をクリックします。新しい Web サーバー保護ルールまたは編集した Web サーバー保護ルールを保存すると、Sophos Firewall はすべての Web サーバールールを再起動します。これらのルールのいずれかを使用するライブ接続は失われるため、再確立する必要があります。

その他のリソース