コンテンツにスキップ

SSL/TLS インスペクションルールの追加

ポリシーベースのインスペクションルールを指定して、クライアントと Web サーバー間の TCP を介した送受信 SSL および TLS 接続を確立し、トラフィックを復号化できます。

SSL/TLS インスペクションは、任意の TCP ポートの SSL/TLS トラフィックを検出します。検出された SSL/TLS 接続には、インスペクションルールが適用されます。インスペクションルールでは、送信元、宛先、ユーザーとグループ、サービス、Web サイト、Web カテゴリを指定して、トラフィックを復号化できます。指定したすべての条件に一致するトラフィックに、ルールが適用されます。

暗号化解除プロファイルを追加して、セキュアな接続を強制することもできます。

  1. ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「追加」をクリックします。
  2. 基本的な情報を入力します。

    名前 説明
    ルール名 名前を入力します。
    ルールの位置

    ルールテーブル内のルールの位置を指定します。

    • 最上位
    • 最下位
    一致するルールが見つかるまで、上から下に向かってルールが評価されます。パケットの一致が見つかると、後続のルールは評価されません。後でルールの順序を変更するには、ルールをルールテーブルにドラッグアンドドロップします。
    アクション

    アクションを選択します。

    • 復号化: 接続を確立し、復号化します。

      ログビューアには、次のような復号化された接続のアイコンが表示されます。

      復号化された接続を示すアイコンです。

    • 復号化しない: 接続を確立し、復号化しません。これを使用して、除外ルールを作成します。

      復号化プロファイルの制限は、アクションが「復号化しない」に設定されているルールにも適用されます。

      ログビューアには、確立されているものの復号化されていない接続について、次のようなアイコンが表示されます。

      確立されているものの復号化されていない接続を示すアイコンです。

    • 拒否: 接続を確立しません。

      ログビューアには、拒否された接続に関する次のようなアイコンが表示されます。

      拒否された接続を示すアイコンです。

    TLS 1.3 接続に対して以下の処理を実行するには、SSL/TLS インスペクションルールの処理を「復号化」に設定する必要があります。

    • SSL/TLS の全般設定で指定した TLS 互換性の設定「TLS 1.2 にダウングレードして復号化」を適用する。
    • 証明書エラーをブロックし、復号化プロファイルで指定した RSA 鍵の最小サイズを適用する。
    • 復号化プロファイルで指定した「拒否して通知」を適用する。このような復号化プロファイルを、「復号化しない」または「拒否」アクションを指定して SSL / TLS インスペクションルールに適用すると、ファイアウォールはブロックアクション「拒否」を適用します。
    ログ接続 接続を記録する場合に選択します。
    復号化のプロファイル 復号化プロファイルを選択するか、作成します。デフォルトのプロファイルを編集することはできません。

    復号化プロファイルは、再署名 CA のデフォルトの SSL/TLS 一般設定を上書きし、復号化できないトラフィックのアクションを実行します。これらのオプションを使用すると、ルールに対してポリシー駆動型のアクションを指定できます。

    SSL/TLS インスペクションルールでアクションを「復号化」に設定した場合、Sophos Firewall は、SSL 2.0 および 3.0、SSL 圧縮、および識別できない暗号化スイートを使用した接続を拒否します。

    これらの接続を許可するには、復号化プロファイルで、「復号化せずに許可」を設定します。アクションが「復号化しない」に設定された SSL/TLS インスペクションルールにプロファイルを追加します。

  3. ソース一致条件を選択します。

    名前 説明
    送信元ゾーン トラフィックの発信元ゾーンを選択します。

    SSL/TLS インスペクションルールは送信トラフィックのみに適用されるため、内部ゾーンだけを選択できます。
    送信元ネットワークとデバイス 送信元ネットワークとデバイスを選択するか、新しいネットワークとデバイスを作成します。
    ユーザーやグループ 送信元のユーザーおよびグループを選択します。このルールは、指定されたユーザーから送信されたトラフィックのみに適用されます。
  4. 宛先とサービスの一致基準を選択します。

    名前 説明
    宛先ゾーン トラフィックの宛先ゾーンを選択します。
    宛先ネットワーク 宛先ネットワークを選択するか、新しいネットワークを作成します。
    サービス サービスを選択するか、新しいサービスを作成します。サービスは、プロトコルとポートの組み合わせです。

    SSL/TLS 接続は UDP 上では強制されません。
  5. Web サイトおよび Web カテゴリの設定を指定します。

    名前 説明
    カテゴリと Web サイト Web カテゴリと Web サイトを選択します。

    個々の Web サイトを追加するには、「Web > URL グループ」または「カテゴリ」に移動し、既存または新規のグループやカテゴリに Web サイトを追加します。その後、 SSL/TLS インスペクションルールでオブジェクトを選択できます。Sophos Firewall は、SSL/TLS ハンドシェイクの SNI (Server Name Indication) に基づいて Web カテゴリと Web サイトを識別します。

    Sophos Firewall は、基本ライセンスがある場合は、SSL/TLS インスペクションルールと指定した URL グループを適用します。Web カテゴリの設定はできますが、Web プロテクションのライセンスなしで適用することはできません。

  6. 保存」をクリックします。

その他のリソース