Microsoft Remote Desktop Web クライアントルールの追加
IPv4 プロトコルを使用する Microsoft Remote Desktop Web クライアントルールを作成することで、Web アプリケーションとの間でやり取りされる HTTP トラフィックを制御できます。
- 「ルールとポリシー > ファイアウォール」に移動し、「IPv4」を選択して、「ファイアウォールルールの追加」をクリックします。
- ルールは、デフォルトで有効に設定されます。一致条件を適用しない場合は、ルールをオフにすることができます。
-
基本的な情報を入力します。
名前 説明 ルール名 名前を入力します。 ルールの位置 ルールの位置を指定します。
利用可能なオプション:
- 最上位*
- 最下位
ルールグループ ファイアウォールルールを追加するグループを指定します。リストから「新規作成」を選択して、新規ルールグループを作成することもできます。
「自動」を選択すると、ルールの種類、送信元ゾーン、宛先ソーンが一致する最初の既存のグループに、ルールが追加されます。
アクション 「Web サーバープロテクションで保護する」を選択します。 事前設定済みのテンプレート 適用するテンプレートを選択します。
- なし: Webサーバープロテクションの詳細を指定します。
- Exchange 自動検出
- Exchange Outlook Anywhere
- Exchange 全般
- Microsoft Lync
- Microsoft RDG
- Microsoft RD Web
-
「ホスト型サーバー」の詳細を入力します。
名前 説明 ホスト型アドレス ユーザーが内部サーバーまたはホストにアクセスするために使用するインターフェースに割り当てられたパブリック IP アドレスを選択します。WAF ルールは、インターフェースに割り当てられた IP アドレスにバインドされます。
インターフェースに割り当てられたパブリック IP アドレスを使用するか、エイリアスを使用して必要なパブリック IP アドレスをバインドできます。
クライアントが接続を確立して Web サーバーにアクセスすると、Web サーバーはクライアントの IP アドレスではなく、Web Application Firewall (WAF) のインターフェースのアドレスを取得します。クライアントの IP アドレスは、HTTP ヘッダー
X-Forwarded-For
に含まれます。リスニングポート ホストされている Web サーバに到達するポート番号を入力します。デフォルトでは、HTTP の場合ポート 80、HTTPS の場合はポート 443です。
VPN ポータルと SSL VPN の次の属性の少なくとも 1 つで WAF が異なることを確認します。WAN IP アドレス、ポート、プロトコル。サービス間でのポート共有を参照してください。
一部のポートはシステムサービス用に予約されているため、使用できません。詳細は、予約済みポートを参照してください。
HTTPS このオプションをオンにすると、ホストされているサーバーに HTTP ではなく HTTPS 経由でアクセスできます。 HTTPS 証明書 HTTPS を選択した場合は、証明書を選択します。
Sophos Firewall は SNI (Server Name Indication) に対応しているので、同じ IP アドレスとポートを介してアクセス可能な、仮想 Web サーバーを複数作成できます。サーバーごとに異なる証明書を割り当てることができます。サーバーは、要求されたホスト名に基づいてクライアントに提示されます。
証明書を作成またはアップロードするには、「証明書 > 証明書」に移動します。
転送 HTTP ポート 80 のトラフィックをポート 443 にリダイレクトする場合に選択します。 ドメイン Web サーバーに設定されている FQDN を入力します (例:
shop.example.com
)。HTTPS をオンにしている場合は、選択した HTTPS 証明書のドメイン名がリストに表示されます。これらを編集または削除したり、新しいドメイン名を追加したりできます。
ワイルドカード
*.
は、ドメイン名の先頭のみで使用できます。例:
*.company.com
1 つの WAF ポリシーで複数のワイルドカードドメインをサポートします。ワイルドカードドメインを持つ仮想 Web サーバーは、特定のドメインが設定された仮想 Web サーバーがない場合のみに照合されます。
例: ドメイン test.company.com へのクライアント要求は、
test.company.com
とまず照合され、その後*.company.com
と照合され、その後*.com
と照合されます。 -
「保護されたサーバー」の詳細を指定します。Web サーバー、認証方式、および許可およびブロックされたクライアントネットワークを指定できます。パス固有のルーティングを選択した場合は、これらの設定に加えて、セッションをサーバーにバインドし、プライマリサーバーとバックアップサーバーを指定し、WebSocket プロトコルを使用できます。
注
複数の Web サーバーを選択した場合、要求は Web サーバー間で分散されます。
パス固有のルーティングを設定しない場合は、「Web サーバー」および「アクセス権限」を指定します。
名前 説明 Web サーバー 「Web サーバーリスト」から Web サーバーを選択します。または、新しい Web サーバーを作成することもできます。選択した Web サーバーは、「選択した Web サーバー」に表示されます。 許可されたクライアントネットワーク ホストされている Web サーバーへの接続を許可する IP アドレスとネットワークを指定します。 ブロックされたクライアントネットワーク ホストされている Web サーバーへの接続をブロックする IP アドレスとネットワークを指定します。 認証 Web アプリケーションの認証プロファイルを指定します。 ブロックされた国 ホストされている Web サーバーへの接続をブロックする国と国別グループを指定します。 不明な国の IP アドレスをブロックする 送信元の国が不明な IP アドレスをブロックするとき、オンにします。
この機能をオンにするときは注意してください。送信元の国が不明である IP アドレスから接続している場合、このリソースからブロックされる可能性があります。IP アドレスに送信元の国が設定されているかどうかは確認できます。「GeoIP2 データベースのデモ」を参照してください。
-
スキップするセキュリティ状態のチェックを指定するには、「新しい例外の追加」を選択します。
スキップするパス、ソース、カテゴリ、およびセキュリティチェックを選択します。カテゴリの詳細については、プロテクションポリシーの追加の「一般的な脅威フィルタ」設定を参照してください。
WAF ルールには複数の例外を指定できます。
名前 説明 パス 例外を作成するパスを指定します。パスにはワイルドカード文字を使用できます。例: /products/*/images/* 操作 パスとソースネットワークのブール演算を選択します。 ソース トラフィックの送信元の IP アドレス、範囲、リスト、またはネットワークを指定します。 Cookie 署名 Cookie の改ざんをチェックしません。Cookie 署名によって、Cookie の改ざんを防止し、プライベートセッションデータの不正取得や、詐欺行為を防ぐことができます。Web サーバーが Cookie を設定し、そのプライマリ Cookie の名前、値、およびシークレット (Sophos Firewall のみが把握しているシークレット) から構成されるハッシュを含む 2つ目の Cookie が、最初の Cookie に追加されるという仕組みになっています。リクエストから正しい Cookie ペアが提供されない場合、その Cookie は破棄されます。 スタティック URL ハードニング 指定されたパスおよび送信元ネットワークの書き換えられたリンクを許可します。
スタティック URL ハードニングとは、ユーザーによるディープリンクの手動生成を防止し、不正アクセスを防ぐ仕組みです。クライアントが Web サイトを要求すると、クッキー署名に似た方法で、Web サイトのすべてのスタティック URL に署名が付与されます。また、Web サーバーからのレスポンスが分析され、次にどのリンクを要求可能かどうかが調べられます。
スタティック URL ハードニングをオンにすると、URL パスのエントリの大文字と小文字が区別されるようになります。たとえば、
/rule.html
というパスを追加した場合、ユーザーが/Rule.html
と入力すると、署名が見つからないと報告されます。フォームハードニング Web フォームの書き換えのチェックをスキップします。Sophos Firewall では、フォームの改ざんを防ぐために、Web フォームの元の構造を保存し、署名しています。送信されたフォームの構造が変更されている場合、Sophos Firewall は要求を拒否します。 ウイルス対策 指定した送信元ネットワークからの要求および指定したパスに対するウイルス対策スキャンをスキップします。 低レピュテーションのクライアントをブロック リアルタイムブラックホールリスト (RBL) と GeoIP 情報に基づく、クライアントのレピュテーションチェックを省略します。 スタティック URL/フォームハードニング実行中に HTML を変更しない この例外を選択した場合、ファイアウォールはスタティック URL ハードニングまたはフォームハードニング中に HTML の書き換えを実行しません。たとえば、HTML ページ内のリンクは更新されず、Web サーバーから返された完全なリンクが保持されます。これらのリンクへのアクセスを許可するには、スタティック URL ハードニングまたはフォームハードニングをスキップする必要がある場合があります。したがって、Web アプリケーションが HTML ページ内の何かを必要とする場合、HTML の書き換えによってドロップされることはありません。 ハードニングされていないフォームデータを承認する フォームハードニング例外を選択した場合でも、フォームハードニングシグネチャがないと、ファイアウォールはフォームデータを受け入れません。このオプションを使用すると、ファイアウォールはハードニングされていないフォームデータを承認します。 -
高度な保護ポリシーを指定します。
名前 説明 保護 サーバーの保護ポリシーを指定します。 侵入防御 侵入防御ポリシーを指定します。 トラフィックシェーピング 帯域幅を割り当てるトラフィックシェーピングポリシーを指定します。 -
「詳細」設定を指定します。
名前 説明 圧縮サポートの無効化 クライアントが圧縮データを要求すると、Sophos Firewall は圧縮形式でデータを送信します。
Web ページが正しく表示されない場合、またはユーザーがコンテンツエンコードエラーが発生した場合に圧縮をオフにするには、この設定を選択します。Sophos Firewall は次に、Web サーバーから非圧縮データを要求し、要求の encoding パラメータに関係なくクライアントに送信します。
HTML の書き換え リンクの有効性を維持するために、返された Web ページのリンクを書き換える場合に選択します。
例: Web サーバーのホスト名が
yourcompany.local
で、ホストされている Web サーバーのホスト名がyourcompany.com
の場合、リンクがクライアントに配信される前に[a href="http://yourcompany.local/"]
に書き換えられないと、[a href="http://yourcompany.com/"]
のような絶対リンクは切断されます。Web サーバー上に
yourcompany.com
が構成されている場合や、Web ページの内部リンクが常に相対リンクとして表される場合は、このオプションを選択する必要はありません。Microsoft Outlook Web Access や SharePoint のポータルサーバーには、このオプションを使用することを推奨します。
この設定は、HTTP コンテンツタイプが text/* または *xml* のすべてのファイルに影響します。* はワイルドカードです。HTML 書き換え中の破損を防ぐため、他のファイルタイプ (バイナリファイルなど) に正しい HTTP コンテンツタイプが含まれていることを確認してください。
Cookie の書き換え 返された Web ページの Cookie を書き換える場合に選択します。 ホストヘッダをパス 選択すると、クライアントが要求したホストヘッダが Web サーバーに転送されます。
サーバー上で複数の Web サイトをホストしている場合は、これを使用して、要求されたホスト名と Web サーバーを照合できます。
-
「保存」をクリックします。新しい Web サーバー保護ルールまたは編集した Web サーバー保護ルールを保存すると、Sophos Firewall はすべての Web サーバールールを再起動します。これらのルールのいずれかを使用するライブ接続は失われるため、再確立する必要があります。
その他のリソース