SSL ルールの作成

SSL ルールを作成するには：

1. 製品の Web インターフェイスで、［設定］-［ビルトインプロキシサーバー］-［SSL ルール］セクションを選択します。
2. ［ルールの追加］をクリックします。

   ［ルールの追加］ウィンドウが表示されます。

3. ［処理］で、SSL 接続に対して実行する処理を選択します。
   • トンネル

     指定した条件を満たす CONNECT 要求はインターセプトしません。［ダッシュボード］セクションで表示される処理済みのトラフィックに関する統計情報では、このような CONNECT 要求は考慮されません。

     また、保護ルールおよび次のフィルタリング基準を適用できない可能性があります：HTTP メッセージの MIME タイプ、HTTP メッセージの各パートの MIME タイプ、ファイルサイズ、HTTP メソッド。

   • SNI チェックによるトンネル

     指定した条件を満たしていて SNI チェックを実行した CONNECT 要求はインターセプトしません。［ダッシュボード］セクションで表示される処理済みのトラフィックに関する統計情報では、このような CONNECT 要求は考慮されません。

     TLS プロトコルの拡張仕様で、接続を確立する Web サイトの名前を転送します。単一の物理サーバーでホストされていて HTTPS プロトコル経由で動作している複数のサービスが、同一の IP アドレスを使用している状況で、サービスごとに個別のセキュリティ証明書を使用している場合に SNI が必要になります。

     また、保護ルールおよび次のフィルタリング基準を適用できない可能性があります：HTTP メッセージの MIME タイプ、HTTP メッセージの各パートの MIME タイプ、ファイルサイズ、HTTP メソッド。

   • バンプ (Bump)

     指定した条件を満たす CONNECT 要求をインターセプトし、暗号化された接続の内容を分析します。

   • 切断

     指定した条件を満たす CONNECT 要求をブロックします。

   CONNECT 要求のインターセプトをサポートしていないサービスでは、［トンネル］処理を選択することを推奨します。［バンプ (Bump)］処理または［SNI チェックによるトンネル］処理が適用されている場合、インターセプトエラーにより SSL 接続がブロックされてしまう可能性があります。

   既定では、［トンネル］処理が指定されています。

4. ［送信元］セクションで、［追加］をクリックします。
5. 表示されるドロップダウンリストで、接続元のフィルタリング基準を選択します。
   • IP アドレス

     フィルタリング基準として［IP アドレス］を選択した場合：

     1. ドロップダウンリストの右にある入力フィールドをクリックします。

        ［IP アドレス］ウィンドウが表示されます。

     2. 1 つ以上の IP アドレスを入力します。

        次のいずれかの形式で IP アドレスを指定できます。

        • IPv4 アドレス（例：172.16.5.6）
        • CIDR 表記のマスクを使用した IPv4 サブネット（例：192.168.1.0/24）
        • IPv6 アドレス（例：2001:0db8:85a3:0000:0000:8a2e:0370:7334）
        • CIDR 表記のマスクを使用した IPv6 サブネット（例：fc00::/7）

        複数の IP アドレスを指定する場合、セミコロンを使用してアドレスを区切るか、1 行に 1 つずつ入力します。

     3. ［追加］をクリックします。

        追加した IP アドレスは、入力フィールドの下のリストに表示されます。入力した IP アドレスの形式が無効な場合、 アイコンが左側に表示されます。行の右側にある ボタンを使用してこのアドレスを変更できます。

     4. ［保存］をクリックします。
   • User agent

     フィルタリング基準として［User agent］を選択した場合、ドロップダウンリストの右側のフィールドでユーザーエージェントの名前を入力してください。

     複数の値を指定する場合、セミコロンを使用してアドレスを区切ります。

6. ［送信先］セクションで、［追加］をクリックします。
7. 表示されるドロップダウンリストで、接続先のフィルタリング基準を選択します。
   • IP アドレス

     フィルタリング基準として［IP アドレス］を選択した場合：

     1. ドロップダウンリストの右にある入力フィールドをクリックします。

        ［IP アドレス］ウィンドウが表示されます。

     2. 1 つ以上の IP アドレスを入力します。

        次のいずれかの形式で IP アドレスを指定できます。

        • IPv4 アドレス（例：172.16.5.6）
        • CIDR 表記のマスクを使用した IPv4 サブネット（例：192.168.1.0/24）
        • IPv6 アドレス（例：2001:0db8:85a3:0000:0000:8a2e:0370:7334）
        • CIDR 表記のマスクを使用した IPv6 サブネット（例：fc00::/7）

        複数の IP アドレスを指定する場合、セミコロンを使用してアドレスを区切るか、1 行に 1 つずつ入力します。

     3. ［追加］をクリックします。

        追加した IP アドレスは、入力フィールドの下のリストに表示されます。入力した IP アドレスの形式が無効な場合、 アイコンが左側に表示されます。行の右側にある ボタンを使用してこのアドレスを変更できます。

     4. ［保存］をクリックします。
   • ホスト名

     フィルタリング基準として［ホスト名］を選択した場合：

     1. ドロップダウンリストの右にある入力フィールドをクリックします。

        ［ホスト名］ウィンドウが表示されます。

     2. 1 つ以上のホスト名を入力します。

        複数の名前を指定する場合、セミコロンを使用してアドレスを区切るか、1 行に 1 つずつ入力します。

        サブドメインも対象に含めるには、値の先頭にピリオド（.）を入力してください。この場合、サブドメインを個別のレコードとして指定するとプロキシサーバーエラーが発生する可能性があるため、サブドメインを個別のレコードとして指定することはできません。たとえば、値の先頭にピリオドを使用して「.example.org」と指定する場合、「abc.example.org」というレコードを別途追加しないようにしてください。

     3. ［追加］をクリックします。

        追加したホスト名は、入力フィールドの下のリストに表示されます。

     4. 指定したホスト名のすべてのサブドメインを基準に含めるには、［サブドメインを含む］をオンにします。

        値の先頭にピリオド（.）を入れて入力した場合、［サブドメインを含む］が自動的にオンになります。

     5. ［保存］をクリックします。
8. ［ポート］で、1 つ以上の接続先ポートを入力します。

   指定したポートを使用している接続にのみルールが適用されます。

9. ［名前］に、ルールの名前を入力します。
10. 必要に応じて、ルールに関して追加で記載する情報がある場合は［コメント］に入力します。
11. ［状態］スイッチで、ルールのオンとオフを切り替えます。
12. ［追加］をクリックします。

SSL ルールが作成され［SSL ルール］タブのリストに表示されます。