SSL/TLS インスペクションルールの追加
ポリシーベースのインスペクションルールを指定して、クライアントと Web サーバー間の TCP を介した送受信 SSL および TLS 接続を確立し、トラフィックを復号化できます。
SSL/TLS インスペクションは、任意の TCP ポートの SSL/TLS トラフィックを検出します。検出された SSL/TLS 接続には、インスペクションルールが適用されます。インスペクションルールでは、送信元、宛先、ユーザーとグループ、サービス、Web サイト、Web カテゴリを指定して、トラフィックを復号化できます。指定したすべての条件に一致するトラフィックに、ルールが適用されます。
暗号化解除プロファイルを追加して、セキュアな接続を強制することもできます。
- 「ルールとポリシー > SSL/TLS インスペクションルール」に移動し、「追加」をクリックします。
-
基本的な情報を入力します。
名前 説明 ルール名 名前を入力します。 ルールの位置 ルールテーブル内のルールの位置を指定します。
- 最上位
- 最下位
アクション アクションを選択します。
- 復号化: 接続を確立し、復号化します。
ログビューアには、次のような復号化された接続のアイコンが表示されます。
- 復号化しない: 接続を確立し、復号化しません。これを使用して、除外ルールを作成します。
復号化プロファイルの制限は、アクションが「復号化しない」に設定されているルールにも適用されます。
ログビューアには、確立されているものの復号化されていない接続について、次のようなアイコンが表示されます。
- 拒否: 接続を確立しません。
ログビューアには、拒否された接続に関する次のようなアイコンが表示されます。
TLS 1.3 接続に対して以下の処理を実行するには、SSL/TLS インスペクションルールの処理を「復号化」に設定する必要があります。
- SSL/TLS の全般設定で指定した TLS 互換性の設定「TLS 1.2 にダウングレードして復号化」を適用する。
- 証明書エラーをブロックし、復号化プロファイルで指定した RSA 鍵の最小サイズを適用する。
- 復号化プロファイルで指定した「拒否して通知」を適用する。このような復号化プロファイルを、「復号化しない」または「拒否」アクションを指定して SSL / TLS インスペクションルールに適用すると、ファイアウォールはブロックアクション「拒否」を適用します。
ログ接続 接続を記録する場合に選択します。 復号化のプロファイル 復号化プロファイルを選択するか、作成します。デフォルトのプロファイルを編集することはできません。
復号化プロファイルは、再署名 CA のデフォルトの SSL/TLS 一般設定を上書きし、復号化できないトラフィックのアクションを実行します。これらのオプションを使用すると、ルールに対してポリシー駆動型のアクションを指定できます。注
SSL/TLS インスペクションルールでアクションを「復号化」に設定した場合、Sophos Firewall は、SSL 2.0 および 3.0、SSL 圧縮、および識別できない暗号化スイートを使用した接続を拒否します。
これらの接続を許可するには、復号化プロファイルで、「復号化せずに許可」を設定します。アクションが「復号化しない」に設定された SSL/TLS インスペクションルールにプロファイルを追加します。
-
ソース一致条件を選択します。
名前 説明 送信元ゾーン トラフィックの発信元ゾーンを選択します。
SSL/TLS インスペクションルールは送信トラフィックのみに適用されるため、内部ゾーンだけを選択できます。送信元ネットワークとデバイス 送信元ネットワークとデバイスを選択するか、新しいネットワークとデバイスを作成します。 ユーザーやグループ 送信元のユーザーおよびグループを選択します。このルールは、指定されたユーザーから送信されたトラフィックのみに適用されます。 -
宛先とサービスの一致基準を選択します。
名前 説明 宛先ゾーン トラフィックの宛先ゾーンを選択します。 宛先ネットワーク 宛先ネットワークを選択するか、新しいネットワークを作成します。 サービス サービスを選択するか、新しいサービスを作成します。サービスは、プロトコルとポートの組み合わせです。
SSL/TLS 接続は UDP 上では強制されません。 -
Web サイトおよび Web カテゴリの設定を指定します。
名前 説明 カテゴリと Web サイト Web カテゴリと Web サイトを選択します。
個々の Web サイトを追加するには、「Web > URL グループ」または「カテゴリ」に移動し、既存または新規のグループやカテゴリに Web サイトを追加します。その後、 SSL/TLS インスペクションルールでオブジェクトを選択できます。Sophos Firewall は、SSL/TLS ハンドシェイクの SNI (Server Name Indication) に基づいて Web カテゴリと Web サイトを識別します。注
Sophos Firewall は、基本ライセンスがある場合は、SSL/TLS インスペクションルールと指定した URL グループを適用します。Web カテゴリの設定はできますが、Web プロテクションのライセンスなしで適用することはできません。
-
「保存」をクリックします。
その他のリソース