Loading...

ナレッジセンター


透過型モードにおけるHTTPSサイトのURLフィルタリングについて
技術的な記事 ID:  KB80477
最終更新:  2014/02/13

概要

問題の詳細

透過型(ブリッジ、ルーター)モードにおけるHTTPSサイトのURLフィルタリングには動作の仕組みによる制限がございます。

原因

透過モードでHTTPSサイトのURLフィルタリングを行うためにはEmail and Web Security(以下EWS)によるDNSの逆引き参照が有効である必要があります。
これは、透過モードの場合クライアントからのアクセス要求は暗号化されており、EWSで要求をデコードすることができないためです。
HTTPSサイトへの接続に対してEWSは以下のような仕組みでURLフィルタリングを提供します。

  1. クライアントから名前解決した該当のWEBサーバーのIPアドレスへアクセス
  2. EWSはIPアドレスをDNS逆引き参照して名前に解決し、URLのブラックリストに対して名前を評価
  3. 名前が合致すれば接続を拒否

EWSでのDNS逆引き参照が無効の場合、2の動作が行われないため、URLフィルタリングがうまく動作しません。
また、IPアドレスは複数のDNSホスト名を有する場合があります(マルチドメインなどの理由から)。
例えば以下のようなケースの場合、そのIPアドレスに対する接続を完全に防ぐことはできませんのでご注意ください。

IPアドレス:10.11.12.34 というホストは www.sample.comwww.blocked.net という二つのホスト名を持ちます。
EWSには拒否されるURLとして www.blocked.net が設定されています。
ところがDNS逆引き参照の結果、10.11.12.34 に対して応答されたホスト名はwww.sample.comのみでした。
この場合、www.sample.com は 拒否リストのwww.blocked.netと一致しないため、URLフィルタリングによるアクションは動作しません。
これは透過モードにおけるHTTPS URLフィルタリングの仕組みによる正しい動作です。

解決策
  1. HTTPにおけるDNS逆引き参照の設定は以下の項目にございます。

    WEB構成HTTP接続設定DNSの逆引き参照を有効にする

    HTTPSにおけるURLフィルタリングを利用する場合は上のチェックボックスをチェックしてDNSの逆引き参照を有効にしてください。

  2. HTTPSにおけるURLフィルタリングの有効化は以下の設定から実施します。

    WEBポリシーWEBレピュテーションとWeb分類HTTPS Web分類 –HTTPS URL向けにブラックリストおよびホワイトリストのチェックを有効にする

    上の設定を有効にすることでHTTPS URLに対してブラックリストおよびホワイトリストのチェックが有効になります。

  3. フィルタリングデータベースを用いたMcAfee GTI Web分類を有効にする場合には以下の設定を有効にします。

    WEBポリシーWEBレピュテーションとWeb分類HTTPS Web分類 – McAfee GTI Web 分類 – HTTPS URL向けにMcAfeeGTI Web分類を有効にする

以前のドキュメント ID

EW512120602

このドキュメントを評価する

この記事によって問題が解決されましたか?

ご意見がありましたら以下にご記入ください

影響を受ける製品


Email & Web Security 5.6

Japan - 日本 (Japanese)
© 2003-2013 McAfee, Inc.