TLS インスペクションから Web サイトを除外する
Web フィルタリングでディープ パケット インスペクション (DPI) モードが有効になっている場合、特定のウェブサイトを TLS インスペクションから除外して、復号化されないようにできます。
各種方法がありますので、パフォーマンスの観点からお勧めの方法を紹介します。
Web の例外に正規表現を追加する
- Web の例外を作成します。詳細は、例外の追加を参照してください。
-
「URL パターン一致」で、正規表現を追加します。既存のルールで使用している正規表現の形式に従ってください。
例
^([A-Za-z0-9.-]*\.)?microsoft\.com/正規表現の文字列とドメイン名の照合には、SNI (Server Name Indication) が使用されます。冒頭の
^は、効率およびセキュリティを高めるために重要な役割を果たします。Web 例外の正規表現にワイルドカードを含めると、処理が遅くなります。また、正規表現が適切に記述されていない場合、処理効率が大幅に低下する可能性があります。
ローカル TLS 除外リストに URL グループを追加する
- URL グループを作成します。詳細は、URL グループの追加を参照してください。
- SSL/TLS インスペクションルールを追加し、「アクション」を「復号化しない」に設定し、「カテゴリと Web サイト」に URL グループを追加します。
テキスト文字列とドメイン名の照合には、SNI が使用されます。
ファイアウォールは、SNI による照合を前提として最適化されているため、宛先を除外する方法としてはこれが最も効率的です。
SSL/TLS インスペクションルールに IP ホストオブジェクトを追加する
-
IP ホストオブジェクトを作成します。詳細は、IP ホストの追加を参照してください。
-
SSL/TLS インスペクションルールを追加し、「アクション」を「復号化しない」に設定し、「宛先ネットワーク」に IP ホストオブジェクトを追加します。詳細は、SSL/TLS インスペクションルールの追加を参照してください。
IP ホストは、単一のスタティック IP アドレスです。宛先または送信元ネットワークにスタティック IP アドレスを追加することは、効率の面では、例外を使用するのとほぼ同じです。
SSL/TLS インスペクションルールに FQDN ホストオブジェクトを追加する
- FQDN ホストオブジェクトを作成します。詳細は、FQDN ホストの追加を参照してください。
- SSL/TLS インスペクションルールを追加し、「アクション」を「復号化しない」に設定し、「宛先ネットワーク」に FQDN ホストオブジェクトを追加します。詳細は、SSL/TLS インスペクションルールの追加を参照してください。
FQDN ホストは、DNS ルックアップを必要とします。詳細は、FQDN ホストを参照してください。「宛先ネットワーク」または「送信元ネットワーク」に FQDN ホストを追加すると、DNS ルックアップが何度も発生するため、他の方法に比べて大幅に効率が悪くなります。たとえば、200個の FQDN を除外した場合、SSL/TLS 接続が新しく発生するたびに、200回のルックアップが行われます。
パフォーマンスに関する考慮事項
- ソフォスでは、FQDN ホストを使用する方法ではなく、他の効率的な方法を使用することを推奨しています。
- SSL/TLS インスペクションルールにおいて宛先ネットワークに FQDN ホストを指定する代わりに、ローカル TLS 除外リストに URL グループを追加する方法をお勧めします。
-
SSL/TLS インスペクションルールにおいて送信元ネットワークに FQDN ホストを指定する代わりに、IP ホストを使用するか、または Web の例外を追加することをお勧めします。
注
送信元と宛先の例外は、組み合わせることはできません。
-
除外リストおよび Web の例外は、Web サイトが SNI によって定義されていることを前提としています。この前提が満たされていない場合は、IP ホストまたは FQDN ホストを使用できます。
- Web の例外を追加する場合、既存のルールと同じ正規表現の形式を使用してください。正規表現が正しく記述されていない場合、パフォーマンスが低下する可能性があります。