Integrating the ProxySG and ProxyAV Appliances

Blue Coat® Systems
統合ガイド
ProxySG および ProxyAV アプ
ライアンスを統合する
SGOS 5.5 以降および AVOS 3.2 以降
連絡先
米国 :
Blue Coat Systems Inc.
410 North Mary Ave
Sunnyvale, CA 94085-4121
世界のその他の地域 :
Blue Coat Systems International SARL
3a Route des Arsenaux
1700 Fribourg, Switzerland
http://www.bluecoat.com/support/contactsupport
http://www.bluecoat.com
ドキュメントに関するご質問やフィードバックの送付先：
[email protected]
Copyright© 1999-2011 Blue Coat Systems, Inc. All rights reserved worldwide. No part of this
document may be reproduced by any means nor modified, decompiled, disassembled,
published or distributed, in whole or in part, or translated to any electronic medium or other
means without the written consent of Blue Coat Systems, Inc. All right, title and interest in and
to the Software and documentation are and shall remain the exclusive property of Blue Coat
Systems, Inc. and its licensors. ProxyAV™, ProxyOne™, CacheOS™, SGOS™, SG™, Spyware
Interceptor™, Scope™, ProxyRA Connector™, ProxyRA Manager™, Remote Access™and
MACH5™are trademarks of Blue Coat Systems, Inc. and CacheFlow®, Blue Coat®, Accelerating
The Internet®, ProxySG®, WinProxy®, PacketShaper®, PacketShaper Xpress®, PolicyCenter®,
PacketWise®, AccessNow®, Ositis®, Powering Internet Management®, The Ultimate Internet
Sharing Solution®, Cerberian®, Permeo®, Permeo Technologies, Inc.®, and the Cerberian and
Permeo logos are registered trademarks of Blue Coat Systems, Inc. All other trademarks
contained in this document and in the Software are the property of their respective owners.
BLUE COAT SYSTEMS, INC. AND BLUE COAT SYSTEMS INTERNATIONAL SARL
(COLLECTIVELY “BLUE COAT”) DISCLAIM ALL WARRANTIES, CONDITIONS OR OTHER
TERMS, EXPRESS OR IMPLIED, STATUTORY OR OTHERWISE, ON SOFTWARE AND
DOCUMENTATION FURNISHED HEREUNDER INCLUDING WITHOUT LIMITATION THE
WARRANTIES OF DESIGN, MERCHANTABILITY OR FITNESS FOR A PARTICULAR
PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL BLUE COAT, ITS SUPPLIERS
OR ITS LICENSORS BE LIABLE FOR ANY DAMAGES, WHETHER ARISING IN TORT,
CONTRACT OR ANY OTHER LEGAL THEORY EVEN IF BLUE COAT SYSTEMS, INC. HAS
BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
America’s:
Blue Coat Systems, Inc.
410 N. Mary Ave.
Sunnyvale, CA 94085
Rest of the World:
Blue Coat Systems International SARL
3a Route des Arsenaux
1700 Fribourg, Switzerland
文書番号 :231-03086-ja_JP
文書の改訂版 :11/2012
ii
目次
目次
はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1
明記されている目的. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1
対象ユーザー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1
サポートしている Blue Coat デバイスとオペレーティングシステム. . . . . . . . . . . . . . . . . . . . 1-1
ハードウェアプラットフォーム. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1
ソフトウェアのバージョン : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
章の参照. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2
ProxySG と ProxyAV とを統合する利点 . . . . . . . . . . . . . . . . . . . . . . . . 2-3
Web マルウェアについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4
マルウェアのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4
Blue Coat 脅威保護ソリューション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-5
サポートしているマルウェアスキャンエンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-8
ProxySG と ProxyAV との通信. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-8
展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-11
インターネットへの直接アクセスが可能な ProxySG/ProxyAV . . . . . . . . . . . . . . . . . . . . . . . 3-12
クローズドなネットワークでの ProxySG/ProxyAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-13
展開のガイドライン. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-14
単一の ProxySG と単一の ProxyAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-15
冗長アプライアンストポロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-16
展開ワークフロー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-18
ProxySG の設定とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-18
ProxyAV の設定とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-20
ProxySG および ProxyAV アプライアンスを設定する . . . . . . . . . . . . . 4-23
タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する . . . . . . . . . . . . . . 4-24
タスク 2: インパスの脅威を検出するため ProxyAV を追加する . . . . . . . . . . . . . . . . . . . . . . . 4-28
タスク 3: マルウェアスキャンを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-30
タスク 4:ProxyAV スキャンとポリシーを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-31
タスク 5: 脅威保護ポリシーのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-34
ICAP スキャンの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-37
ICAP グラフと統計情報を ProxySG に表示する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-38
ICAP グラフを ProxySG に表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-39
ICAP 統計情報データの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-41
ProxySG および ProxyAV アプライアンスを統合する
iii
目次
ProxySG の ICAP 有効セッションを監視する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-42
アクティブな ICAP 対応セッションの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-42
ProxyAV で統計情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-45
Blue Coat Reporter でマルウェア対策レポートを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-47
設定をチューニングする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-49
ユーザーエクスペリエンスの向上 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-50
お詫びページについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-50
データトリックルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-50
遅延スキャンについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-52
ICAP フィードバックを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-53
遅延スキャンを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-54
警告を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-55
警告のタイプを選択する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-56
電子メールによる通知を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-58
ICAP サービスを変更する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-59
マルウェアスキャンポリシーのチューニング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-63
ユーザーベースの ICAP ポリシーを作成する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-65
ICAP 応答サービスを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-65
Web 認証を有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-66
認証ルールを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-66
要求変更 ICAP サービスを実装する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-69
ICAP 応答サービスを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-69
ICAP 要求ポリシーを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-70
複数の ProxyAV アプライアンス間の負荷分散 . . . . . . . . . . . . . . . . . . . 7-73
ICAP サービスグループについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-74
重み付け . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-75
負荷分散 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-75
ICAP サービスグループ内での重みを指定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-77
負荷分散ポリシーを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-78
ProxyAV フェールオーバーを設定する . . . . . . . . . . . . . . . . . . . . . . . . 8-79
ProxyAV フェールオーバーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-80
ProxyAV フェイルオーバーポリシーを作成する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-81
ベストプラクティスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-83
スキャンリソースを節約する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-84
ソリューション A: ノースキャンポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-84
ソリューション B: エラー発見までスキャンポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-87
PDF ドキュメントのベストプラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-89
取り消された接続の処理を避ける . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-89
iv
ProxySG および ProxyAV アプライアンスを統合する
目次
トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-91
ProxyAV が Web トラフィックをスキャンしていない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-92
ユーザーが Web サイトにまったくアクセスできない. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-93
トラフィック負荷が大きいとき、ProxySG がメモリを使い切る . . . . . . . . . . . . . . . . . . . . . . 10-96
スキャンが長くかかりすぎる. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-96
ProxyAV がウイルスの更新をしない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-97
ProxySG および ProxyAV アプライアンスを統合する
v
目次
vi
ProxySG および ProxyAV アプライアンスを統合する
1
はじめに
明記されている目的
Blue Coat の ProxyAV および ProxySG アプライアンスは、連携して一体性の高い脅威保護ソリューション
を提供します。このドキュメントでは、マルウェアの脅威に関する概念情報、展開のガイドライン、
この統合的ソリュー
ProxyAV と ProxySG が互いに通信できるようにするための設定手順を示します。
ションを展開する際に考慮すべきベストプラクティスも示します。
この統合ガイドで説明する内容は、個別の製品を対象としたガイドを補足するものです。
各製品の詳しい
内容や使用方法は、状況依存のオンラインヘルプか次のようなガイドを参照してください。
• Blue Coat ProxyAV 設定および管理ガイド ( バージョン 3.2.4.x 以降 )
• Blue Coat SGOS 管理ガイド ( バージョン 5.5 以降 )
• 製品のインストレーションまたはクイックスタートガイド
これらのマニュアルは下記 URL の BlueTouch Online で入手可能です :
https://support.bluecoat.com/documentation
対象ユーザー
このドキュメントの対象ユーザーは Blue Coat の脅威保護ソリューションを理解しようとする現在および
将来のお客様です。ネットワークでの ProxySG と ProxyAV の統合に役立つ設定情報を記載しています。
このドキュメントは、基本的なネットワークの概念や用語に関する知識がある方を想定しています。Blue
Coat 製品に多少慣れていることも望ましいのですが、前提条件ではありません。
サポートしている Blue Coat デバイスとオペレーティン
グシステム
このドキュメントの制作時点で、
統合ガイドは次のような Blue Coat 製品とソフトウェアリリースをカ
バーしています。
ハードウェアプラットフォーム
ProxySG のモデル :SG210、
SG300、SG510、SG600、
SG810、SG8100、SG9000
のモデル
ProxyAV
:AV210、AV510、AV810、
AV1200、AV1400、AV2400
ProxySG および ProxyAV アプライアンスを統合する
1-1
はじめに
ソフトウェアのバージョン :
このガイドでは、ProxySG にインストールされているソフトウェアのバージョンが SGOS 5.5 以降である
こと、
また ProxyAV が AVOS 3.2 以降であることを想定しています。ICAP 監視や ProxySG でのビルトイン
脅威保護ポリシーの使用など、一部の機能は以前のバージョンでは使用することができません。
このド
キュメントをお持ちの方でソフトウェアが上記のものより新しいバージョンである場合、該当リリースに
関するリリースノートでこのドキュメントに収載していない新しい機能について確認してください。
コンセプトや機能が特定の AVOS や SGOS リリースと互換性がない場合、
このドキュメント中に記載します。
章の参照
このドキュメントは AV ソリューションを実装する前にすべてお読みになることが必要な構成となってい
ます。
冗長性を必要としない展開については、第 7 章と第 8 章をスキップしても構いません。
このドキュメントは、次の章で構成されています。
第 1 章：はじめに
第 2 章：Blue Coat ウイルス対策ソリューションの利点
第 3 章：展開トポロジ
第 4 章：ProxySG および ProxyAV アプライアンスを設定する
第 5 章：ICAP スキャンの監視
第 6 章：追加設定
第 7 章：複数の ProxyAV アプライアンス間の負荷分散
第 8 章：ProxyAV フェールオーバーを設定する
第 9 章：ベストプラクティスの設定
第 10 章：トラブルシューティング
1-2
ProxySG および ProxyAV アプライアンスを統合する
2
ProxySG と ProxyAV とを統合する利点
この章では、マルウェアの概念情報を示し、統合 Blue Coat 脅威保護ソリューションを使用する利点を説明
します。
このセクションで説明するトピックは次のとおりです。
S
Web マルウェアについて — ページ 2-4
S
Blue Coat 脅威保護ソリューション — ページ 2-5
ProxySG および ProxyAV アプライアンスを統合する
2-3
Web マルウェアについて
ProxySG と ProxyAV とを統合する利点
Web マルウェアについて
ProxyAV の AV はウイルス対策の略語ですが、ProxyAV はウイルスをスキャンする以外にはるかに多くの
機能を備えています。これらのアプライアンスは、
ゲートウェイレベルで高度なマルウェア検出機能を提
供します。ProxyAV はウイルス、ワーム、トロイの木馬、スパイウェアを検出、ブロックすることでネット
ワーク全体の脅威となる許可されていないチャンネルのセキュリティを確保します。大多数のマルウェア
は、2 つの経路、つまりポピュラーで信頼された Web サイトでの隠されたダウンロードと、ソーシャルネッ
トワーキング、ピアツーピア (P2P)、Web メールを通じたマルウェアの配布によって拡散します。ProxyAV
を ProxySG　を統合することによって、Blue Coat ソリューションはマルウェアに対する階層的防護を提
供します。ProxyAV はマルウェアの脅威に対する保護機能をもち、ProxySG は詳細な Web コンテンツ管理
機能をもちます。さらに、設計上互換性をもち、テスト、
製造された 2 つのアプライアンスがあります。
マルウェアはどの程度深刻な問題なのでしょうか？昨年だけでマルウェアは 5 倍に増加し、その 90% は信
頼されたサイトからのものです。
Google が Web ベースのマルウェアの拡散について最近行った調査による
と、
検査を行った URL の 10% でマルウェアバイナリを自動的にインストールするのに成功したことがわか
りました。
ハッカーはつねに新たな攻撃方法を作り出しています。
このような不正な手段では、
正当な業務目
的に許容されることが一般的な Web やセキュアな Web アクセスが利用されます。
悪意ある Web の爆発的増
加によって、
企業はネットワークの修復や生産性の損失に対して、
年間数百万ドルを支出しています。
マルウェアのタイプ
マルウェアとは、情報に基づいた所有者の同意なしにコンピュータシステムに侵入したり損害を与えたり
するソフトウェアと定義されています。しばしば既知のドメインに対するユーザーの信頼をピギーバック
することにより、ユーザーに知られることなく、Web ページからダウンロードされます。
次のテーブルに一般的なマルウェアのタイプを示します。
マルウェア
説明
アドウェア
コンピュータに広告を自動的に表示するソフトウェア
バックドア
検出されない状態を維持しようとしながら、通常の認証をバイパスしたり、コン
ピュータへのリモートアクセスを確保したり、またプレーンテキストへのアク
セスなどを可能にする方法
ダウンローダー
悪意あるソフトウェアをダウンロードし、インストールするプログラム
MMC
モバイルマリシャスコードリモートシステムから取得され、ネットワークを介
して転送されてから、
ユーザーの非透過的インストレーションによることなく
ローカルシステムにダウンロード、実行されるソフトウェア。
Web サイトの訪
問、
メール、
添付ファイルのある電子メールを介して配布されます。
Web
MMC
には、スクリプト、Java アプレット、ActiveX、Flash アニメーション、Shockwave
ムービー、Microsoft Office ドキュメントに埋め込まれたマクロなどの例があり
ます。
ランサムウェア
データを読み取れないフォーマットに暗号化してから、復号キーと交換に金銭
の支払い ( 身代金 ) を要求するソフトウェア
2-4
ProxySG および ProxyAV アプライアンスを統合する
ProxySG と ProxyAV とを統合する利点
Web マルウェアについて
マルウェア
説明
ルートキット
システム所有者および正当な管理者の承認を得ずに、コンピュータシステムの
基本的な制御を取得するプログラムです。
ルートという用語は UNIX の「ルート」アクセスという Windows の管理者のア
クセス権限に相当する用語に由来します。
スパイウェア
ユーザーの同意を得ることなく、
コンピュータとのユーザーの操作をインター
セプトまはた部分的に制御するためこっそりとコンピュータにインストールさ
れたソフトウェア
トロイの木馬
一見好ましい機能を実行するように見えて、
実際は秘密裏に悪意ある機能を実
行するソフトウェアです。ワームやウイルスは、トロイの木馬である可能性があ
ります。
ウイルス
自分自身を既存のプログラムに添付し、自らを複製してユーザーの許可や認識
されることなくコンピュータに感染するプログラム
ワーム
ネットワークを利用して、ユーザーの操作を介さずに自分自身の複製をほかの
ノードに送信する自己増殖型コンピュータプログラムです。ウイルスとは異な
り、既存プログラムに自分を添付する必要がありません。
Blue Coat 脅威保護ソリューション
Blue Coat 脅威保護ソリューションは、ネットワークでの Web トラフィック、インバウンド ( 応答 ) および
アウトバウンド ( 要求 ) の管理に必要なインテリジェンスとコントロールを提供します。このソリューショ
ンは性能を向上し、信頼性、エラー/ 例外のハンドリングとレポートを統合した高機能 ICAP + バージョン
を使用します。
このソリューションは Web コンテンツを解析して、
ウイルス、
マルウェア、スパイウェアがキャッシュに
格納される前に検出する強力なスキャンサーバー (ProxyAV) を統合したプロキシ / キャッシュデバイス
(ProxySG) の利点を活用して、ネットワークへのマルウェアの侵入を防止します。
図 2-1
脅威に対する保護のため ProxyAV と統合した ProxySG
ProxySG および ProxyAV アプライアンスを統合する
2-5
Web マルウェアについて
ProxySG と ProxyAV とを統合する利点
インパスでの脅威を検出する ProxyAV と、Blue Coat WebFilter および WebPulse サービスを提供する
ProxySG が隠されたマルウェアを検出し、
Web コンテンツの解析結果をリアルタイムで提供する URL
フィルタリングデータベースと Web ベースのコミュニティ監視サービスを構成します。
統合アプライアンスを使用すると、
新たなマルウェアの脅威からもネットワークを保護します。ProxyAV
は ProxySG アーキテクチャと連携するように設計されているので、ProxySG は ProxyAV スキャンの結果
を監視し、ウイルスやマルウェアが新たに検出されたら WebPulse サービスに事前に通知します。この通知
によって、Blue Coat WebFilter データベースの更新がトリガされるので、企業、そしてクラウドのすべての
メンバが新たな脅威から保護されます。
さらに、
ただちに保護を実行するビルトインマルウェアスキャンポリシーを提
ProxySG は追加設定不要で、
供します。
このポリシーはアプライアンスを統合すると呼び出され、
マルウェアスキャンが有効になります。
会社に関わるセキュリティポリシーに対するコンプライアンスを徹底するために、
カスタムポリシールー
ルを補足または実装する場合、ProxySG のポリシーエンジンを使用して、ネットワークのコンテンツ、ユー
ザー、アプリケーションおよびプロトコルをコントロールする詳細ポリシーを作成することができます。
次の図には、Blue Coat ソリューションのハイレベルでのデータフローを示します。
2-6
ProxySG および ProxyAV アプライアンスを統合する
ProxySG と ProxyAV とを統合する利点
図 2-2
Web マルウェアについて
インバウンド Web トラフィックのデータフローおよびコンテンツ配信プロセス
ProxySG および ProxyAV アプライアンスを統合する
2-7
Web マルウェアについて
ProxySG と ProxyAV とを統合する利点
サポートしているマルウェアスキャンエンジン
ProxyAV がサポートする次のようなマルウェアスキャンエンジンから選ぶことができます。
• Kaspersky
• McAfee
• Sophos
• Symantec (AVOS 3.4.1.1 で導入 )
• Trend Micro (AVOS 3.3.1.1 で導入 )
• Panda
お客様のベンダーのエンジンライセンスの期間満了が近づいた場合、Blue Coat ではライセンスを更新す
るか、
別のベンダーのエンジンライセンスを取得することができます。
ProxySG と ProxyAV との通信
Blue Coat の ProxySG および ProxyAV アプライアンスは Internet Content Adaptation Protocol (ICAP) を
使用して通信します。ICAP は、HTTP ベースのコンテンツをコンテンツエンジンから ICAP サーバーに送
信してウイルススキャンなどの付加価値サービスを実行できるようにするためのオープン標準プロトコ
ルです。
ProxySG は ICAP クライアント、
ProxyAV は ICAP サーバーです。
ProxySG はスキャンが必要な Web コン
テンツを ProxyAV に送信します。ProxyAV はコンテンツをフィルタリングし、適合してから、ProxySG に
返します。スキャン済みのコンテンツは、コンテンツを要求したユーザーに対して表示され、ProxySG の
キャッシュに格納されます。
オブジェクトがキャッシュに格納されると、オブジェクトのコンテンツまたは AV データベースが変更さ
れるまで、再びスキャンされることはありません。AV データベースとは、ウイルス対策ソフトウェアがウ
イルスを識別するためのパターンファイルです。新しいデータベースには、新たに生じたマルウェアの脅
威に対応する更新内容が含まれる場合があるので、ProxyAV はデータベースが変更されるごとにキャッ
シュに格納されている要求されたオブジェクトすべての再スキャンを実行する必要があります。
キャッシュに格納できないオブジェクトについては、ProxyAV はオブジェクトをスキャンして、
ファイル
のコンテンツのセキュアハッシュである指紋を作成します。
はファイルの指紋を、
オブジェクト
ProxyAV
のスキャンによって構築された指紋データベースと照合します。オブジェクトの指紋が変更されるか ( コ
ンテンツが変更されたことを示します )、AV データベースが変更されない限り、
オブジェクトが再びス
キャンされることはありません。
ひんぱんにアクセスされる Web コンテンツについては、
この統合ソリューションはキャッシュからオブ
ジェクトを配信してネットワークの脅威を解消し、帯域幅の使用率と待機時間を軽減します。
2-8
ProxySG および ProxyAV アプライアンスを統合する
ProxySG と ProxyAV とを統合する利点
Web マルウェアについて
コンテンツのスキャンモードについて
ProxyAV は応答変更と要求変更の 2 種類のモードでコンテンツをスキャンできます。
応答変更サービス
Web でのマルウェアの展開の大部分が応答変更サービス（RESPMOD) を使用します。
は、インバウンドクライアント要求を解析します。
つまり、
配信元コンテンツサーバーからフェッチされ
た応答は、悪意あるコンテンツを含まないかスキャンしてから、
そのコンテンツを要求したユーザーに配
信します。コンテンツがクリーン(また企業方針でも許容可能)であることが検証されれば、クライアントは
その Web オブジェクト (Web ページの構成要素 ) を受信します。マルウェアスキャンの結果、悪意あるコン
テンツが検出されたときは、応答を検疫し、オブジェクトはキャッシュに格納されず、イベントはログ記録
し、クライアントはウイルスが見つかったというメッセージを受信します。
応答変更サービス (REQMOD) は一般に、ユーザーが Gmail や HotMail サーバーといったファイルサー
バーに投稿する前に、アウトバウンド Web 要求や Web メールの添付ファイルをスキャンするために使用
します。
要求変更サービスは、主として企業内でのデータ漏えい防止に使用します。
ProxySG および ProxyAV アプライアンスを統合する
2-9
Web マルウェアについて
2 - 10
ProxySG と ProxyAV とを統合する利点
ProxySG および ProxyAV アプライアンスを統合する
3
展開
この章では、ネットワークに ProxySG および ProxyAV アプライアンスを導入するための展開トポロジを
いくつか示します。
注意 :ProxySG は非透過的モードまたは透過的モードで展開できます。非透過的モードでは、各クライアン
ト Web ブラウザは、プロキシサーバーとして ProxySG を使用するように非透過的に設定されます。透過的
モードでは、クライアント Web ブラウザは配信元コンテンツサーバーではないマシンがトラフィックを
処理していることを知りません。透過ポリシーでは、トラフィックを ProxySG にリダイレクトするのに、ブ
リッジ、
Layer-4 スイッチまたは Web Cache Communication Protocol (WCCP) を使用する必要があります。
この章では、ネットワークにアプライアンスを物理的にインストールするためのハイレベルガイドライン
とワークフローも記載し、次のようなトピックで構成されています。
S
インターネットへの直接アクセスが可能な ProxySG/ProxyAV— ページ 3-12
S
クローズドなネットワークでの ProxySG/ProxyAV— ページ 3-13
S
展開のガイドライン — ページ 3-14
S
冗長アプライアンストポロジ — ページ 3-16
S
展開ワークフロー — ページ 3-18
ProxySG および ProxyAV アプライアンスを統合する
3 - 11
インターネットへの直接アクセスが可能な ProxySG/ProxyAV
展開
インターネットへの直接アクセスが可能な
ProxySG/ProxyAV
大部分の企業では、インターネットへの直接アクセスが可能な状態で ProxySG と ProxyAV を展開します。
アプライアンスはさまざまな組み合わせ、たとえば単一の ProxySG と単一の ProxyAV、単一の ProxySG と
複数の ProxyAV アプライアンス、複数の ProxySG アプライアンスと単一の ProxyAV、複数の ProxySG ア
プライアンスと複数の ProxyAV アプライアンスなどで展開することができます。
複数の
ProxySG は、
ProxyAV アプライアンス間で負荷分散 Web スキャンを実行したり、プライマリ ProxyAV アプライアンス
がオフラインになった場合に一連の ProxyAV アプライアンスをフェールオーバーとして指定することが
できます。
Blue Coat のセールスエンジニアが協力して、お客様の会社に適した規模を判定します。
次の図に the ProxySG with ProxyAV アーキテクチャと連携した ProxySG を示します。
図 3-1
更新のためインターネットへの直接アクセスを許容した Blue Coat アプライアンスの展開
どの Blue Coat アプライアンスでも、設定とポリシーの変更には、管理者 PC を使用します。
3 - 12
ProxySG および ProxyAV アプライアンスを統合する
クローズドなネットワークでの ProxySG/ProxyAV
展開
クローズドなネットワークでの ProxySG/ProxyAV
セキュリティを高度化するため、デバイスがインターネットに直接アクセスするのを認めないネットワー
クアーキテクチャ (とくに政府や軍関係)もあります。次の図にクローズドなネットワークトポグラフィー
を示します。
:
凡例 :
1: 最新の AV アプライアンスファームウェア更新ファイルを取得します。
2: 最新の AV ベンダーパターンファイルを取得します。スクリプトを使用して、ファイルを準備します
( 絶対リンクを削除するなど )。
3: AV アプライアンスに接続された内部サーバーにファイルをコピーします。
4: サーバー (HTTP/URL) から更新ファイルを取得するように、AV アプライアンスを設定します。
図 3-2
クローズドなネットワークで展開された Blue Coat アプライアンス
ProxySG および ProxyAV アプライアンスを統合する
3 - 13
展開のガイドライン
展開
展開のガイドライン
次の展開ガイドラインを考慮して
Blue Coat アプライアンスのインストレーション計画を立てる際には、
ください。
• Blue Coat では、複数の ProxySG アプライアンスが複数の ProxyAV で負荷分散されている場合でも、
すべての ProxySG アプライアンスを ProxyAV アプライアンスと同じサブネットに置くことをお勧め
します。ProxyAV をカリフォルニアに設置して ProxySG をニューヨークに設置することもできます
が、パフォーマンスが低下します。
最適なパフォーマンスを実現するには、
ICAP サーバーとアプライ
アンスをローカルの物理的に近い位置に配置する必要があります。
Blue Coat では、ICAP サーバーを
次ホップの VLAN に置くことをお勧めします。
• ProxyAV をインストールする前に、ネットワークに ProxySG をインストールして、ネットワークでト
ラフィックをインターセプトしていることを確認します。
• ProxyAV はシステムとパターンファイルを更新するために、インターネットにアクセスできなければな
りません。クローズドなネットワークでは、これらのファイルをインターネットにアクセス可能なシス
テムからダウンロードしてから、AV アプライアンスに接続した内部サーバーにコピーすることが必
要です。ProxyAV はこのサーバーから更新ファイルを取得するように設定しなければなりません。
ク
ローズドなネットワークのトポグラフィーについては、
ページ 3-13 の「クローズドなネットワークでの
ProxySG/ProxyAV」を参照してください。
クローズドなネットワークでは、ProxyAV は ProxySG を使用して、パターンファイルとファームウェ
ア更新をダウンロードすることがでます。ProxySG をパターンファイルとファームウェア更新をダウ
ンロードするためのプロキシとして使用するには、かならず ProxySG の IP アドレスを ProxyAV
Management Console の [Network] > [Proxy Servers for Updates] リンクに追加してください。
3 - 14
ProxySG および ProxyAV アプライアンスを統合する
単一の ProxySG と単一の ProxyAV
展開
単一の ProxySG と単一の ProxyAV
この基本的展開では、単一の ProxySG と単一の ProxyAV があり、
小企業やネットワークセグメントに適
しています。
図 3-3
単一の ProxySG と単一の ProxyAV
この展開は設定がもっとも簡単で、冗長アプライアンスの購入が不要なので、
もっとも安価に展開可能で
す。ただし、
冗長性がないので、この展開には次のような限界があります。
• ProxyAV がダウンすると、Web マルウェアをスキャンしません。ProxySG で実装するポリシーによっ
ては、
ProxyAV がフェールすると、ユーザーはスキャンしていないコンテンツを受信したり、コンテン
ツを配信できないという通知を受信することになります。
• ProxyAV が対応できないほど ICAP 要求を受けると、ICAP スキャンの負荷が分散されません。
• ProxySG がダウンしてもフェールオーバーしません。
ProxySG および ProxyAV アプライアンスを統合する
3 - 15
冗長アプライアンストポロジ
展開
冗長アプライアンストポロジ
大規模な企業では、ネットワーク内に冗長性、つまり複数の ProxySG アプライアンスや複数の ProxyAV ア
プライアンスが必要です。冗長アプライアンスでは、単一 ProxyAV/ 単一 ProxySG の展開での制限事項に
対応できます。ProxySG アプライアンスは、複数の ProxyAV アプライアンス間で負荷分散 Web スキャンを
実行したり、プライマリ ProxyAV がオフラインになった場合に一連の ProxyAV アプライアンスをフェー
ルオーバーとして指定することができます。同様に、プライマリ ProxySG がダウンした場合にセカンダリ
ProxySG アプライアンスをフェールオーバーとして設定したり、ネットワーク内のプロキシサポートを強
化することができます。
冗長トポロジには次のようなオプションがあります。
• 複数の ProxyAV アプライアンスと単一の ProxySG。これは Blue Coat 統合展開でもっとも一般的な冗
長トポロジです。設定の詳細については、ページ 7-73 の「複数の ProxyAV アプライアンス間の負荷分
散」とページ 8-79 の「ProxyAV フェールオーバーを設定する」を参照してください。
• 複数の ProxySG アプライアンスと単一の ProxyAV
• 複数の ProxySG アプライアンスと複数の ProxyAV アプライアンス。
冗長トポロジの図
ProxySG と ProxyAV アプライアンスには、さまざまな容量があります。Blue Coat は展開するアプライア
ンスの適切な組み合わせを判定するのに利用するため、サイジング情報を提供します。
以下の図に上のリストに示した冗長トポロジオプションを示します。
図 3-4
3 - 16
単一の ProxySG と複数の ProxyAV アプライアンス
ProxySG および ProxyAV アプライアンスを統合する
展開
冗長アプライアンストポロジ
ProxyAV アプライアンスを冗長化させずに ProxySG フェールオーバーが必要な企業は、次のタイプのト
ポロジを使用できます。
図 3-5
複数の ProxySG と単一の ProxyAV
数百人から数千人のユーザーがいる企業では、効果的なスキャン性能とフェールオーバー機能を連携して
発揮する複数の ProxySG と ProxyAV デバイスの処理能力が必要です。
.
図 3-6
複数の ProxySG アプライアンスと複数の ProxyAV アプライアンス。
『SGOS 管理ガイド ( フェールオーバーの設定 )』を参照し
ProxySG でのフェールオーバー設定については、
てください。
ProxySG および ProxyAV アプライアンスを統合する
3 - 17
展開ワークフロー
展開
展開ワークフロー
このセクションでは、ProxySG および ProxyAV アプライアンスをインストールし、基本的な設定を行うハ
イレベルな手順を説明します。ProxyAV のインストールに進む前に、ネットワークで ProxySG をインス
トールして、セキュアな Web ゲートウェイとして機能していることを確認してください。詳細は、ハード
ウェアプラットフォームのクイックスタートガイドを参照してください。
ProxySG の設定とインストール
次に示すのは、ProxySG の初期設定と物理的インストレーションを行うハイレベルの手順です。
ProxySG の設定とインストール
手順 1 ProxySG をラックマウントし、アプ具体的な手順は、
『ProxySG クイックスタートガイド』を参
ライアンスをネットワークに接続し照してください。
ます。
手順 2 基本のネットワーク設定で ProxySG シリアルコンソール接続で、初期設定ウィザードを実行し
を設定します。
ます。具体的な手順は、
『ProxySG クイックスタートガイ
ド』を参照してください。
手順 3 ProxySG を登録およびライセンスし ProxySG を登録およびライセンスする手順を次に示します。
ます。
a. Web ブラウザを開いて、次のサイトに移動します。
ProxySG は出荷時に仮 (60 日 ) ライ
センスが付属しています。この期間 b.
中は、いつでもアプライアンスを登
c.
録することができます。
手順 4 ProxySG Management Console にロ a.
グインします。
b.
3 - 18
https://support.bluecoat.com/licensing
BlueTouch Online 資格情報を入力します。
指示にしたがって、アプライアンスを登録し、ライセン
スをダウンロードします。
Web ブラウザを開きます。
ProxySG に割り当てた IP アドレスに続いて、ポート番
号「8082」を入力します。例を示します。
https://192.0.2.2:8082
ProxySG および ProxyAV アプライアンスを統合する
展開
展開ワークフロー
ProxySG の設定とインストール
手順 5 設定が成功したことを確認します。 Management Console で
a.
[Statistics] > [Summary] > [Efficiency] を選択します。
設定した各インターフェースが起動していることを確
認します。
b. [Device] タブをクリックします。
DNS サーバーその他
の外部デバイスへの接続性を確認します。
c.
ProxySG のヘルス状態がグリーン (OK) であるのを確
認します。
手順 6 サービスをインターセプトに設定し a.
て、このトラフィックを許可する
ルールを Web アクセスレイヤに追
加します。
この例はポート「8080」の非透過
HTTP をインターセプトし、このト
ラフィックを許可するルールを作成
します。
[Configuration] > [Services] > [Proxy Services] を選択
します。
b. Visual Policy Manager ([Configuration] > [Policy] > [Visual
[Explicit HTTP]
Policy Manager] > [Launch]) を開いて、
サービス名を許可する Web アクセスレイヤを作成し
ます。
c.
ProxySG および ProxyAV アプライアンスを統合する
ポリシーをインストールします。
3 - 19
展開ワークフロー
展開
ProxySG の設定とインストール
手順 7 ProxySG がネットワークトラ
a.
フィックをシークしていることを確
認します。
トラフィックを実行しているクライアントがあること
を確認します。
注意 : ブラウザは非透過的または透過的に ProxySG ア
プライアンスにリダイレクトされなければなりません。
b.
[Statistics] > [Sessions] > [Active Sessions] を選択し
ます。
c.
[Proxied Sessions] テーブル
[Show] をクリックします。
が現在のトラフィックのアクティブセッションをリス
ト表示します。
手順 8 必要に応じて、SGOS 5.5. にアップグ [Maintenance] > [Upgrade] を選択します。
レードします。
詳しくは、
『 SGOS 管理ガイド』を参照してください。
この『統合ガイド』では、ProxySG が (ProxySG のメンテナンス )
SGOS 5.5. を実行していると想定し
ています。
ProxyAV の設定とインストール
次に示すのは、
ProxyAV の初期設定と物理的インストレーションを行うハイレベルの手順です。ProxyAV
のインストレーションは、ProxySG のインストール後に行ってください。
ProxyAV の設定とインストール
『ProxyAV クイックスタートガイド』を
手順 1 ProxyAV をラックマウントし、使用具体的な手順は、
しているモデルに応じてディスク参照してください。
ドライブに入れて、アプライアンス
をネットワークに接続してから
ProxyAV の電源を入れてください。
手順 2 基本のネットワーク設定で ProxyAV シリアルコンソール接続か、ProxyAV フロントパネルのボ
を設定します。
タンを使用してください。具体的な手順は、
『ProxyAV ク
イックスタートガイド』を参照してください。
注意 ProxySG と ProxyAV が同じサブネットにインストー
ルされていることを確認してください。
3 - 20
ProxySG および ProxyAV アプライアンスを統合する
展開
展開ワークフロー
ProxyAV の設定とインストール
手順 3 ProxyAV Management Console にロ a. Web ブラウザを開きます。
グインします。
b. ProxyAV に割り当てた IP アドレスに続いて、ポート番
号「8082」を入力します。例を示します。
https://192.0.2.3:8082
手順 4 アプライアンスでライセンスを認証 a. [Licensing] を選択します。
します。
b. [Register] をクリックします。
c.
WebPower ( または BlueTouch Online）資格情報を入力
します。
d. Blue Coat から受信した電子メールの認証コードを入力
します。
e.
[Register ProxyAV] をクリックします。
手順 5 購入した AV ベンダーがアクティブ a. [Antivirus] を選択します。
化したことを確認してから、
最新の b. ライセンスが認証されたことを確認します。
パターンファイルを入手します。
手順 6 必要に応じて、
AVOS 3.2. にアップグ a.
レードします。
[Firmware Update] を選択します。
この『統合ガイド』では、
ProxyAV
が AVOS 3.2. を実行していると想定
しています。
ProxySG および ProxyAV アプライアンスを統合する
3 - 21
展開ワークフロー
3 - 22
展開
ProxySG および ProxyAV アプライアンスを統合する
4
ProxySG および ProxyAV アプライア
ンスを設定する
この章では、ProxySG と ProxyAV を統合して Web マルウェアスキャンを実行するのに必要な設定手順を
示します。展開トポロジについて、
またアプライアンスを実際にネットワークにインストールするハイレ
ベルガイドラインとワークフローについては、
「ページ 3-11 の“展開”」を参照してください。
注意もっとも一般的な展開は受信データおよびダウンロード ( ユーザーの要求に対する応答 ) をスキャン
するもので、応答変更サービスが必要です。このセクションでは、RESPMOD サービスでマルウェア
スキャンを行うタスクを説明します。
次のタスクを実行して、Blue Coat の脅威保護ソリューションを実装します。
S
タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する — ページ 4-24
プレーン ICAP を使用する場合は、この手順をスキップしてください。
S
タスク 2: インパスの脅威を検出するため ProxyAV を追加する — ページ 4-28
S
タスク 3: マルウェアスキャンを有効にする — ページ 4-30
S
タスク 4:ProxyAV スキャンとポリシーを設定する — ページ 4-31
S
タスク 5: 脅威保護ポリシーのテスト — ページ 4-34
ProxySG および ProxyAV アプライアンスを統合する
4 - 23
タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する
ProxySG および ProxyAV アプライアンスを設定する
タスク 1:( オプション ) セキュア ICAP のためアプライア
ンスを準備する
重要なデータや機密データをスキャンする場合、
セキュア ICAP の使用をお勧めします。
セキュ
Blue Coat は、
ア ICAP は SSL 暗号化 ICAP で ProxySG では SSL ライセンスが必要です。
ProxyAV と ProxySG との間でのセ
キュア ICAP 接続の有効化は、
ProxySG および ProxyAV の両方で設定が必要な 2 段階のプロセスです。
セキュア ICAP を使用するには、ProxySG で SSL デバイスプロファイルを選択しなければなりません。SSL
デバイスプロファイルには、秘密キーのあるキーリングの名前と証明書など、デバイス認証に必要が情報
が含まれています。
ProxyAV では、キーペアと対応するアプライアンス証明書を含むキーリングを使用しなければなりませ
ん。ProxyAV は出荷時に自己署名した証明書と自動生成されたキーペアを含むデフォルトキーリングが
含まれています。
デフォルトのキーリングをセキュア ICAP に使用するか、よく知られた Certificate
Signing Authority (CSA) で署名したキーリングをインポートすることができます。
ProxySG と ProxyAV との間でセキュアな ICAP 通信を行うためには、次のタスクを実行しなければなりま
せん。
• ProxyAV で ProxyAV アプライアンス証明書をコピーします。
• ProxySG での手順 :
–
ProxyAV アプライアンス証明書を Certificate Authority (CA) 証明書として ProxySG にインポー
トします。
–
セキュア ICAP に使用する新しい CA Certificate List (CCL) を作成して、新しく作成した ProxyAV
CA 証明書をこれに追加します。
–
セキュア ICAP に使用する新しい SSL デバイスプロファイルを作成して、デフォルトのキーリン
グと、セキュア ICAP に使用するため作成した CCL を選択します。
–
上の手順で作成した SSL デバイスプロファイルを使用するように、ICAP サービスを設定します。
4 - 24
ProxySG および ProxyAV アプライアンスを統合する
ProxySG および ProxyAV アプライアンスを設定するタスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する
上のタスクを実行する手順を次に示します。
セキュア ICAP のためアプライアンスを準備する
手順 1 ProxyAV Management Console にロ a. Web ブラウザを開きます。
グインします。
b. ProxyAV に割り当てた IP アドレスに続いて、ポート番
号「8082」を入力します。例を示します。
https://192.0.2.3:8082
手順 2 ProxyAV と ProxySG とのセキュア ProxyAV での手順 :
ICAP 接続に使用するポートと SSL a. [ICAP Settings] を選択します。
キーリングを割り当てます。
b. [ICAP Server Ports] 領域で、[secure] を選択します。
注意 : セキュア ICAP を使用するに
は、ProxySG でもセキュア ICAP を
選択しなければなりません。
タスク
2: インパスの脅威を検出するため
ProxyAV を追加するを参照してく c.
ださい。
大部分の展開では、デフォルトポート (11344) を使用で
きます。ポートを変更するには、ICAP スキャンを行う
ために ProxySG を設定した際と同じポートを指定する
必要があります。
ドロップダウンリストから使用できるキーリングを選
択します。ProxyAV にはデフォルトのキーリンぐがあ
ります。
ProxyAV でデフォルトのキーリングを選択し
た場合は、手順 3 に進みます。
注意 : カスタムキーリングを作成またはインポートする
場合、ProxyAV の [Advanced] > [SSL Keyrings] に進
みます。
d. [Save Changes] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
4 - 25
タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する
ProxySG および ProxyAV アプライアンスを設定する
セキュア ICAP のためアプライアンスを準備する
手順 3 ProxyAV と ProxySG との間で信頼デフォルト SSL デバイスプロファイルを使用した場合に
は、ProxyAV からデフォルト SSL 証明書を ProxySG にコ
を有効にします。
ピーしなければなりません。
ProxyAV での手順 :
a.
[Advanced] > [SSL Certificates] を選択します。
b.
デフォルトの証明書のコンテンツをコピーします。
まず --- BEGIN CERTIFICATE で始めて、--- END
CERTIFICATE--- で終わります。
ProxySG での手順 :
a. [Configuration] > [SSL] > [CA Certificates] > [CA
Certificates] を選択します。
b.
[Import CA Certificate] ダ
[Import] をクリックします。
イアログが表示されます。
c.
新しい名前を追加して、デフォルト証明書のコンテン
ツを [CA Certificate PEM] 領域にペーストします。この
例では、証明書の名前は AV_Default です。
d. [OK] をクリックしてから、[Apply] をクリックします。
e. [Configuration] > [SSL] > [CA Certificates] > [CA Certificate
Lists] を選択します。
4 - 26
f.
[Create CA Certificate List] ダ
[New] をクリックします。
イアログが表示されます。
g.
新しい名前を追加して、上の手順「c」で追加した証明書
をリストから選択します。
ProxySG および ProxyAV アプライアンスを統合する
ProxySG および ProxyAV アプライアンスを設定するタスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する
セキュア ICAP のためアプライアンスを準備する
h. [Add] をクリックします。これで AV_Default 証明書が
CCL に添付されました。
i.
[Configuration] > [SSL] > [Device Profiles] を選択します。
j.
新しい SSL デバイスプロファ
[New] をクリックして、
イルを作成します。
上の手順「g」で追加した CCL を
k. 新しい名前を指定して、
選択します。
l.
[OK] をクリックします。
m. [Apply] をクリックして変更内容を保存します。
ProxySG および ProxyAV アプライアンスを統合する
4 - 27
タスク 2: インパスの脅威を検出するため ProxyAV を追加する
ProxySG および ProxyAV アプライアンスを設定する
タスク 2: インパスの脅威を検出するため ProxyAV を追加
する
ProxySG はユーザーにコンテンツが配信される前に、配信元 Web サーバーからフェッチされた
Web 応答を ProxyAV にリダイレクトします。この通信を行えるようにするために、ProxySG は
ProxyAV (ICAP サーバー ) との ICAP クライアントとして通信するように設定する必要があります。
ProxyAV を ProxySG に追加すると、ICAP サービスが自動的に作成されます。たとえば、最初
それは [proxyav] サービスグルー
に設定された ProxyAV にはサービス名 [proxyav1] が付けられ、
プのメンバです。その後追加したそれぞれの ProxyAV は自動的にサービスグループ [proxyav]
のメンバとしてリストされ、応答変更を実行するように設定されます。
インパス脅威を検出するため ProxyAV を追加するには、次のタスクを実行します。
• ProxyAV を ProxySG に追加します。
• アプライアンスが通信を行っていることを検証します。
ProxyAV を追加 ProxySG
手順 1 ProxySG Management Console にロ a.
グインします。
b.
手順 2 ProxyAV アプライアンスを追加し
ます。
Web ブラウザを開きます。
ProxySG に割り当てた IP アドレスに続いて、ポート番
号「8082」を入力します。例を示します。
https://192.0.2.2:8082
a.
[Configuration] > [Threat Protection] > [Malware
Scanning] を選択します。
b.
[Add ProxyAV Appliance] ダイア
[New] を選択します。
ログが表示されます。
c.
ホスト名または ProxyAV の IP ア
[Host] フィールドに、
ドレスを入力します。
使用できるのは IPv4 アドレスの
みです。
デフォルトは、
ポー
d. 接続モードとポートを選択します。
ト「1344」のプレーン ICAP です。
セキュア ICAP の場合、デフォルトのセキュア ICAP
ポートは「11344」です。前のタスクで ProxyAV を設定
する際にポートを変更した場合は、
同じポート番号を
指定しなければなりません。
4 - 28
e.
ICAP サービス用の SSL デバイスプロファイルを選択
します。詳細は、
「タスク 1:( オプション ) セキュア
のためアプライアンスを準備する」
を参照して
ICAP
ください。
f.
開いているダイアロ
[OK] をクリックして変更を保存し、
グボックスを閉じます。
応答変更を実行するために自動的に作成された
[proxyav_number] サービスが使用できるようになり
ました。たとえば、
proxyav1 があります。
ProxySG および ProxyAV アプライアンスを統合する
ProxySG および ProxyAV アプライアンスを設定する
タスク 2: インパスの脅威を検出するため ProxyAV を追加する
ProxyAV を追加 ProxySG
手順 3 ProxyAV がアクセス可能か検証し [Perform health check] をクリックして ProxyAV がアクセ
ます。
ス可能であることを検証してください。ヘルスチェックの
結果が直ちに表示されます。
この段階で ProxyAV と ProxySG は互いに通信できるように設定されています。2 つのアプライアンスが
通信を行っているかを検証するには、ProxySG で ICAP サービスヘルスチェックを確認します。
ProxySG と ProxyAV 間の通信の検証
手順 1 ProxySG Management Console にロ a. Web ブラウザを開きます。
グインします。
b. ProxySG に割り当てた IP アドレスに続いて、ポート番
号「8082」を入力します。例を示します。
https://192.0.2.2:8082
手順 2 ICAP サービスの状態を確認します。 a.
a.
[Statistics] > [Health Checks] を選択します。
icap.proxyav1 サービスの [State] を見ます。アプライア
ンスが通信を行っていれば、[State] は次のようになり
ます。
アプライアンスが通信を行っていなければ、[State] は
次のようになります。
ICAP ヘルスチェックが失敗した場合 :
• タスク 1 と 2 をやり直して、設定手順を正しく実行したか検証します。
• ProxySG と ProxyAV が同じサブネットにあることを確認します。
• ProxySG と ProxyAV の ICAP サービスポートが同じであることを検証します。ProxyAV で [ICAP
ProxySG で [Configuration] > [Threat Protection] > [Malware Scanning] >
Settings] に進みます。
[Edit] に進みます。
• ProxyAV が有効なライセンスをもつことを確認します。
ProxySG および ProxyAV アプライアンスを統合する
4 - 29
タスク 3: マルウェアスキャンを有効にする
ProxySG および ProxyAV アプライアンスを設定する
タスク 3: マルウェアスキャンを有効にする
ProxyAV を ProxySG に追加した後にコンテンツスキャンを開始するため、Blue Coat ではビル
トインの脅威保護ポリシーが定義済みのルールとともに提供されます。これらのルールは、ネッ
トワークのパフォーマンスまたはネットワークの保護の必要性をサポートすると同時に悪意の
あるコンテンツからネットワークを保護します。
マルウェアスキャンを有効にすると、脅威保護ポリシーが ProxySG に実装されます。脅威保護
ポリシーでは、ICAP 応答のスキャンに [High performance] と [Maximum security] という 2 つ
のレベルが提供されます。[Maximum security] に設定されると、すべての Web 応答が ProxyAV
でスキャンされるのに対し、マルウェアの感染リスクが低いコンテンツをバイパスする [High
performance] に設定されると Web 応答が選択的にスキャンされます。
[High performance] オプションは、企業ユーザーにとって迅速な応答時間を保持する一方で、
ネットワークの安全性も確保するようにデザインされています。たとえば、特定のイメージなど
のリスクが低いとみなされるタイプのファイルは、[High performance] に設定されているとき
はスキャンされません。[High performance] オプションではスキャンされないコンテンツを表
示するには、CLI の設定モードに「show sources policy threat-protection」を入力します。
脅威保護ポリシーによって、ネットワークパフォーマンスルールまたはネットワーク保護ルー
ルがマルウェアスキャン設定 ([Configuration] > [Threat Protection] > [Malware Scanning]) の基本
設定に基づいて実装されます。つまり、脅威保護ポリシー自体の変更はありませんが、構成設定
に一致する条件のみが脅威保護ポリシーファイルから実装されます。さらに、設定を変更する
と、コンパイルされたポリシーが自動的に更新されて変更を反映します。
ビルトイン脅威保護ポリシーは編集することができません。このポリシーの構成を補足または
上書きする場合は、
ページ 6-63 の“マルウェアスキャンポリシーのチューニング”を参照してくだ
さい。
ProxySG と ProxyAV との間でマルウェアスキャンを有効にする
手順 1 ProxySG Management Console にロ
グインします。
手順 2 脅威保護ポリシーを呼び出します。 a.
[Configuration] > [Threat Protection] > [Malware
Scanning] を選択します。
b.
1 つまたは複数の ProxyAV アプライアンスがコンテン
ツスキャンに追加されていることを検証します。
c.
[Enable malware scanning] チェックボックスをオン
にします。
デフォルトで、マルウェアスキャンを有効にする
と、
マルウェアスキャン設定であらかじめ選択さ
れたオプションにより ProxyAV と ProxySG の間の
セキュアな ICAP 接続を使用して高度なパフォーマン
ススキャンがサポートされ、何らかの理由でスキャン
が完了しない場合、ユーザーは要求したコンテンツへ
のアクセスを拒否されます。
4 - 30
ProxySG および ProxyAV アプライアンスを統合する
ProxySG および ProxyAV アプライアンスを設定する
タスク 3: マルウェアスキャンを有効にする
ProxySG と ProxyAV との間でマルウェアスキャンを有効にする
手順 3 ( オプション、ただし推奨設定 ) 遅延ページ 6-54 の“遅延スキャンを有効にする”を参照してく
ださい。
スキャンを有効にします。
サービスの有効化についての詳細
は、ページ 6-52 の“遅延スキャンに
ついて”を参照してください。
ProxySG および ProxyAV アプライアンスを統合する
4 - 31
タスク 4:ProxyAV スキャンとポリシーを設定する
ProxySG および ProxyAV アプライアンスを設定する
タスク 4:ProxyAV スキャンとポリシーを設定する
つまり通常のスキャンプロセス外
ProxyAV Management Console には、スキャンしきい値を設定し、例外、
のイベントが発生したときに何が起こるかを判定するためのオプションがいくつか用意されています。
スキャンとポリシーを設定するには、次のようなタスクを実行します。
• ProxyAV でスキャンを設定します。
• ( オプション ) ファイル拡張子別にスキャンポリシーを設定します。
ProxyAV でのスキャン設定
手順 1 ProxyAV Management Console にロ
グインします。
手順 2 [Scanning Behavior] ページを表示し a.
ます。
b.
[Antivirus] を選択します。
[Scanning Behavior] リンクをクリックします。
手順 3 [Heuristic Parameters] オプション Blue Coat は利点があることを考慮し、[Heuristic Parameters]
が有効になっていることを検証し
をデフォルト設定 ( 有効 ) にしておくことをお勧めします。
ます。
AV ア
[Heuristic Parameters] オプションを有効にすると、
プライアンスはネットワークでのトラフィックパターンを
学習して、
それに応じてパフォーマンスを高めます。
最初の
学習期間が過ぎると、
ProxyAV はネットワークのトラフィッ
クの約 15 ～ 30% を高速化できるようになります。新しいウ
イルスパターンファイルや更新されたスキャンエンジン
がダウンロードされるごとに、学習プロセスが再開します。
手順 4 スパイウェア / マルウェアの検出と [Extended options ] セクションのオプション名は、
使用し
関連付けられた [Extended options] ている AV ベンダーエンジンによって変わります。
オプ
ション名に関わらず、次のような動作が行われます。
が有効になっていることを検証し
ます。
Enabled: ウイルスやスパイウェアの最初のインスタンスが
現れると、スキャンが停止します。Kaspersky の場合、デ
フォルトで [Detect Adware] が有効になっています。選択を
解除することはできますが、
選択するには [Detect Spyware]
を選択する必要があります。
Disabled: ウイルスの最初のインスタンスが現れたときの
み、
スキャンが停止します ( スパイウェアは無視します ) 。
4 - 32
ProxySG および ProxyAV アプライアンスを統合する
ProxySG および ProxyAV アプライアンスを設定する
タスク 4:ProxyAV スキャンとポリシーを設定する
ProxyAV でのスキャン設定
手順 5 タイムアウトなどのスキャンエラー [Policies for Antivirus exceptions] は ProxyAV がファイル
が発生したときの ProxyAV の動作ををスキャンできないときに、ファイルを提供するかどうか
を定義します。たとえば、パスワードで保護されたファイル
定義します。
や、
大きすぎてスキャンできないファイルをユーザーに提
供するかどうかを定義します。
• [Block] がすべてのオプションのデフォルト設定です。ブ
ロックするように設定すると、
ProxyAV は ICAP 500 応
答を ProxySG に送信します。
この場合、
クライアントに
対する ProxySG アプライアンスの応答は ProxySG が
フェールオープンとフェールクローズのどちらに設定
されているかによって異なります。
ProxySG がフェールオープンするように設定されてい
る場合、ポリシールールに異なる指定がない限り、ス
キャンしていないコンテンツをクライアントに提供し
ます。
ProxyAV がブロックするように設定され、
ProxySG が
フェールクローズするように設定されている場合、
コン
テンツがクライアントに提供されることはありません。
• [Serve] を選択した場合、ProxyAV は ICAP 200/204 応
答を ProxySG に送信します。この場合、ProxySG が例
外ページをクライアントに提供するよう指示するルー
ルがポリシーで作成されていない限り、
スキャンして
いないファイルはクライアントに提供されます。
手順 6 設定を保存します。
ProxySG および ProxyAV アプライアンスを統合する
[Save Changes] をクリックします。
4 - 33
タスク 4:ProxyAV スキャンとポリシーを設定する
ProxySG および ProxyAV アプライアンスを設定する
ファイル拡張子別にポリシーを設定する ( オプション )
ファイル名の拡張子に基づいてスキャン動作を指定すると、スキャンプロセスを高速化することができま
す。たとえば、ウイルスが含まれることがよく知られている一定のファイル拡張子をブロックすることが
できます。
Blue Coat はスキャンの必要がないファイルについては、
ProxySG でポリシーを設定することをお勧めし
ます。
リソースを節約することができます。
ProxySG はこのようなファイルを ProxyAV に送信しないので、
ただし、ProxySG ではアーカイブされたファイルや複合ファイル内の個々のファイルを対象にブロックや
スキャンのルールを定義することはできません。
ProxyAV はアーカイブされたり復号された Microsoft
ファイル内のファイルをすべて認識するので、
アーカイブされたり
ProxyAV で設定するスキャン動作は、
複合された Microsoft ファイル内のファイルがブロックの対象となります。
ファイル拡張子に基づいてスキャン動作を設定するには、次の手順を実行します。
ProxySG でのファイル
拡張子ポリシーの設定方法は、第 9 章の「ベストプラクティスの設定」を参照してください。
ファイル拡張子に基づいたスキャン動作の設定
手順 1 ブロックしてクライアントに提供し a.
ないファイル拡張子を指定します。
[Scanning Behavior] ページで、[Policies for file types]
リンクをクリックします。[Policies For File Types] ペー
ジが表示されます。[File extensions] セクションを探し
ます。
b.
ブロッ
[Block files having extensions] フィールドに、
クする各ファイル拡張子をセミコロンで区切って入力
します。例を示します。
.vbs; .exe
手順 2 ウイルスを含む可能性が低いのでス [Don’t scan files having extensions] フィールドに、スキャ
キャンする必要がないファイル拡張ンしたくない各ファイル拡張子をセミコロンで区切って入
子を指定します。
これらのファイル力します。例を示します。
タイプは、スキャン時に何も試みず
.gif; .tif
にクライアントに提供されます。
注意拡張子を基準にファイルをスキャンしないとパフォー
マンスは高くなりますが、セキュリティ上のリスクが
生ずる可能性があります。これはファイルを拡張子に
基づいてスキャン対象から除くと、ファイルのコンテ
ンツを検査しないからです。したがって、無害な TIF や
ス
GIF ファイル拡張子を偽装した EXE ウイルスは、
キャンされない可能性があります。
手順 3 設定を保存します。
4 - 34
[Save Changes] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
ProxySG および ProxyAV アプライアンスを設定する
タスク 5: 脅威保護ポリシーのテスト
タスク 5: 脅威保護ポリシーのテスト
さらに設定を進める前に、
基本的な展開をテストして、
ProxyAV が設定で選択した内容に基づいてコンテ
ンツのスキャンとマルウェアの検出を行っていることを確認します。
ポリシーをテストする
手順 1 ProxyAV Management Console にロ
グインします。
ホームページがまだ表示されていない場合は、[Home] をク
手順 2 ProxyAV のホームページでは、ス
キャンしたファイル数とキャッチしリックします。
たウイルスの数に関する統計情報を
表示します。
手順 3 ProxyAV がファイルをスキャンして ProxyAV ホームページの最上部をご覧ください。
いることを確認します。
クライアントが Web 要求をするにしたがって、[Files
( ブラウザは非透過的ま
Scanned] の値が増えるはずです。
たは透過的に ProxySG アプライアンスにリダイレクトさ
れなければなりません。)
手順 4 ProxyAV が ICAP 要求をログ記録す a.
るように設定されていることを確認
します。( 後でログ履歴をチェックし b.
て、
テストが正常に行われたことを
確認します。)
c.
[Advanced] > [Detailed stats] > [Requests history] を
選択します。
[Collect last ___ requests] フィールドの値が 0 ( ゼロ )
より大きいことを確認します。
[Save Changes] をクリックします。
手順 5 ProxySG Management Console にロ
グインします。
手順 6 アクセスログ記録を有効にして、テ a. [Configuration] > [Access Logging] > [General] >
ストを検証できるように ProxySG
[Default Logging] を選択します。
を準備します。
b. [Enable Access Logging] チェックボックスをオンに
します。
c.
手順 7 テスト中にログエントリが見られる a.
ように、ログを表示します。
[Apply] をクリックします。
[Statistics] > [Access Logging] > [Log Tail] を選択し
ます。
b. [Start Tail] をクリックします。
手順 8 「感染した」テストファイルを要求し a.
ます。
b.
注意 : ファイルは実際に感染してい
c.
るのではなく、
テスト用に感染して
いると判定されるウイルスシグネ d.
チャを含んでいるに過ぎません。
ProxySG および ProxyAV アプライアンスを統合する
ProxySG に非透過的または透過的にリダイレクトされ
たブラウザを開きます。
「http://www.eicar.org」に進みます。
[Anti-Malware Testfile] リンクをクリックします。
テストファイルに関する情報を読んで、
ダウンロードす
るファイル「eicar.com」
など ) を選択します。
(
4 - 35
タスク 5: 脅威保護ポリシーのテスト
ProxySG および ProxyAV アプライアンスを設定する
ポリシーをテストする
手順 9 「感染した」ファイルが送信されていページには、ProxyAV がファイルにウイルスを検出し、その
ないことを確認します。
ファイルをドロップしたことが表示されます。
手順 10 ProxySG アクセスログをチェック
します。
a.
ProxySG の [Access Log Tail] ウィンドウに進みます。
b.
Eicar ファイルのアクセスログエントリに、ウイルス検
出用エントリが含まれていることを確認します。
2009-03-12 17:39:51 382 10.9.16.75 - - virus_detected PROXIED "none"
http://www.eicar.org/anti_virus_test_file.htm 200 TCP_DENIED GET
text/html;%20charset=%220%22 http www.eicar.org 80
/download/eicar.com.txt - txt "Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 10.9.16.76 1000 383 "EICAR
test file"
手順 11 ProxyAV ICAP 要求履歴をチェック a.
します。
b.
c.
ProxyAV ブラウザウィンドウに進みます。
[Advanced] > [Detailed stats] > [Requests] [history] を
選択します。
[Refresh Now] をクリックします。
d. Eicar ファイルの要求を探します。
e.
手順 12 同じ「感染した」テストファイルを a.
要求し、以前スキャンしたオブジェ b.
クトに対する応答がすでに
c.
ProxySG のキャッシュに格納され
ているので、ProxySG がそのオブ
ジェクトを ProxyAV に送信しない
ことを確認します。
4 - 36
[Result] フィールドに [VIRUS] が含まれることを確認
します。
同じ「感染した」テストファイルを要求します。
[ProxyAV Requests History] ウィンドウに進みます。
Eicar ファイルに対す
[Refresh Now] をクリックして、
る 2 回目の要求ではないことを確認します。( オブジェ
クトに対する応答は ProxySG キャッシュから提供され
たので、
スキャンのため ProxyAV に送信されてはいな
いはずです。
)
ProxySG および ProxyAV アプライアンスを統合する
5
ICAP スキャンの監視
この章では、ProxySG、ProxyAV、Blue Coat Reporter での ICAP スキャンを監視するさまざまな方法を説明
します。
このセクションで説明するトピックは次のとおりです。
S
ICAP グラフと統計情報を ProxySG に表示する — ページ 5-38
S
ProxySG の ICAP 有効セッションを監視する — ページ 5-42
S
ProxyAV で統計情報を表示する — ページ 5-45
S
Blue Coat Reporter でマルウェア対策レポートを作成する — ページ 5-47
ProxySG および ProxyAV アプライアンスを統合する
5 - 37
ICAP グラフと統計情報を ProxySG に表示する
ICAP スキャンの監視
ICAP グラフと統計情報を ProxySG に表示する
ProxySG では、棒グラフ形式および統計情報テーブルでさまざまな ICAP 統計情報を表示できます。各
ICAP サービスとサービスグループで ProxySG が追跡する ICAP 統計情報の定義をテーブル 5-1 に示し
ます。
注
ProxySG での ICAP 監視には、SGOS 5.4 以上が必要です。
テーブル 5-1
ICAP 統計情報
統計情報
定義
プレーン要求
暗号化されていない ICAP スキャントランザクション
セキュア要求
暗号化されて SSL 上でトンネル接続された ICAP スキャントランザクション
遅延要求
完全なオブジェクトを受信するまで遅延された ICAP スキャントランザクション
キューに登録された
要求
接続可能になるまで待機している ICAP スキャントランザクション
成功した要求
正常に完了した ICAP スキャントランザクション
失敗した要求
スキャンのタイムアウト、接続エラー、サーバーエラー、
またはその他さまざま
な状況により失敗した ICAP スキャントランザクション
送信バイト数
ICAP サービスまたはサービスグループに送信された ICAP データのバイト数
注意 : バイト数には、セキュア ICAP トラフィックは含まれません。
受信バイト数
ICAP サービスまたはサービスグループから受信したデータのバイト数
プレーン接続
プレーン ICAP スキャン要求が送信される ProxySG と ProxyAV 間の接続数
注意 : この統計情報は、サービスグループでは追跡されません。
セキュアな接続
暗号化 ICAP スキャン要求が送信される ProxySG と ProxyAV 間の接続数
注意 : この統計情報は、サービスグループでは追跡されません。
5 - 38
ProxySG および ProxyAV アプライアンスを統合する
ICAP スキャンの監視
ICAP グラフと統計情報を ProxySG に表示する
ICAP グラフを ProxySG に表示する
ICAP グラフは、診断およびトラブルシューティングツールとして使用できます。たとえば、
[Active
Requests] グラフでキューに登録された ICAP 要求数が常に多すぎることが示されている場合、より大容量
の ProxyAV が必要な可能性があります。
ICAP グラフを ProxySG に表示する
手順 1 ProxySG Management Console にロ
グインします。
手順 2 [Statistics] > [ICAP] を選択します。 ICAP 統計情報画面が表示されます。
手順 3 グラフ化する内容を選択します。次のいずれかを選択します。
手順 4 グラフ化の対象期間を選択し
ます。
[Duration] ドロップダウンリストから、
[Last Hour]、
[Last
または [Last Year] を選択し
Day]、
[Last Week]、
[Last Month]、
ます。
手順 5 グラフタイプを選択します。
次のタブの内 1 つを選択します。
セキュア、遅延、キューに登録
Active Requests: プレーン、
済みのアクティブ ICAP トランザクション (1 分間隔でサン
プリング )
Connections: プレーンおよびセキュアな ICAP 接続 (1 分
間隔でサンプリング )
Completed Requests: 成功および失敗した完了済みの
ICAP トランザクション
Bytes: ICAP サービスに送信されたバイト数と ICAP サー
ビスから受信したバイト数
各統計情報は、積み重ね棒グラフに異なる色で表示されま
す。
デフォルトでは、関連するすべての統計情報が表示され
ます。
ProxySG および ProxyAV アプライアンスを統合する
5 - 39
ICAP グラフと統計情報を ProxySG に表示する
ICAP スキャンの監視
ICAP グラフを ProxySG に表示する
手順 6 グラフ化したい内容の名前を選択しグラフ下のテーブルにある [Name] カラムで、次のうち 1 つ
ます。
を選択します。
• サービス名を選択します。
• サービスグループ名を選択します。
• [Totals] 行を選択します ( すべてのサービスまたはサー
ビスグループをグラフ化します )。
手順 7 ( オプション ) グラフに表示しな例を示します。
い統計情報の横にあるチェック
ボックスをオフにします。
追加情報
• ICAP 統計情報画面の表示中、異なるサービス、サービスグループ、期間、またはグラフタイプを選択し
て新しいグラフを表示できます。
• グラフは 1 分ごとに自動的に更新されます。[Last Hour] 期間のグラフ以外では、更新されていること
に気付かない可能性があります。
• グラフの棒に関連付けられた実際の統計情報を確認するには、マウスポインタをその棒の上に移動し
ます。統計情報と合計を示すボックスがマウスポインタの場所に表示されます。
5 - 40
ProxySG および ProxyAV アプライアンスを統合する
ICAP スキャンの監視
ICAP グラフと統計情報を ProxySG に表示する
ICAP 統計情報データの表示
グラフよりもデータに関心がある場合、
グラフの下に、
選
ICAP 統計情報画面でこの情報も確認できます。
択した期間での各サービスまたはサービスグループの成功した要求数、失敗した要求数、送信バイト数、受
信バイト数が表示された簡潔なテーブルがあります。
このテーブルでも、
すべのサービスまたはサービス
グループでの各統計情報の合計が計算されます。
ICAP 統計情報データの表示
手順 1 [Statistics] > [ICAP] を選択します。 ICAP 統計情報画面が表示されます。
手順 2 グラフ化する内容を選択します。
次のいずれかを選択します。
手順 3 グラフ化の対象期間を選択します。 [Duration] ドロップダウンリストから、[Last Hour]、[Last
または [Last Year] を選択し
[Last Week]、
[Last Month]、
Day]、
ます。
手順 4 統計情報をレビューします。
ProxySG および ProxyAV アプライアンスを統合する
ProxySG によって、選択した期間の個々のサービスおよび
すべてのサービスの合計が表示されます。
5 - 41
ProxySG の ICAP 有効セッションを監視する
ICAP スキャンの監視
ProxySG の ICAP 有効セッションを監視する
ICAP スキャンが有効になっているアクティブセッションとエラー発生セッションについての詳細は、
[Active Sessions] ページと [Errored Sessions] ページを参照してください。セッションリストをフィルタし
て ICAP 対応セッションのみを表示できます。これにより、各セッションのステータス ( 転送中、遅延、
ス
キャン中、完了 ) を簡単に確認し、より詳しい情報 ( クライアントの IP アドレス、サーバー名、バイト数、帯
域幅の節約、プロトコルなど ) を表示できます。
ICAP の追加フィルタも使用できます。次の条件でもフィルタできます。
• ICAP サービスのタイプ :REQMOD ( 要求 ) または RESPMOD ( 応答 )
• サービス名
• ICAP ステータス ( 遅延接続のみを表示するなど )
これらの追加フィルタはオプションです。すべてのオプションを [Any] に設定したままにすると、ICAP が
有効に設定されているすべてのセッションが表示されます。
アクティブな ICAP 対応セッションの表示
デフォルトでは、[Active Sessions] 画面にはすべてのアクティブセッションが表示されます。ICAP 機能を
分析する場合、リストをフィルタして ICAP 対応セッションのみを表示すると役立ちます。
ICAP 対応セッションのリスト
手順 1 ProxySG Management Console にロ
グインします。
手順 2 アクティブセッションを表示します。 [Statistics] > [Sessions] > [Active Sessions] > [Proxied
Sessions] を選択します。
手順 3 [ICAP] フィルターを選択します。
[Filter] ドロップダウンリストを使用します。
手順 4 ( オプション ) ICAP サービスタイプを [REQMOD] または [RESPMOD] を選択します。または
基準としてフィルタリングします。 [Any] を選択して、両方のサービスタイプを表示します。
手順 5 ( オプション ) サービス名を基準とし [Service] ドロップダウンリストからサービス名を選択す
てフィルタリングします。
るか、[Any] を選択してすべてのサービスを表示します。
手順 6 ( オプション ) ICAP のステータスを [Status] ドロップダウンリストから、[transferring]、
選択します。
[deferred]、
[scanning]、
[completed] のどれかを選択します。
または [Any] を選択して、
すべての接続タイプを表示し
ます。
5 - 42
ProxySG および ProxyAV アプライアンスを統合する
ICAP スキャンの監視
ProxySG の ICAP 有効セッションを監視する
ICAP 対応セッションのリスト
手順 7 (オプション) 表示する接続の数を [Display the most recent] を選択して、[results] フィール
ドに数値を入力します。
接続数が多い場合、これはパ
制限します。
フォーマンスの最適化に役立ちます。
手順 8 (オプション) 現在エラーが発生し [Show errored sessions only] を選択します。
ているプロキシになったセッ
ションのみ表示します。
手順 9 ICAP 対応セッションを表示し
ます。
[Proxied Sessions] テーブル
[Show] をクリックします。
には、
ICAP 対応のセッションが表示されます。
[Proxied Sessions] テーブルで特に重要なのは ICAP (I) カラムです。このカラムは、ICAP ステータスを識別
する一意のアイコンを使用して、ICAP 対応のセッションのステータスを示します。テーブル 5-2 では、各
アイコンについて説明します。
テーブル 5-2
ICAP アイコン
ICAP アイコン
( 虫眼鏡 )
説明
スキャン中 : ICAP 要求がスキャン処理中です
( 矢印 )
転送中 : ICAP 要求が ICAP サーバーに転送されています
( 時計 )
遅延 : すべてのオブジェクトが受け取られるまで、ICAP スキャン要求は遅延さ
れています
( チェックマーク )
(i)
アイコンなし
完了 : ICAP スキャン要求が正常に完了しました
非アクティブ : セッションまたは接続に対して ICAP 機能が非アクティブです
サポート外 : 対応するセッションまたは接続に対して ICAP がサポートされて
いません
ProxySG および ProxyAV アプライアンスを統合する
5 - 43
ProxySG の ICAP 有効セッションを監視する
ICAP スキャンの監視
追加情報
アイコンのヒント - ICAP アイコンの上にマウスを置くと、ICAP 対応のセッションに関する次の情報が表
示されます。
• ICAP サービスのタイプ (REQMOD および RESPMOD)
• サービスの名前
• ICAP の状態 (transferring、deferred、scanning、または completed)。次に例を示します。
REQMOD サービス :icap1 (completed)
• 1 つのセッションに使用されているサービスのタイプ 1 つのみの場合は、ヒントは、他のタイプが非ア
クティブまたはサポート外かどうかを示します。たとえば、次のように表示されます。
RESPMOD Service: inactive
Sorting — [I] カラムの見出しをクリックすると、セッションが次の順序で並べ替えられます。
• 転送中
• 遅延
• スキャン中
• 完了
• 非アクティブ
• サポート外
5 - 44
ProxySG および ProxyAV アプライアンスを統合する
ICAP スキャンの監視
ProxyAV で統計情報を表示する
ProxyAV で統計情報を表示する
ProxyAV はスキャンしたオブジェクトと発見したウイルスに関する履歴と最新の統計情報をトラックし
ます。
ProxyAV で統計情報を表示する
手順 1 ProxyAV Management Console に
ログインします。
ホームページがまだ表示されていない場合は、
手順 2 ProxyAV のホームページでは、ス
[Home] をク
キャンしたファイル数とキャッチリックします。
したウイルスの数に関する統計情
報を表示します。これらの統計情報
は、前回のアプライアンスの再起動
または前回のカウンターをリセッ
トした以降の累積値です。
手順 3 スキャンしたファイル数とキャッホームページの最上部をご覧ください。
チしたウイルスの数に関する統計
情報を表示します。
手順 4 ICAP オブジェクトと接続に関する a. [Advanced] > [History stats] を選択します。
履歴データを表示します。
b. 次のいずれかを選択します。
[ICAP Objects]: スキャン間隔中に受信した ICAP オブ
ジェクト数
[Connections]: スキャン間隔中に受信した最大同時接
続数
[ICAP Bytes]: スキャン間隔中に受信した ICAP オブジェ
クトの合計サイズ ( バイト数 )
統計情報の各タイプについて、
過去 60 分間、
過去 24 時間、
過去
過去 60 分間の
30 日間の 3 種類の期間のグラフを表示します。
ICAP オブジェクトのグラフ例を示します。
ProxySG および ProxyAV アプライアンスを統合する
5 - 45
ProxyAV で統計情報を表示する
ICAP スキャンの監視
ProxyAV で統計情報を表示する
手順 5 現在 ProxyAV がスキャンしている a.
オブジェクトの詳しい情報を表示
します。
[Advanced] > Detailed stats] を選択します。次のよう
な詳しい情報が表示されます。
[Concurrent connections]:ProxyAV への現在の接続数
です。
[Total objects being processed]: 現在 ProxyAV がス
キャンしているオブジェクト数です。
手順 6 過去のウイルススキャンの結果を
表示します。
b.
現在スキャンしてい
[Refresh Now] をクリックすると、
るオブジェクトの詳しい統計情報を見ることができ
ます。
a.
[Advanced] > [Detailed stats] を選択します。
b.
[Requests History] を選択します。
c.
リストに表示
[Collect last ___ requests] フィールドに、
する要求の数 (0-1000) を入力します。この数字をゼロに
設定すると、要求のログ記録が無効になります。
d. [Save Changes] をクリックします。
e.
5 - 46
処理した要求に関する
[Refresh Now] をクリックして、
最新データを取得します。
ProxySG および ProxyAV アプライアンスを統合する
ICAP スキャンの監視
Blue Coat Reporter でマルウェア対策レポートを作成する
Blue Coat Reporter でマルウェア対策レポートを作成する
レポートに Blue Coat Reporter を使用する場合、いくつかのマルウェア対策レポートが使用できます。
テーブル 5-1
Reports in Reporter のウイルス対策レポート
Reporter のバージョンレポート名
説明
8.3
ICAP ウイルス ID
検出したウイルスの ID をリスト表示します
8.3
ICAP ウイルス URL
検出した各ウイルスに関連付けられた URL を
リスト表示します
8.3
ICAP ウイルスとユーザー詳細検出した各ウイルスに関連付けられたクライア
情報
ントのログイン名か IP アドレスをリスト表示
します
9.1
要求されたマルウェアをサイマルウェアの存在が疑われるためブロックされ
トがブロック
た URL をすべてリスト表示します
9.1
マルウェアに感染している可悪意あるコンテンツが感染しているおそれがあ
能性があるクライアント
るクライアント IP アドレスをすべてリスト表
示します
このデータは各クライアントが要求した URL
に基づきます。
9.1
検出された ProxyAV マルウェ従業員の Web ブラウジング中に発生したマル
ア : クライアント IP
ウェアの各インスタンスを、URL をブラウズし
たクライアント IP アドレスに基づいてリスト
表示します
9.1
検出された ProxyAV マルウェ従業員の Web ブラウジング中に発生した各マ
ア : 名前
ルウェアコードの名前をリスト表示します
9.1
検出された ProxyAV マルウェマルウェアソースであると疑われるため検出
ア : サイト
された URL をすべてリスト表示します
ProxySG および ProxyAV アプライアンスを統合する
5 - 47
Blue Coat Reporter でマルウェア対策レポートを作成する
5 - 48
ICAP スキャンの監視
ProxySG および ProxyAV アプライアンスを統合する
6
設定をチューニングする
この章では、ICAP スキャン中のユーザーエクスペリエンスを向上する方法 ( お詫びページやデータト
リックリングを使用 )、
検出したウイルスについて管理者に通知する方法、実装可能なこのほかの ICAP ポ
リシーについて説明します。
また自動作成される ICAP 応答編集サービスの編集や、
具体的なニーズに合
わせて脅威保護ポリシーをチューニングする方法も説明します。この章で説明するトピックは次のとおり
です。
S
ユーザーエクスペリエンスの向上 — ページ 6-50
S
警告を設定する — ページ 6-55
S
ICAP サービスを変更する — ページ 6-59
S
マルウェアスキャンポリシーのチューニング — ページ 6-63
S
ユーザーベースの ICAP ポリシーを作成する — ページ 6-65
S
要求変更 ICAP サービスを実装する — ページ 6-69
ProxySG および ProxyAV アプライアンスを統合する
6 - 49
ユーザーエクスペリエンスの向上
設定をチューニングする
ユーザーエクスペリエンスの向上
スキャンニングの遅延により、ユーザーが Web 要求を中断して再実行するのを防ぐために、
スキャン中で
あることをユーザーにフィードバックして伝えることができます。このフィードバックはお詫びページの
形をとったり、データトリックリングや遅延スキャンを使用して、
スキャンの遅延を緩和することができ
ます。
これらの方法のうち 3 種類を次に説明します。
お詫びページについて
お詫びページは、ICAP のコンテンツスキャンが指定の期間を経過したときにユーザーに表示される
HTML ページです。たとえば、HTML ページで次のようなお知らせメッセージを表示できます。
お客様が要求したページのコンテンツをスキャンしています。しばらくお待ちください ...
カスタムメッセージやヘルプリンクを含めるように、これらのページのコンテンツを設定できます。お詫
びページは、5 秒ごとにリフレッシュされ、オブジェクトスキャンの完了時に消えます。
お詫びページは、無限ストリーム接続 (Web カメラまたはビデオフィードのような HTTP 経由でストリー
ムされるライブコンテンツ ) とは互換性がありません。ICAP スキャンは、オブジェクトのダウンロードが
完了するまで開始できません。このタイプのコンテンツでは、ダウンロードが完了しないため、ProxySG は
この時点で、
ICAP のファイルサイズ制限に違反するまでダウンロードを継続します。
ProxySG はエラー
を返すか、
クライアントにコンテンツを配信しようとします ( フェールオープン / クローズポリシーに
よって異なります )。
ただし、フェールオープンしてコンテンツを配信するように設定していても、大量の
データのダウンロードにこの遅延が加われば、ほとんどのユーザーは目的を達成する前に諦めてしまいま
す。第 9 章の「代替ソリューションの最適慣行の設定」を参照してください。
データトリックルについて
オブジェクトスキャンの比較的短い遅延が発生している間、お詫びページにはユーザーの不安を和らげる
解決策が表示されます。ただし、比較的大きいオブジェクトをスキャンする場合、小さい帯域幅パイプでオ
ブジェクトをスキャンする場合、またはサーバーに高い負荷がかかっている場合、接続のタイムアウトが
発生してユーザーエクスペリエンスが低下します。このようなタイムアウトを回避するには、データト
リックルを許可します。有効にするトリックルモードに応じて、ProxySG はスキャンの最初またはほぼ最
後に、クライアントに送信するバイトをトリックル ( 非常に遅い速度で許可 ) します。
ProxySG は、ICAP のスキャン結果を待たずにサーバーコンテンツの配信を開始します。ただし、セキュリ
ティを確保するために、コンテンツスキャンの結果が完了するまで ( オブジェクトが感染していないと判
断されるまで ) 完全なオブジェクトは配信されません。
注意この機能は HTTP/HTTPS 接続についてだけサポートしており、
FTP 接続のデータトリックルはサ
ポートしていません。
6 - 50
ProxySG および ProxyAV アプライアンスを統合する
設定をチューニングする
ユーザーエクスペリエンスの向上
最初からデータをトリックル
[trickle from start] モードでは、ProxySG は応答本文の最初の少量をバッファ処理します。ProxyAV が応答
のスキャンを続ける間、ProxySG は 1 秒ごとに 1 バイトをクライアントに送信することを許可します。
ProxyAV のスキャンが完了した後の動作を次に示します。
• クリーンなオブジェクトだと見なされた場合 (応答変更は不要)、ProxySG は、その接続の最大速度でオ
ブジェクトの残りのバイトをクライアントに送信します。
• 有害オブジェクトだと見なされた場合、ProxySG は接続を終了し、応答オブジェクトの残りのバイトは
クライアントに送信されません。
クライアントは、ウイルススキャンの結果が出るまで少量のデータしか受信しないため、この方法は安全
性の高いオプションです。
ただし、
特にブラウザに表示される受信バイトに気付いたときにユーザーがい
らいらしてくるかも知れないという欠点があります。ユーザーは接続不良やサーバーがビジー状態だと見
なして、
クライアントを閉じてから接続を再起動する可能性があります。
最後にデータをトリックル
接続の最大速度でクライアントに応
[trickle at end] モードでは、ProxySG はデータの最後の 16 KB を除き、
答を送信します。ProxyAV がコンテンツスキャンを実行している間、ProxySG は 1 秒ごとに 1 バイトをク
ライアントに送信することを許可します。
ProxyAV のスキャンが完了した後は、ページ 6-51 の " 最初からデータをトリックル " に記載されている動
作と同じです。
Flash オブジェクトなどのメディアコンテンツの場合、この方法をお勧めします。オブジェクトの 99 % が
ダウンロードされたことに気付くと、ユーザーが我慢する傾向があるので、
最初はトリックルよりこの方
法がユーザーフレンドリーです。
したがって、再度接続する可能性が低くなります。
ただし、ICAP スキャ
ンの結果が出る前にオブジェクトの大部分が配信されるめ、ネットワーク管理者はこの方法の方がセキュ
リティが低いと判断すると思われます。
データトリックルとお詫びページのどちらを使用するのかの判断
トラフィックの種類に応じて、ProxySG 設定オプションとポリシーを組み合わせることで、ICAP フィード
バックアクションを変えることができます。
• インタラクティブなトラフィックは、Web ブラウザが関わる要求なので、データトリックルかお詫び
ページのどちらかを使用することができます。
• 非インタラクティブなトラフィックは、ソフトウェアの自動ダウンロードやクライアントの更新など、
非ブラウザベースのアプリケーションが生成する要求であり、
お詫びページは使用できません。
デー
タトリックルかユーザーへのフィードバックを行わないかのどちらかを選ぶことになります。
会社がセキュリティと可用性のどちらを重視するかに基づいて、
ProxySG ではお詫びページとデータト
リックルのどちらかを選択できます。
ProxySG および ProxyAV アプライアンスを統合する
6 - 51
ユーザーエクスペリエンスの向上
設定をチューニングする
遅延スキャンについて
遅延スキャン機能は、無限ストリーミングによるネットワークの停止を防止するのに役立ちます。
無限ストリームは、終了しないことが予想される Web カメラや Flash メディアなどの接続 (HTTP 接続経
由のトラフィック ) です。
無限ストリームの特徴として、コンテンツの長さがない、データ速度が遅い、応答
時間が長いなどが挙げられます。
オブジェクトを完全にダウンロードできないため、ICAP コンテンツス
キャンを開始できませんが、ProxySG と ProxyAV 間の接続は維持されるため、無制限に接続リソースが浪
費されます。
遅延スキャンでは、必要以上に ICAP 接続リソースを占める ICAP 要求を検出して、オブジェクトを完全に
受信するまで遅延します。
遅延スキャンの仕組み
使用中の ICAP リソースが一定のしきい値に達すると、ProxySG はもっとも古い未解決の ICAP 要求から
スキャンの遅延を開始します。
遅延しきい値に達すると、ProxySG はすべての新しい ICAP 要求を受信す
るごとに、まだオブジェクトを完全に受信していないもっとも古い ICAP 接続を遅延します。
遅延しきい値は、
管理者がパーセントで指定します。
たとえば、遅延しきい値が 70 パーセントに設定され
ていて、最大接続数が 100 に設定されている場合、接続数が 70 を超えると、ProxySG により、完全なオブ
ジェクトのダウンロードが完了していない接続が遅延させられます。
ICAP 接続が遅延されると、
ProxyAV への接続が終了します。アプライアンスの応答は継続して受信され、
ダウンロードが完了すると、ICAP 要求が再開します。使用できる ICAP 接続がない場合、新しい ICAP 要求
がキューに配置されたままになっている可能性があります。
要求が遅延されると、
ProxySG は要求が再開
されるまでオブジェクトが完全に受信されるのを待ちます。遅延アクションで完全なオブジェクトを受信
したときにキューがある場合、
そのアクションは、
キュー内の完了した他の遅延アクションの後に配置さ
れます。ただし、キュー内の他の新しい要求よりも前に配置されます。
遅延スキャンおよびフィードバックオプションの設定
一度に応答全体を ProxyAV に送信する必要があるため、ICAP フィードバックオプション ( お詫びページ
またはデータトリックル ) の設定方法やオブジェクトのサイズによっては、遅延スキャンが原因で ICAP
応答が遅延する可能性があります。
お詫びページが設定されている場合、
オブジェクトが完全に受信されて、
未処理の ICAP アクションが完
了するまで、ブラウザでお詫びページが継続的に受信されます。
データトリックルオプションが設定されている場合、
遅延スキャン中にオブジェクトで継続的にトリッ
クルが行われます。ただし、トリックルバッファ要件のために、ProxySG で応答の送信が開始される前に遅
延が発生する可能性があり、この際遅延スキャンが行われる場合と行われない場合があります。
6 - 52
ProxySG および ProxyAV アプライアンスを統合する
設定をチューニングする
ユーザーエクスペリエンスの向上
ICAP フィードバックを設定する
次の手順にしたがって、グローバルフィードバック設定を行います。
特定のユーザーに適用するフィード
バックポリシーを追加定義したり、条件付きサブセットを定義するには、Visual Policy Manager の Web
Access Layer の [Return ICAP Feedback object ] を使用しなければなりません。
インタラクティブおよび非インタラクティブなトラフィックの ICAP フィードバックの設定
手順 1 ProxySG Management Console にロ
グインします。
手順 2 ICAP スキャン中であることを Web a. [Configuration] > [External Services] > [ICAP] >
ブラウザのクライアントに通知する
[ICAP Feedback] を選択します。
までの待ち時間を指定します。
b. [ICAP Feedback for Interactive Traffic] セクションに
進みます。
c.
[Provide feedback after ___ seconds フィールドに値
を入力します。
手順 3 インタラクティブ ( ブラウザベース ) 次のいずれかを選択します。
のトラフィックのフィードバック方
• [Return patience page] (HTTP および FTP お詫びペー
法を選択します。
ジがあります )
• [Trickle object data from start] ( トリックルのよりセ
キュアな形式 )
•
手順 4 非インタラクティブなトラフィック a.
では、ICAP スキャン中であること
をクライアントに通知するまでの待
ち時間を指定します。
[Trickle object data at end] ( この形式のトリックルが、
望ましいユーザーエクスペリエンスになります )
[ICAP Feedback for Non-Interactive Traffic] セクショ
ンに進みます。
b. [Provide feedback after ___ seconds フィールドに値
を入力します。
手順 5 非インタラクティブなトラフィック次のいずれかを選択します。
のフィードバックを選択します。
• Trickle object data from start
• Trickle object data at end
手順 6 設定を保存します。
[Apply] をクリックします。
HTTP および FTP のお詫びページをカスタマイズするには、
[Configuration] > [External Services] >
[ICAP] > [ICAP Patience Page] を選択します。
ProxySG および ProxyAV アプライアンスを統合する
6 - 53
ユーザーエクスペリエンスの向上
設定をチューニングする
遅延スキャンを有効にする
スキャンの遅延を有効化し、そのしきい値を設定する手順を次に示します。
ICAP サービスのスキャン遅延を有効にする
手順 1 ProxySG Management Console にロ
グインします。
手順 2 ICAP サービスを編集します。
手順 3 スキャン遅延を有効にします。
手順 4 設定を保存します。
a.
[Configuration] > [External Services] > [ICAP] > [ICAP
Services] を選択します。
b.
ICAP サービスを選択します。
c.
[Edit ICAP Service] ウィンド
[Edit] をクリックします。
ウが表示されます。
a.
[Defer scanning at threshold] を選択して、遅延スキャ
ン機能を有効にします。
b.
オブジェクト全体を受信していない最も古い ICAP 接
続を ProxySG が保留するしきい値を設定するには、
(0-100) の数値を入力します。
a.
[OK] をクリックして、[Edit ICAP Service] ウィンドウ
を閉じます。
b.
[Apply] をクリックします。
続けて ProxyAV と ProxySG とを統合するには、ページ 4-32 の " タスク 4:ProxyAV スキャンとポリシーを
設定する " に進んでください。
続けて設定をチューニングするには、次のセクションに進んでください。
6 - 54
ProxySG および ProxyAV アプライアンスを統合する
設定をチューニングする
警告を設定する
警告を設定する
ProxySG と ProxyAV は検出したウイルスについて、ネットワーク管理者に通知することができます。
検出したウイルスのほか、
ブロックしたファイルやスキャンしていないファイルについて
ProxyAV では、
管理者に通知する設定が可能なので、
このセクションでは、ProxyAV での通知の設定を中心に説明します。
電子メールによる通知に加えて、
または通知に代わる手段として、
ProxyAV でのログ記録を有効にするこ
とができます。ログ記録を有効にすると、設定した各警告が警告ログに記録されるので、いつでも確認する
ことができます。
次のような警告の通知を有効にすることができます。
ProxyAV では、
–
ウイルスが見つかりました：ICAP セッションでウイルスが見つかりました。
–
スキャンされずにファイルが渡されました：ウイルス対策ページでは、管理者がいくつかの設定に
よりファイルをスキャンせずに ProxyAV を通過させることができます。
たとえば、ウイルス対策
ファイルスキャンタイムアウトがあります。
–
ファイルがブロックされました ( ウイルスの場合を除きます )：ウイルス感染以外の理由でファイ
ルがブロックされました。たとえば、管理者がパスワードで保護された圧縮ファイルをブロックす
る場合です。
–
サブスクリプションの有効期間満了が近づいています：ウイルス対策ソフトウェアを ProxyAV で
使用するライセンスの年間更新が必要です。ProxyAV はサブスクリプション期間満了が近づくと
通知します。
–
ファームウェアの更新が失敗しました：最新イメージの取得またはインストール中にエラーが発
生したため、ファームウェアの更新が失敗しました。
–
ファームウェアの更新が成功しました：ProxyAV ファームウェアの新しいバージョンがインストー
ルされました。
–
ライセンスの更新が失敗しました：ウイルス対策エンジンライセンスを更新しようとしましたが、
失敗しました。
–
ライセンスの更新が成功しました：新しいライセンスが作インストールされました。警告が有効に
なっている場合、ライセンスのベンダーおよび有効性に関する情報がログ記録されるか、設定した
電子メールアドレスに送信されます。
–
ウイルス対策ファイルの更新が失敗しました：ウイルス対策パターンファイルの更新が失敗しま
した。失敗の原因に関する情報を受信する警告を有効にします。
–
ウイルス対策ファイルの更新が成功しました：ウイルス対策パターンファイルが更新されました。
–
オンボード診断:監視している ProxyAV アプライアンスのメトリック状態が変更され、警告または
SNMP トラップがトリガするようにこのメトリックが選択されると、警告または SNMP トラップ
を送信します。
–
Intelligent Connection Traffic Monitoring (ICTM): 指定された最大同時低速接続警告または重大な
しきい値に達すると、警告を送信します。
警告を設定するには、次の手順を実行します。
• 通知目的の警告のタイプを選択します。
• 電子メールによる通知を設定します。
ProxySG および ProxyAV アプライアンスを統合する
6 - 55
警告を設定する
設定をチューニングする
警告のタイプを選択する
通知や警告ログエントリを設定する警告のタイプを選択します。
警告のタイプの選択
手順 1 ProxyAV Management Console にロ
グインします。
手順 2 電子メールによる通知や警告ログエ a.
ントリを作成する警告を選択します。
[Alerts] を選択します。警告テーブルが表示されます。
デフォルトでは、すべての警告の電子メールとログ記
録が有効です。
b.
必要に応じて警告を有効 / 無効にします。最初の 3 タイ
プはスキャン結果に関するものです。
ウイルスが見つかりました
スキャンされずにファイルが渡されました
ファイルがブロックされました
手順 3 設定を保存します。
6 - 56
[Save Changes] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
設定をチューニングする
警告を設定する
警告のタイプの選択
手順 4 ログ記録を有効にすると、
ProxyAV で警告ログを表示するには、次の手順を実行し
AlertLogFile.log. に警告が記録されてます。
いることを検証することができます。 a. [Log Files] を選択します。
b. [Log Files] テーブルで、
[AlertLogFile.log] について [ View
log file in browser] を選択します。
ブロックされたファイルのログエ
[AlertLogfile.log] では、
ントリは次のように表示されます。
ATEXT=Cause:Blocked file extension detected (engine error
code:None)
File has been dropped.
2009-03-06 05:24:05-08:00PST
Hardware serial number:2808101126
ProxyAV (Version 3.2.2.1(36678)) http://www.BlueCoat.com/
Machine name:ProxyAV
Machine IP address:10.9.16.74
Server: unknown
Client: unknown
Protocol:ICAP
ProxySG および ProxyAV アプライアンスを統合する
6 - 57
警告を設定する
設定をチューニングする
電子メールによる通知を設定する
次の説明にしたがって、電子メールによる通知を設定します。
ProxyAV での通知設定を行う
手順 1 ProxyAV Management Console にロ
グインします。
手順 2 電子メールアドレスを指定します。 a.
[Alerts] > [Alert Settings] を選択します。
b.
[Send e-mail address] フィールドに警告電子メールに
使用するソースメールアドレスを入力します。( このア
ドレスは電子メールの [From] フィールドに表示されま
す。
) 例を示します。
[email protected]
c.
警告電子メー
[Recipient e-mail address] フィールドに、
ルの受信者のアドレスをコンマで区切って入力しま
す。
例を示します。
[email protected],[email protected],
[email protected]
手順 3 SMTP サーバー設定を入力します。 a.
[SMTP server address] フィールドにサーバーの IP ア
ドレスを入力します。
b.
サーバーが POP 認証を使用する必要がある場合、
[SMTP
Authorization (POP-Before-SMTP) Enabled] を選択して
から、
認証情報を入力します。
手順 4 設定を保存します。
6 - 58
[Save Changes] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
ICAP サービスを変更する
設定をチューニングする
ICAP サービスを変更する
ProxyAV を追加すると、応答変更 ICAP サービスが自動的に作成されます。この RESPMOD サービスのデ
フォルト設定を編集するには、このセクションで説明する手順を実行します。
ProxySG ICAP サービスの変更
手順 1 ProxySG Management Console にロ
グインします。
手順 2 ICAP サービスを編集します。
a.
[Configuration] > [External Services] > [ICAP] > [ICAP
Services] を選択します。
b. ICAP サービス名として、proxyav1 などを選択します。
c.
ProxySG および ProxyAV アプライアンスを統合する
[Edit ICAP Service] ダイアログ
[Edit] をオンにします。
が表示されます。
6 - 59
ICAP サービスを変更する
設定をチューニングする
ProxySG ICAP サービスの変更
手順 3 サービス通信オプションを設定し a.
ます。
ProxyAV の URL を入力
[Service URL] フィールドに、
します。
URL には、スキーム、ProxyAV のホスト名または IP
アドレス、ICAP サービス名が含まれます。たとえば、
icap://10.10.10.10/avscan です。
b.
[Maximum Number of Connections] で ProxySG およ
び ProxyAV 間で発生する可能性のある特定の時間での
接続可能な最大数を指定します。
この値は変更せずに、
プラットフォーム
[Sense settings] ボタンを使用して、
がサポートする正しい値を自動検出してください。
c.
ProxyAV からの
[Connection timeout] フィールドに、
応答を ProxySG が待機する秒数を入力します。デフォ
ルトの秒数は 70 秒ですが、大きな ( 数 100 MB) アーカイ
ブはすぐに 70 秒を超えるので、大きな数値を設定して
も構いません。スキャンの設定タイムアウトを超える
大きなファイルを ProxyAV を受信すると、ProxySG は
接続をクローズするので、ユーザーはそのファイルを
受信できません。入力したタイムアウトの値は、
ProxyAV で設定した最大ファイルサイズと関係があ
り、
ファイルサイズが大きいほどスキャンに長くかか
るので、接続タイムアウトの値も大きくする必要があ
ります。
ファイルサイズを 100 MB 程度に設定した場
合、
タイムアウトは70秒で十分です。これに対して 2 GB
のファイルを許容した場合は、70 秒ではタイムアウト
の値として小さすぎます。範囲は 1 ～ 65,535 です。
d. オブジェクト全体を受信していない最も古い ICAP 接
続を ProxySG が保留するしきい値を設定するには、
デフォル
[Defer scanning at threshold] を選択します。
トでは、
遅延スキャンのしきい値は、
ICAP サービスが
作成されるときに無効になります。
遅延スキャンのし
きい値を有効にした場合のデフォルトは 80% です。
ス
キャン遅延に関する詳細については、
「Avoiding
Network Outages due to Infinite Streaming Issues」を参
照してください。
6 - 60
e.
ICAP スキャンでウイルスが検出された場合に管理者に
電子メールを送信するには、[Notify administrator when
また、通知はイベントロ
virus detected ] を選択します。
グおよびイベントログのメールリストにも送信されま
す。
ProxyAV はウイルスを検出したときに管理者に通知
する設定も可能で、
この設定については「Getting Notified
about Detected Viruses」で説明します。
f.
クライアントに ProxySG の例外ページではなく、
デフォ
ルトのベンダエラーの例外ページを表示するには、
[Use
vendor’s“virus found”page] を選択します。
ProxySG および ProxyAV アプライアンスを統合する
ICAP サービスを変更する
設定をチューニングする
ProxySG ICAP サービスの変更
手順 4 プレーン ICAP やセキュア ICAP の一方のタイプまたは両方のタイプの ICAP 接続を同時に有
サービスポートを設定します。セ効にすることができます。
キュア ICAP の設定についての詳細
は、
「タスク 1:( オプション ) セキュア
ICAP のためアプライアンスを準備
する」を参照してください。
プレーン ICAP の場合
a.
[This service supports plain ICAP connections] をオ
ンにします。プレーンデータ (HTTP) をスキャンする場
合は、プレーン ICAP を使用します。この場合、ProxySG
で HTTPS プロキシが有効になっていると、データはま
ず ProxySG で復号化されてから、ICAP サーバーに送信
されます。
b. [Plain ICAP port] フィールドにポート番号を入力します。
デフォルトのポートは 1344 です。
セキュア ICAP の場合
a.
セキュア ICAP を使用するには、
[This service supports
secure ICAP connections] をオンにします。
b. [Secure ICAP port] フィールドにポート番号を入力し
ます。デフォルトのポートは 11344 です。
c.
ProxySG および ProxyAV アプライアンスを統合する
[SSL Device Profile] フィールドでセキュア ICAP の有
効な SSL プロファイルを選択します。これにより、SSL
デバイスプロファイルがセキュア ICAP サービスに関
連付けられます。
6 - 61
ICAP サービスを変更する
設定をチューニングする
ProxySG ICAP サービスの変更
手順 5 プレビュー機能を使用する必要があ
るかどうかを判断します。
• ProxyAV 上のファイル拡張子に基づくファイルスキャン
•
•
手順 6 ProxySG/ProxyAV がサポートでき a.
る最大接続数を判定します。
b.
c.
ポリシーを使用している場合、[Preview size (bytes)]
プレ
フィールドに 0 を入力して、
[enabled] を選択します。
ビューサイズが 0 バイトの場合、応答ヘッダーのみが
その他のオブジェクトデータは
ProxyAV に送信され、
ProxyAV によって要求される場合にのみ送信されます。
または
ProxyAV の [Kaspersky Apparent Data Types] 機能が有効
になっている場合、[Preview size (bytes)] フィールドに値
( 推奨値は 512) を入力し、
ProxyAV
[enabled] を選択します。
は指定した総バイト数に達するまでオブジェクトを読み
込んでから、トランザクションを継続する ( つまり、オブ
ジェクの残りをスキャンするために受信する ) か、トラン
ザクションから抜けます。
または
上記の 2 つの状況が該当しない場合は、[enabled] をオフ
にします。
この場合、
プレビューオプションは使用しない
でください。
[Sense settings] をクリックします。
[OK] をクリックして決定します。
[OK] をクリックして変更内容を決定します。
[Sense
settings] コマンドで ProxyAV から設定を取得できた
場合、次のメッセージが表示されます。
d. [OK] をクリックします。
手順 7 ブラウザを更新して、
「検出」された a.
最大接続数を確認します。
b.
手順 8 変更した内容を保存します。
6 - 62
ブラウザの [refresh] ボタンをクリックします。
作成した応答サービスを編集して、 [Maximum number
of connections] に入力された値を見ます。
[OK] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
設定をチューニングする
マルウェアスキャンポリシーのチューニング
マルウェアスキャンポリシーのチューニング
マルウェアスキャンが有効にされると、脅威保護ポリシーが呼び出されます。
脅威保護ポリシー
に実装されたルールには、デフォルトまたは [Configuration] > [Threat Protection] > [Malware
Scanning] のマルウェアスキャンオプションで設定した選択のいずれかを使用します。
他のポリシーファイルとは異なり、脅威保護ポリシーファイルは [Policy] > [Policy Options] >
ただし、ローカルポリ
[Policy Options] の [Policy Evaluation Order] リストには表示されません。
シーファイルまたは VPM ポリシーでルールを作成し、設定されたデフォルトを補足または上書
きすることができます。
ローカルまたは VPM ポリシーで作成されたルールは、ポリシーファイ
ルの評価順序のために、
脅威保護ポリシーでの設定よりも優先されます。ProxySG のデフォルト
によって、ポリシーファイルは、脅威保護、VPM、ローカル、セントラル、
フォワードの順に評価さ
れます。
脅威保護ポリシーは VPM、
Local、Central, Forward ポリシーよりも前に評価されるので、このポ
リシーをビジネスニーズに適合させる柔軟性が提供されます。
たとえば、
マルウェアスキャン
モードが設定によって [Maximum protection] に設定されている場合でも、VPM でルールを作成
して内部ホスト / サブネットからのすべてのトラフィックが [High performance] モードを使用
してスキャンされるようにすることができます。または、
デフォルトのマルウェアスキャンモー
ドが [High performance] の場合は、
ソフトウェアダウンロードまたはスパイウェアソースなど
のコンテンツフィルタカテゴリの選択に属するサイトに対して VPM にルールを追加して
[Maximum protection] モードを呼び出すことができます。
次の例では、構成で設定されているマルウェアスキャンオプションを補足するために VPM で
ルールを作成する方法を示しています。
次の例では、
設定に最大限のセキュリティを使用してい
ます。VPM ルールによって、
脅威保護ポリシーで定義した高度なパフォーマンスルールを使用
して内部トラフィックのスキャンが可能になります。
マルウェアスキャンポリシーのチューニング
手順 1 ProxySG Management Console にロ
グインします。
手順 2 マルウェアのスキャンが有効にな a. [Configuration] > [Threat protection] > [Malware
り、[Maximum protection] に設定さ
Scanning] を選択します。
れていることを検証します。
b. [Enable malware scanning] チェックボックスがオン
になっていることを検証します。
c.
ProxySG および ProxyAV アプライアンスを統合する
[Protection level] が [Maximum protection] に設定さ
れているのを検証します。これは ProxySG と ProxyAV
とのすべての ICAP スキャンに適用されるグローバル
設定です。
6 - 63
マルウェアスキャンポリシーのチューニング
設定をチューニングする
マルウェアスキャンポリシーのチューニング
手順 3 ポリシーを作成して内部ホストから a.
のすべてのトラフィックを [High
performance] モードを使用してス b.
キャンします。この例では 10.0.0.0/8
サブネットが使用されています。
c.
[Configuration] > [Policy] > [Visual Policy Manager]
を選択します。
Visual Policy Manager が新
[Launch] をクリックします。
しいウィンドウに表示されます。
[Policy] > [Add Web Content Layer] を選択します。
d. [Action] カラムで右クリックし [Set] を選択します。
[Set
ダイアログ
ボックスが表示されます。
Action Object]
e.
[Set Action Object] ダイアログボックスで [New] >
[Set Malware Scanning] をクリックします。[Add
Malware Scanning Object] ダイアログが表示されます。
f.
[Perform high performance malware scan] を選択します。
g.
開いているすべて
[OK] をクリックして変更を保存し、
のダイアログを閉じます。
h. [Action] カラムで右クリックし [Set] を選択します。
[Set Destination Object] ダイアログボックスが表示さ
れます。
i.
[Destination IP Address/Subnet] を選択します。
[Set Destination IP/Subnet Object] ダイアログが表示さ
れます。
j.
内部ホストの IP アドレスとサブネットを追加し、
[Close]
をクリックします。
k.
開いているすべて
[OK] をクリックして変更を保存し、
のダイアログを閉じます。
l.
ポリシーをインストールします。
[Apply] をクリックして、
ポリシーのインストールが完了すると、
内部サブネット
10.0.0.0/8 からのすべてのトラフックが [High
performance] モードを使用してスキャンされます。
完了したルールを次に示します。
6 - 64
ProxySG および ProxyAV アプライアンスを統合する
設定をチューニングする
ユーザーベースの ICAP ポリシーを作成する
ユーザーベースの ICAP ポリシーを作成する
ICAP サービスは ProxySG と ProxyAV との間でトランザクションをセットアップするパラメータを定義
します。また、ICAP ポリシーを使用すると、指定したサービスやサービスグループを対象としたアクショ
ンを指定することができます。これらは個々のユーザー、ユーザーグループ、プロトコル等の属性に基づく
詳細ルールで、一般ルールに対する例外を設けることができます。たとえば、ほかのユーザーを対象にブ
ロックされたファイルタイプ (EXE ファイルなど ) を管理者がダウンロードすることを許容させたい場合
です。
ユーザーベースの ICAP ポリシーをセットアップするには、次の手順を実行します。
1.
ProxyAV を追加すると、ICAP 応答サービスが自動的に作成されます。すでに ProxyAV を追加してい
る場合は、ICAP 追うと鵜サービスが使用可能であるか検証します。
2.
マルウェアのスキャンを有効にして、[Action on unsuccessful scan] が [Deny the client request] に
設定されていることを検証します。
3.
Web ブラウザが開いたらユーザー資格情報を要求する Web 認証レイヤを作成します。
4.
ブロックされたファイルへのアクセスを一定のユーザーに許容し、
それ以外のユーザーについては否
定する認証ルールを内容とする Web アクセスレイヤを作成します。
注意これらの手順は、
すでに認証対象とするユーザーおよびグループを設定し (RADIUS、
LDAP、
Microsoft
これらのサーバーに接続するためのレルムを ProxySG
Active Directory その他の認証サーバーを使用 )、
で作成してあることを前提としています。
ICAP 応答サービスを作成する
最初のタスクは ICAP 応答サービスを作成することです。すでに作成済みかもしれません。
ICAP 応答サービスの作成
手順 1 ProxySG Management Console にロ
グインします。
手順 2 ICAP 応答サービスを作成します。「ページ 4-28 の " タスク 2: インパスの脅威を検出するため
ProxyAV を追加する "」を参照してください。
手順 3 マルウェアスキャンを有効にします。「ページ 4-30 の " タスク 3: マルウェアスキャンを有効にす
る "」を参照してください。
ICAP スキャンが失敗した場合のアクションが、クライア
ント要求を拒否するように設定されていること、
つまりス
キャンを完了できなければ要求が許容されないことを確
認します。
ここでデフォルトルールに対する例外を指定するポリ
シーを作成します。
ProxySG および ProxyAV アプライアンスを統合する
6 - 65
ユーザーベースの ICAP ポリシーを作成する
設定をチューニングする
Web 認証を有効にする
Web ブラウザを開いたときにユーザーに対してユーザー名とパスワードの入力を求めるプロンプトを表
示するには、Web 認証レイヤを作成する必要があります。
Web 認証を求めるルールの作成
手順 1 Visual Policy Manager はまだ開い
ている必要があります。
手順 2 Web 認証レイヤを作成します。
手順 3 認証アクションを設定します。
手順 4 認証に使用するレルム名を指定し
ます。
a.
[Policy] > [Web Authentication Layer] を選択します。
b.
指定された名前を受け入れるか、
レイヤに説明的な名
前を割り当てます。
c.
[OK] をクリックします。
a.
[Action] カラムを右クリックし、[Set] を選択します。
[Set Action Object] ダイアログが表示されます。
b.
[New] をクリックします。
c.
[Add Authenticate Object]
[Authenticate] を選択します。
ダイアログが表示されます。
a.
[Name] フィールドで、指定された名前を受け入れるか、
オブジェクトの説明的な名前を入力します。
b.
以前に設定した
[Realm] ドロップダウンリストから、
レルムの名前を選択します。
c.
再度 [OK] をクリックし、オブ
[OK] をクリックします。
ジェクトを追加します。
認証ルールを作成する
ブロックされたファイルタイプへのアクセスを許容するユーザー/ グループとアクセスを否定するユー
ザー/ グループを指定するルールを作成します。
ブロックされたファイルタイプへのアクセスを許可 / 拒否するルールの作成
手順 1 Visual Policy Manager はまだ開い
ている必要があります。
手順 2 Web アクセスレイヤを作成します。 a.
6 - 66
[Policy] > [Web Access Layer] を選択します。
b.
指定された名前を受け入れるか、
レイヤに説明的な名
前を割り当てます。
c.
[OK] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
ユーザーベースの ICAP ポリシーを作成する
設定をチューニングする
ブロックされたファイルタイプへのアクセスを許可 / 拒否するルールの作成
手順 3 ブロックされたファイルタイプへの a.
アクセスを許容するユーザーのユー
ザーオブジェクトを作成します。
b.
注意:ユーザーグループを作成済み、 c.
個々のユーザーではなくグループに
基づいてルールを作成するには、
d.
ユーザーオブジェクトではなくグ
ループオブジェクトを作成します。
グループ情報の指定を除いて、手順 e.
を右に進めます。
f.
手順 4 ICAP エラーコードに基づいてサー a.
ビスオブジェクトを作成します。
[Source] カラムを右クリックし、
[Set] を選択します。
[Set Source Object] ダイアログが表示されます。
[New] をクリックします。
[Add User Object] ダイアログが
[User] を選択します。
表示されます。
[User] フィールドにユーザー名を入力します。
注意 : ローカルレルムでは大文字と小文字を区別します。
以
[Authentication Realm] ドロップダウンリストから、
前に設定したレルムの名前を選択します。
再度 [OK] をクリックし、オブ
[OK] をクリックします。
ジェクトを追加します。
[Service] カラムを右クリックし、
[Set] を選択します。
[Set Service Object] ダイアログが表示されます。
b. [New] をクリックします。
c.
[Add ICAP Error Code
[ICAP Error Code] を選択します。
Object] ダイアログが表示されます。
d. [Selected Errors] を選択します。
e.
[Available Errors] のリストから、[File Type Blocked] を
選択します。
f.
[Add] をクリックします。
[File Type Blocked] が [Selected
Errors] リストに移動します。
g.
名前を
[Name] フィールドで、
[ICAPError_FileTypeBlocked] に変えます。
h. [OK] をクリックします。再度 [OK] をクリックし、オブ
ジェクトを追加します。
手順 5 このユーザーについては、
ブロック a.
されたファイルタイプへのアクセ
スを許容することを示します。
ProxySG および ProxyAV アプライアンスを統合する
[Action] カラムを右クリックし、[Allow] を選択します。
[Set Service Object] ダイアログが表示されます。次に示
すようなルールが作成されます。
6 - 67
ユーザーベースの ICAP ポリシーを作成する
設定をチューニングする
ブロックされたファイルタイプへのアクセスを許可 / 拒否するルールの作成
手順 6 同じ Web アクセスレイヤで、別の a.
ユーザー/ グループのルールを作成
します。このルールはユーザー/ グ b.
ループのアクセスを拒否します。
c.
新しいルール行が表示さ
[Add Rule] をクリックします。
れます。
[Service] カラムを右クリックし、[Set] を選択します。
[Set Service Object] ダイアログが表示されます。
既存のサービスオブジェクトから
[ICAPError_FileTypeBlocked] を選択します。
d. [OK] をクリックして、オブジェクトを追加します。次に
示すようなルールが作成されます。
デフォルトのアクションは [Deny] なので、すでに正しく設
定されています。
手順 7 アクセスを許容または拒否したい別上の手順にしたがって、Web アクセスレイヤに適切なルー
のユーザー/ グループを作成します。ルを作成します。
手順 8 ポリシー ( すべてのレイヤ ) をイン a.
ストールします。
b.
c.
手順 9 ポリシーをテストします。
[Install Policy] をクリックします。
[OK] をクリックします。
VPM ウィンドウを閉じます。
「許可」ルールが適用されるユーザーやブロックされたファ
イルタイプを含むアーカイブファイル (EXE ファイルを含
む ZIP ファイルなど ) をもつユーザーは、ブロックされた
ファイルタイプをポイントする URL にアクセスできます。
「拒否」ルールが適用されるユーザーがブロックされたファ
イルタイプへのアクセスを試みると、
次のような画面が表
示されます。
6 - 68
ProxySG および ProxyAV アプライアンスを統合する
要求変更 ICAP サービスを実装する
設定をチューニングする
要求変更 ICAP サービスを実装する
受信トラフィックを対象とした ICAP 応答変更は、
ウイルスからの保護に使用します。
発信トラフィック
を対象とした ICAP 要求変更は、大部分がデータ漏えい対策 (DLP) に使用します。
1.
要求変更するための ICAP サービスを ProxySG で作成します。
2.
発信トラフィックのデータ漏えい対策のため、ICAP 要求サービスのポリシーを作成します。
3.
ポリシーをテストします。
注意同じクライアント要求について、
配信元コンテンツサーバーに送信される前に要求変更が適用され、
オブジェクトデータが返るときに応答変更が適用されることが可能です。
ICAP 応答サービスを作成する
次の一般的手順を実行して、ICAP 要求変更サービスを作成します。
ICAP 要求変更サービスの作成
手順 1 ProxySG Management Console にロ
グインします。
手順 2 新しい ICAP サービスを作成します。 a.
[Configuration] > [External Services] > [ICAP] > [ICAP
Services] を選択します。
b. [New] をクリックします。
c.
サービスに説明的な名前を割り当てます。たとえば、
DLP とします。
サーバーリストに新しい ICAP
d. [OK] をクリックします。
オブジェクトが表示されます。
手順 3 新しいサービスを編集します。
a.
新しく追加した DLP サービスを選択し、[Edit] をクリッ
クしてサービスを編集します。
b. [Service URL] には、
ProxyAV の URL を入力します。
URL には、スキーム、ProxyAV のホスト名または IP ア
ドレス、ICAP サービス名が含まれます。たとえば、
icap://10.10.10.10/avscan です。
c.
ICAP メソッドとして、[request modification] を選択
します。
サービスのオ
d. 必要に応じてほかの設定を変更します。
プション設定についての詳細は、
ページ 6-59 の "ICAP
サービスを変更する " を参照してください。
e.
ProxySG および ProxyAV アプライアンスを統合する
ProxyAV がサポート
[Sense settings] をクリックして、
する最大 ICAP 接続数を自動検出します。
6 - 69
要求変更 ICAP サービスを実装する
設定をチューニングする
ICAP 要求ポリシーを作成する
ICAP 要求のポリシーを設定します。ICAP 要求モードは発信要求のスキャンに使用し、URL のフィルタリ
ング、ウイルススキャンやデータ漏えい対策を実行することができます。次の例では、ICAP 要求はすべて
の発信 HTTP、
HTTPS、
FTP 接続をスキャンし、
FTP サーバーにウイルスがアップロードされるのを防ぎます。
ICAP 要求ポリシーの設定
手順 1 Web アクセスレイヤを作成します。 a.
[Policy] > [Web Access Layer] を選択します。
b.
レイヤに説明的な名前 (DLP など ) を割り当てます。
c.
[OK] をクリックします。
手順 2 要求ポリシーの HTTP/HTTPS サー a.
ビスオブジェクトを作成します。
[Service] カラムを右クリックし、[Set] を選択します。[Set
Service Object] ダイアログが表示されます。
b.
[New] をクリックします。
c.
[Add Methods Object]
[Protocol Methods] を選択します。
ダイアログが表示されます。
d. プロトコルメソッドに [HTTP] と名前を付けて、
[Protocol]
リストから [HTTP/HTTPS] を選択します。
e.
[Common methods] セクションで、[POST] および [PUT]
チェックボックスをオンにして、
[OK] をクリックします。
手順 3 FTP サービスオブジェクトを作成 a.
します。
[Set Action Object] ダイアログで、[New] をクリックし
ます。
b.
[Add Methods] ダイ
[Protocol Methods] を選択します。
アログが表示されます。
c.
プロトコルメソッドに [FTP] と名前を付けて、
[Protocol]
リストから [FTP] を選択します。
d. [Commands that modify data] セクションで、
[STOR] チェッ
クボックスをオンにして、
[OK] をクリックします。
6 - 70
ProxySG および ProxyAV アプライアンスを統合する
要求変更 ICAP サービスを実装する
設定をチューニングする
ICAP 要求ポリシーの設定
手順 4 組み合わせ (HTTP と FTP) サービ a.
スオブジェクトを作成します。
[Set Action Object] ダイアログで、[New] をクリックし
ます。
b. [HTTP] オブジェクトを選択して、[Add] をクリックし
ます。
c.
[FTP] オブジェクトを選択して、
[Add] をクリックします。
d. [OK] をクリックします。
e.
手順 5 要求ポリシーのアクションを設定 a.
します。
[Combined Service] オブ
[OK] をもう一度クリックして、
ジェクトを [Web Access Layer] サービスとして設定し
ます。
[Action] カラムを右クリックしてから、[Set] を選択し
ます。
b. [New] をクリックし、
[Set ICAP Request Service] を選
択します。[Add ICAP Request Service Object] ダイアロ
グが表示されます。
c.
[DLP ICAP Request] サービスを選択し、[Add] をクリッ
クします。
d. [OK] をクリックします。
e.
[OK] をもう一度クリックします。
手順 6 ポリシー ( すべてのレイヤ ) をイン a. [Install Policy] をクリックします。
ストールします。
b. [OK] をクリックします。
c.
ProxySG および ProxyAV アプライアンスを統合する
VPM ウィンドウを閉じます。
6 - 71
要求変更 ICAP サービスを実装する
6 - 72
設定をチューニングする
ProxySG および ProxyAV アプライアンスを統合する
7
複数の ProxyAV アプライアンス間の
負荷分散
この章では、複数の ProxyAV アプライアンスを含む展開で、要求をスキャンする際に負荷分散を設定する
方法を説明します。このセクションで説明するトピックは次のとおりです。
S
ICAP サービスグループについて — ページ 7-74
S
ICAP サービスグループ内での重みを指定する — ページ 7-77
S
負荷分散ポリシーを作成する — ページ 7-78
ProxySG および ProxyAV アプライアンスを統合する
7 - 73
ICAP サービスグループについて
複数の ProxyAV アプライアンス間の負荷分散
ICAP サービスグループについて
ProxySG ICAP サービスとは、ProxyAV、
ICAP メソッドおよびサポートされた接続数を識別する名前付き
エンティティです。
サービスグループとは、ICAP サービスの名前付きセットです。大量のスキャン要求を処理
する複数の ProxyAV アプライアンスを使用してサービスグループを作成する必要があります ( 負荷分散 )。
凡例 :
A:AV1。最大 10 の接続があり、重みが 1 に指定されている ProxyAV。
B:AV2。最大 10 の接続があり、重みが 1 に指定されている ProxyAV。
C:AV3。最大 25 の接続があり、重みが 3 に指定されている ProxyAV。
D:AV_Reponse という名前で AV1、AV2 および AV3 で構成されるサービスグループを持
つ ProxySG。
図 7-1
3 台の ProxyAV ICAP サーバーで構成された ICAP サービスグループ。
複数の ProxyAV アプライアンスの同一の ICAP サービスグループをそれぞれが使用する複数の ProxySG
アプライアンスを使用する展開が可能です。
ProxySG がサービスグループ内で複数のサービスに要求を転送している場合に、スキャン要求の負荷を配
分し、分散するため、ProxySG ではインテリジェントな負荷分散アルゴリズムが使用されています。スキャ
ン要求を送信するサービスグループ内のサービスを決定する場合、このアルゴリズムでは次の要素が考慮
されます。
• 各サービスで「待機」状態にある要求の数 ( サービスに送信されて応答が受信されていないと、要求は
この状態になります )
• 各サービスで使用できるが使用されていない接続の数 ( サーバーの最大接続数からアクティブなトラ
ンザクションの数を引いて計算 )
• 各サーバーに対するユーザー指定の重み ( 次の「重み付け」を参照 )
7 - 74
ProxySG および ProxyAV アプライアンスを統合する
複数の ProxyAV アプライアンス間の負荷分散
ICAP サービスグループについて
重み付け
重み付けとは、ある ProxyAV の負荷とほかのものがの負荷との相対的割合を決定するものです。すべての
ProxyAV サーバーの重みがデフォルト (1) であるか、同じ重み付けがされていると、各サーバーは同じ比率
の負荷を共有します。1 つのサーバーの重みが 25 で、
その他すべてのサーバーの重みが 50 の場合、
重みが
25 のサーバーの処理量は、その他のサーバーの半分になります。
重みを設定する前に、各サーバーの容量を考慮してください。次のような要因が、ProxyAV に割り当てられ
る重みに影響を及ぼす可能性があります。
• ある ProxyAV が他の ProxyAV アプライアンスとの関係でもつ処理容量、( たとえば、CPU の数とパ
フォーマンス、またはネットワークインターフェースカードの数 )。
• サービスに設定された最大接続数。最大接続数の設定は、サーバーで同時に実行されるスキャン数に関
するものであるのに対して、重み付けは統合状態での処理能力に関するものです。これらの設定値は直
接的な関係はありませんが、重み付け負荷分散を設定する際には、両方とも考慮する必要があります。
注意外部サービス (ICAP、
Websense off-box) はヘルスチェック用に接続が予約されています。このことは
負荷が増大し、外部サービスへの接続数が最大に達すると、キューに登録される要求が追加されて待
機状態になり、最大同時接続数はほぼ限界に達することを意味します。
サービスグループのすべての ProxyAV サーバーが過負荷になる場合は、サービスに適切な重みを割り当
てることが大変重要です。
要求は重みに従ってキューに並ぶため、
サーバーが容量に達したときに適切な
重み付けがされていることが非常に重要です。
重み付けの割り当てを判断するテクニックの 1 つとして、グループの各サービスに同じ重みを設定し、
数
千回要求を行った後で、各サービスによって処理された要求の数を確認する方法があります。たとえば、グ
ループに 2 つのサービスがあるとします。サービス A は 1212 件の要求を処理し、サービス B は 2323 件を
処理しました。これらの数字は、2 番目のサービスは 1 番目のサービスの 2 倍強力だということを示してい
ます。この場合、サービス A の重みは 1 で、
サービス B の重みは 2 になるでしょう。
重みの値を 0 ( ゼロ ) に設定すると、ICAP サービスについて、重み付けされた負荷分散が無効になります。
このため、サーバー 2 つで構成されたグループの ProxyAV の 1 つの重みの値が 1 で、2 番目のサーバーの重
みの値が 0 の場合、1 番目の ProxyAV がダウンすると、2 番目の ProxyAV が要求を処理できないため、通信
エラーが発生します。
負荷分散
サービス間で負荷分散が行われている場合、どの ICAP サービスにスキャン要求を送信するかを ProxySG
はどのように判断するのでしょうか。各サービスについて、
待機中のトランザクションの数をサーバーの
重みで割ったインデックスが計算されます ( 待機数 / 重みと考えてください )。サービスに使用可能な接続
があると仮定すると、インデックスの値が最も低い ICAP サービスが新しい ICAP アクションを処理しま
す。そのサービスに使用できる接続がない場合、空き接続があり、次に低いインデックスの値を持つサービ
スに要求が送信されます。
すべてのサービスで最大接続制限に達するまで、設定された重みに従って、
負荷はサービス全体に均等に
分散されます。
ProxySG および ProxyAV アプライアンスを統合する
7 - 75
ICAP サービスグループについて
複数の ProxyAV アプライアンス間の負荷分散
例1
サービス A とサービス B は、同じサービスグループに属しています。
• サービス A は最大 50 の接続を処理でき、割り当てられた重みは 1 で、アクティブなトランザクション
が 17、
待機状態のトランザクションが 5 あります。
インデックスは、
待機数を重みで割って計算し、
5/1 = 5
となります。
• サービス B は最大 100 の接続を処理でき、割り当てられた重みは 2 で、アクティブな接続が 17、待機状
態のトランザクションが 15 あります。インデックスは 15/2 = 7.5 となります。
どのサービスでしょうか。
インデックスが低いサー
ProxySG が次の ICAP アクションを割り当てるのは、
ビス A に割り当てます。
例2
サービス C とサービス D は、同じサービスグループに属しています。
• サービス C は最大 5 の接続を処理でき、割り当てられた重みは 1 で、アクティブなトランザクションが 5、
待機状態のトランザクションが 1 あります。インデックスは 1/1 = 1 となります。
• サービス D は最大 10 の接続を処理でき、割り当てられた重みは 1 で、アクティブな接続が 7、待機状態
のトランザクションが 5 あります。インデックスは 5/1 = 5 となります。
ProxySG が次の ICAP アクションを割り当てるのは、どのサービスでしょうか。サービス C のインデック
スはサービス D より低いですが、使用可能な接続がありません。このため、ProxySG は次の ICAP アクショ
ンを複数の空き接続のあるサービス D に割り当てます。
7 - 76
ProxySG および ProxyAV アプライアンスを統合する
複数の ProxyAV アプライアンス間の負荷分散
ICAP サービスグループ内での重みを指定する
ICAP サービスグループ内での重みを指定する
ProxySG に ProxyAV アプライアンスを追加すると、自動的に ICAP サービスグループが 1 つ作成されま
す。たとえば、proxyav サービスグループは ProxySG で設定したすべての応答変更サービスを含みます。
負荷を分散するには、サービスグループ内の各サービスに重みを割り当てなければなりません。この指定
した重みによって、サービスグループ内で各 ProxyAV に向けられる要求の数が決まります。
ICAP サービスグループに重みを割り当てる
手順 1 ProxySG Management Console にロ
グインします。
手順 2 サービスグループを編集して、グ a. [Configuration]> [External Services] > [Service Groups]
ループの各サービスに重みを割り当
を選択します。
てます。
b. サービスグループを選択して、
[Edit] をクリックします。
[Edit Service Group] ダイアログが表示されます。
c.
サービスを選択して、
[Edit
[Edit] をクリックします。
Service Group Member] ダイアログが表示されます。
d. [Entry Weight] フィールドに割り当てる重みの値を入
力します。値の範囲は 0 ～ 255 です。
e.
グループの各サービスについて、手順 a と手順 b を繰り
返します。
f.
ダイアログを閉じます。
[OK] をクリックして、
g. 再度 [OK] をクリックして、[Edit Service Group Entry]
ダイアログを閉じます。
h. [Apply] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
7 - 77
複数の ProxyAV アプライアンス間の負荷分散
負荷分散ポリシーを作成する
負荷分散ポリシーを作成する
ICAP 応答負荷分散ポリシーは、基本的には標準的な ICAP 応答ポリシーと同じです。唯一の違いは、応答
サービスオブジェクトとして、サービスではなく、サービスグループを指定する点です。
ProxySG は、ICAP 負荷分散ポリシーを使用して、サービスグループの ProxyAV アプライアンスに ICAP
応答変更要求を送信します。グループ内の各 ProxyAV が負担する負荷は、
前のタスクで割り当てた
重み付けの値によって決まります。
負荷分散ポリシーを設定する
手順 1 ProxySG Management Console にロ
グインします。
手順 2 VPM を立ち上げます。
手順 3 Web コンテンツレイヤを作成し
ます。
a.
[Configuration] > [Policy] > [Visual Policy Manager]
を選択します。
b.
[Launch] をクリックします。
a.
[Policy] > [Web Content Layer] を選択します。
b.
レイヤに説明的な名前 (avcluster など ) を割り当てます。
c.
[OK] をクリックします。
手順 4 ルールのアクションを作成します。 a.
[Action] カラムを右クリックし、[Set] を選択します。
[Set Action Object] ダイアログが表示されます。
b.
[New] をクリックします。
c.
[Add ICAP
[Set ICAP Response Service] を選択します。
ダイアログが表示されます。
Response Service Object]
手順 5 応答サービスグループオブジェク a.
トを設定します。
b.
c.
サービスグループの [Secure ICAP mode] を選択します。
[Use ICAP response service] を選択します。
[Available services] リストで、応答サービスグループを
選択して、[Add] をクリックします。
d. [Deny the client request] を選択します。
手順 6 ポリシーをインストールします。
7 - 78
e.
再度 [OK] をクリックし、オブ
[OK] をクリックします。
ジェクトを追加します。
a.
[Install Policy] をクリックします。
b.
[OK] をクリックします。
c.
VPM ウィンドウを閉じます。
ProxySG および ProxyAV アプライアンスを統合する
8
ProxyAV フェールオーバーを設定する
この章では、2 つの ProxyAV アプライアンスを使用して、プライマリ ProxyAV がフェールした場合に冗長
性を提供する方法を説明します。このセクションで説明するトピックは次のとおりです。
S
ProxyAV フェールオーバーについて — ページ 8-80
S
ProxyAV フェイルオーバーポリシーを作成する — ページ 8-81
ProxySG および ProxyAV アプライアンスを統合する
8 - 79
ProxyAV フェールオーバーについて
ProxyAV フェールオーバーを設定する
ProxyAV フェールオーバーについて
フェールオーバーとは、プライマリアプライアンスがフェールした際に、冗長またはセコンダリアプライ
アンスに自動的に切り替える機能です。
ネットワークをマルウェアの脅威からつねに保護するために、
同
じサブネットに 2 つの ProxyAV アプライアンスを展開して、プライマリ ProxyAV がフェールした際に
ICAP の処理を第 2 のアプライアンスにフェールオーバーさせることができます。
ICAP ポリシーを作成する場合、使用する ICAP サーバーのリストを優先順に並べて指定できます。リスト
中の最初のサービスがヘルスチェックに合格しない場合、ProxySG はリストにある次のヘルシーなサービ
スを使用してスキャンを実行します。この代替 ProxyAV をスタンバイサーバーといいます。
次のヘルスチェックに成功すると、プライマリ ProxyAV によって ICAP の処理が再開されます。スタンバ
イ ProxyAV はプライマリの役割を保持しません。
注意
• フェールオーバーは、ICAP ポリシー定義の一部として設定されます。
• ProxySG に ICAP サービスが設定されるまで、フェールオーバーポリシーを設定することはできません。
• エラーを回避するために、ICAP サービス名を fail_open または fail_closed にすることはできません
(CLI コマンドによってこれらの名前が作成できないようになっています )。
8 - 80
ProxySG および ProxyAV アプライアンスを統合する
ProxyAV フェールオーバーを設定する
ProxyAV フェイルオーバーポリシーを作成する
ProxyAV フェイルオーバーポリシーを作成する
ProxyAV フェールオーバーポリシーは、2 つのサービスをポリシーに追加する ( 各 ProxyAV に 1 つずつ )
点を除いて、標準 ICAP 応答ポリシーと似ています。どちらの ProxyAV をプライマリサーバーとし、
どち
らをスタンバイサーバーとするかは、サービスを選択する順で決まるので、
プライマリを先に選択してく
ださい。ICAP フェールオーバーポリシーが、すべての ICAP スキャンにプライマリ ProxyAV を使用する
ように ProxySG に指示します。プライマリサーバーがフェールすると、そのサーバーが再びヘルシーにな
るまで ProxySG はスタンバイ ProxyAV をスキャンに使用します。
次の手順では、
各 ProxyAV にすでに ICAP サービスを作成してあることを前提としています。
ページ 4-28 の
" タスク 2: インパスの脅威を検出するため ProxyAV を追加する " を参照してください。サービスは同じタイ
プ ( 応答変更など ) でなければなりません。
ProxyAV フェールオーバーポリシーの設定
手順 1 ProxySG Management Console にロ
グインします。
手順 2 VPM を立ち上げます。
a.
[Configuration] > [Policy] > [Visual Policy Manager]
を選択します。
b. [Launch] をクリックします。
手順 3 Web コンテンツレイヤを作成し
ます。
a.
[Policy] > [Web Content Layer] を選択します。
b.
レイヤに説明的な名前 (avfailover など ) を割り当てます。
c.
[OK] をクリックします。
手順 4 ルールのアクションを作成します。 a.
[Action] カラムを右クリックし、[Set] を選択します。
[Set Action Object] ダイアログが表示されます。
b. [New] をクリックします。
c.
[Add ICAP
[Set ICAP Response Service] を選択します。
ダイアログが表示されます。
Response Service Object]
手順 5 応答サービスグループオブジェク a. [Use ICAP response service] を選択します。
トを設定します。
プライマリ ProxyAV サー
b. [Available services] リストで、
ビスを選択して、[Add] をクリックします。
c.
[Available services] リストで、セコンダリ ( スタンバイ )
ProxyAV サービスを選択して、
[Add] をクリックします。
d. [Deny the client request] を選択します。
手順 6 ポリシーをインストールします。
e.
再度 [OK] をクリックし、オブ
[OK] をクリックします。
ジェクトを追加します。
a.
[Install Policy] をクリックします。
b. [OK] をクリックします。
c.
ProxySG および ProxyAV アプライアンスを統合する
VPM ウィンドウを閉じます。
8 - 81
ProxyAV フェイルオーバーポリシーを作成する
8 - 82
ProxyAV フェールオーバーを設定する
ProxySG および ProxyAV アプライアンスを統合する
9
ベストプラクティスの設定
この章では、
スキャン性能を向上するための戦略を説明します。
このセクションで説明するトピックは次
のとおりです。
S
スキャンリソースを節約する — ページ 9-84
–
ソリューション A:ノースキャンポリシー—ページ 9-84 (遅延スキャンが有効になっていない場合
にのみ必要です )
–
ソリューション B: エラー発見までスキャンポリシー— ページ 9-87
S
PDF ドキュメントのベストプラクティス — ページ 9-89
S
取り消された接続の処理を避ける — ページ 9-89
ProxySG および ProxyAV アプライアンスを統合する
9 - 83
スキャンリソースを節約する
ベストプラクティスの設定
スキャンリソースを節約する
HTTP Web オブジェクトは非常に小さなサイズから大きなサイズまであり、スキャンした各オブジェクト
について、ProxyAV でスキャンリソース ( 接続 ) が使用されます。無限ストリームや低速ダウンロードと呼
ばれる一部のオブジェクトには、オブジェクトの終点がありません。たとえば、ストックティッカー( 証券
コード掲示板 ) は Web ブラウザを使用して HTTP で転送される無限データストリームです。
ProxyAV が一定時間に使用できる ICAP 接続数は限られているので、このタイプのデータをスキャンしよ
うとすると、エラーが返されるまで長い時間とかなりの ProxyAV リソースを消費する ( ほかのスキャンを
低速化させる可能性がある）可能性があります。継続が認められると、これらの転送は次の ICAP エラー
コードのどちらかで失敗します。
• 最大ファイルサイズを超過
• スキャンタイムアウト
ProxyAV のデフォルト設定では、ファイルサイズが 100MB を超えるか、スキャン時間が 800 秒を超える
と、このようなエラーをトリガします。これらの設定はほかのタイプの Web オブジェクトには適していま
すが、Web カメラやストックティッカーのような無限ストリームには効果がありません。システムリソー
スを節約し、無限ストリームをスキャンするのを防ぐには、次に示すソリューション A または B のどちら
かを選択します。
それぞれのソリューションはアプローチが異なるので、
一緒に使用することはできません。
ソリューション A: ノースキャンポリシー
ユーザーの満足度を高め、
問題を起こすことがわ
ProxyAV のパフォーマンスを最大限に発揮するために、
かっているデータストリームについてはスキャンをしないユーザーもいます。このポリシーには、
リスクは例外処理によって、
悪意あるコンテンツがス
ProxyAV の負荷が軽減するという利点があります。
キャンされないままウイルスが通り抜けるおそれがある点です。
注意「ページ 4-30 の“タスク 3: マルウェアスキャンを有効にする”
」で勧めたように、遅延スキャンを有効
にしてあれば、このポリシーは必要ありません。ProxyAV の遅延スキャン機能は、極端に大きなデー
タや低速ダウンロードのスキャンを防止します。
このポリシーは、過度に大きいか低速のダウンロードであることを示す要求 / 応答パターンに基づいてい
ます。このポリシーは ICAP 応答ルールが定義済みであることを前提としています。ストリーミングオブ
ジェクトや、スキャンすべきでないオブジェクトをスキャンしようとすると、
このポリシーのアクション
により (no) にリセットします。ポリシーはコンテンツの長さが示されていない非常に長いコンテンツやオ
ブジェクトを探します。
これらはこのオブジェクトが ProxyAV のリソースを独占する可能性があるサイ
ンです。ポリシーは一般的な無限ストリーミングメディアタイプのほか、スキャンに問題を引き起こすこ
とがわかっているユーザーエージェントも探します。ポリシーはさらに、無限ストリームを含むことがわ
かっているためスキャンすべきでない URL ドメイン (finance.google.com や youtube.com) も定義します。
9 - 84
ProxySG および ProxyAV アプライアンスを統合する
ベストプラクティスの設定
スキャンリソースを節約する
Blue Coat はこのポリシー向け Content Policy Language (CPL) を書いており、ファイルをダウンロードし
て、必要に応じてカスタマイズし、ProxySG にインストールすることができます。
低速ダウンロードを対象としたノースキャンポリシーのインストール
手順 1 CPL テキストファイルをダウンロー a.
ドします。
次のサイトに進みます。
http://techlabs.bluecoat.com/policy/icap_noscan.txt
またはこの手順を実行した後のテキストを参照します。
b. ファイルをデスクトップなどの使いやすい場所に保存
します。
c.
条件に合わせてポリシーを変更します。
たとえば、
無限
ストリームが含まれることがわかっている URL ドメ
インを追加することができます。
手順 2 ProxySG Management Console にロ
グインします。
手順 3 ポリシーファイルをインストールし a.
ます。
b.
c.
[Configuration] > [Policy] > [Policy Files] を選択します。
[Install Local File] ドロップダウンリストから、
[Text
Editor] を選択します。
ブラウザのウィンドウが
[Install] をクリックします。
「ローカルポリシーファイルの編集とインストール」
ページを表示します。
d. CPL ファイルを開いて、テキストをコピーします。
e. 「ローカルポリシーファイルの変更とインストール」
ページに戻り、
ファイルのコンテンツを ProxySG の
ローカルポリシーファイルの最後にペーストします。
f.
インストレーションが成功
[Install] をクリックします。
したかどうかを示すダイアログが表示されます。ファ
イルにエラーがあるときは必要に応じて修正してか
ら、再インストールします。
ノースキャンポリシー用 CPL
; -------------ICAP Best Practices---------------------------------------------;;; The actual ICAP respmod rule should already be defined, these actions will
;;; reset it back to (no) upon an attempt to scan a streaming object or an object
;;; that shouldn't be scanned
<cache>
delete_on_abandonment(yes)
<cache>
url.scheme=http condition=NOICAP response.icap_service(no)
<Proxy>
request.header.User-Agent="ProxyAV" patience_page(no)
;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
;; This condition will match if the content length is greater than
;; 99,999,999 bytes, or no content length is provided.Both of
;; these are signs that this may tie up a thread on the AV for too long.
ProxySG および ProxyAV アプライアンスを統合する
9 - 85
スキャンリソースを節約する
ベストプラクティスの設定
define condition NO_or_LARGE_CONTENT_LENGTH
response.header.Content-Length=!""
response.header.Content-Length=!"^[0-9]{1,8}$"
end condition NO_or_LARGE_CONTENT_LENGTH
;; Here are some common infinite stream media types, these will
;; also block some threads on the AV.
define condition MEDIA_MIME_TYPES
response.header.Content-Type="video/"
response.header.Content-Type="application/streamingmedia"
response.header.Content-Type="application/x-streamingmedia"
response.header.Content-Type="application/vnd.rn"
response.header.Content-Type="application/ogg"
response.header.Content-Type="application/x-ogg"
response.header.Content-Type="audio/"
response.header.Content-Type="multipart/x-mixed-replace"
end condition MEDIA_MIME_TYPES
;; None of these exist right now
define condition Missbehaving_Modern_UserAgents
; Add modern user-agents known to missbehave to this condition
; and remove the comment character (semicolon) before Rule 3 above.
;request.header.User-Agent=""
end condition Missbehaving_Modern_UserAgents
define condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH
condition=NO_or_LARGE_CONTENT_LENGTH condition=MEDIA_MIME_TYPES
end condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH
define condition UserAgents_with_NO_or_LARGE_CONTENT_LENGTH
condition=Missbehaving_Modern_UserAgents condition=NO_or_LARGE_CONTENT_LENGTH
end condition UserAgents_with_NO_or_LARGE_CONTENT_LENGTH
define condition MissBehaving_Old_UserAgents
request.header.User-Agent="Winamp"
request.header.User-Agent="NSPlayer"
request.header.User-Agent="RMA"
request.header.User-Agent="ultravox"
request.header.User-Agent="itunes"
request.header.User-Agent="forest"
request.header.User-Agent="Scottrader"
request.header.User-Agent="SVN"
end condition MissBehaving_Old_UserAgents
define condition HTTPv0.9_UserAgents
http.response.version=0.9 condition=MissBehaving_Old_UserAgents
end condition HTTPv0.9_UserAgents
define condition NOICAP
condition=VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH
condition=HTTPv0.9_UserAgents
condition=UserAgents_with_NO_or_LARGE_CONTENT_LENGTH
; Yahoos stock ticker problem -15sep06
url.domain=//streamerapi.finance.yahoo.com
url.domain=//stream.aol.com
url.domain=//finance.google.com
; Other streaming media exceptions
url.domain=//youtube.com
url.domain=//pandora.com
end condition NOICAP
; -------------End ICAP Best Practices-------------------------
9 - 86
ProxySG および ProxyAV アプライアンスを統合する
ベストプラクティスの設定
スキャンリソースを節約する
ソリューション B: エラー発見までスキャンポリシー
兆候を示すエラー ([Maximum file size exceeded] または [Scan timeout]) が発生するのを待ってから、デー
タストリームをスキャンせずに配信するのを待つ管理者もいます。
このアプローチでは、すべてのデータ
が確実に ProxyAV に送信されるので、スキャン量が最大となる可能性があります。
このアプローチの欠点は、無限データストリームに対するすべての要求が、ProxyAV で設定した最大ファ
イルサイズかスキャンタイムアウトに達しなければならない点です。このようなデータストリームに対
する同時要求が十分な数になると、要求キューはほかのトラフィックの速度を低下させるか遅延します。
このポリシー例は、エラーが [Maximum file size exceeded] または [Scan timeout] であればデータストリー
ムにとって有用ですが、
このほかのエラーは拒否します。
Blue Coat はこのポリシー向け CPL を書いており、
ファイルをダウンロードして、
必要に応じてカスタマイズし、
ProxySG にインストールすることができます。
低速ダウンロードを対象としたノースキャンポリシーのインストール
手順 1 CPL テキストファイルをダウンロー a.
ドします。
次のサイトに進みます。
http://techlabs.bluecoat.com/policy/icap_scan.txt
またはこの手順を実行した後のテキストを参照します。
b. ファイルをデスクトップなどの使いやすい場所に保存
します。
c.
[<resp_service>] を ICAP 応答サービス名に置き換え
ます。
d. 条件に合わせてポリシーを変更します。
手順 2 ProxySG Management Console にロ
グインします。
手順 3 ポリシーファイルをインストールし a. [Configuration] > [Policy] > [Policy Files] を選択します。
ます。
b. [Install Local File] ドロップダウンリストから、[Text
Editor] を選択します。
c.
ブラウザのウィンドウが
[Install] をクリックします。
「ローカルポリシーファイルの編集とインストール」
ページを表示します。
d. CPL ファイルを開いて、テキストをコピーします。
e. 「ローカルポリシーファイルの変更とインストール」
ページに戻り、
ファイルのコンテンツを ProxySG の
ローカルポリシーファイルの最後にペーストします。
f.
ProxySG および ProxyAV アプライアンスを統合する
インストレーションが成功
[Install] をクリックします。
したかどうかを示すダイアログが表示されます。ファ
イルにエラーがあるときは必要に応じて修正してか
ら、再インストールします。
9 - 87
スキャンリソースを節約する
ベストプラクティスの設定
エラー発見までスキャンポリシーのコード
; edit the <resp_service> below to be the name of your ICAP respmod service name
<cache>
response.icap_service(<resp_service>, fail_open)
<proxy>
condition=!maxfilesizeexceeded_or_scantimeout_errors exception(icap_error)
define condition maxfilesizeexceeded_or_scantimeout_errors_or_none
icap_error_code=max_file_size_exceeded
icap_error_code=scan_timeout
icap_error_code=none
end condition maxfilesizeexceeded_or_scantimeout_errors_or_none
9 - 88
ProxySG および ProxyAV アプライアンスを統合する
ベストプラクティスの設定
PDF ドキュメントのベストプラクティス
PDF ドキュメントのベストプラクティス
Adobe Acrobat ブラウザプラグインの一部バージョンでは、一定の PDF ドキュメントとやり取りする際
に、バイト範囲グループ数が非常に多い要求を行います。HTTP バイト範囲要求とは、オブジェクト内の
データの一部のみ要求する方法です。1 つの HTTP 要求でスタートバイトとストップバイトのオフセット
を使用して、リスト中の複数のバイト範囲を指定できます。
ProxyAV は 1 請求あたり最大 70 バイトの範囲までサポートします。範囲が 70 バイトより少ない要求の場
合、オブジェクトデータは配信元サーバーから取得して、通常通りスキャンします。オブジェクト全体がす
でにキャッシュに格納されている場合、
各バイト範囲をキャッシュに格納されたデータから抜き出して、
配信します。ただし、要求の範囲が 70 バイトを超える場合、
ProxySG はキャッシュからはデータを提供で
きず、
配信元サーバーからデータを取得して再スキャンしなければなりません。
一部の Acrobat プラグインでは、このような 70+ バイト範囲の取得中に ProxySG のお詫びページの動作を
ハンドルできず、空の画面を表示します。このような Acrobat プラグインは、お詫びページの操作も含め
て、これ以外のすべての要求に対して正常に動作します。
通常、
この問題は Acrobat プラグインをアップグレードすることで解決します。ただし、アップグレードで
きない場合や特定の PDF ファイルでこの動作が続けてトリガされる場合は、お詫びページではなく、タイ
プが異なる ICAP フィードバック、
つまりデータトリックルを使用することができます。デフォルトの
特定のドメインから PDF オブジェクトのデータト
ICAP フィードバックを変更する必要はありません。
リックルを指定できます。次のポリシー例では、Blue Coat のサイトからの PDF オブジェクトのデータト
リックルを有効にします。
<proxy>
url.domain=bluecoat.com url.extension=(pdf) response.icap_feedback.interactive(trickle_start,5)
ダウンロードの終わりにデータトリックルする場合は、
「trickle_end」を使用します。
取り消された接続の処理を避ける
注意次のポリシーは「ページ 84 の " ソリューション A: ノースキャンポリシー"」に記載しています。
ノー
スキャンポリシーをインストールしている場合は、この手順をスキップします。
HTTP 要求がキャッシュに格納できると見られる場合、ProxySG は要求しているクライアントが接続を中
止してもダウンロードを完了します。これで ProxySG はオブジェクトのキャッシュに格納されている方
を、将来の要求のために保存することができます。ただし、低速ダウンロードの場合、この動作によって各
クライアント要求がスキャンのため別のインスタンスをキューに追加する可能性があります。
一定のクライアント側アプリケーションについては、
CPL プロパティの「delete_on_abandonment」を有
効にして、アプリケーションが切断された後も要求の処理を継続するのを避けることができます。
注意お詫びページが有効になっている場合、
「Delete_on_abandonment」は働きません。データトリックル
か、ICAP フィードバックなしの場合のみ使用することができます。
次のポリシー例では、既知の積極的なクライアントについて、
重複する要求がキューに追加されるのを防
ぎます。
<cache>
request.header.User-Agent="Winamp" delete_on_abandonment(yes)
次のコードを使用して、
すべてのクライアントを対象に「enable delete_on_abandonment」を有効にする
こともできます。
<proxy>
delete_on_abandonment(yes)
ProxySG および ProxyAV アプライアンスを統合する
9 - 89
PDF ドキュメントのベストプラクティス
9 - 90
ベストプラクティスの設定
ProxySG および ProxyAV アプライアンスを統合する
10 トラブルシューティング
この章では、ProxySG と ProxyAV を統合する際に生ずる可能性がある問題のソリューションを示します。
このセクションで説明するトピックは次のとおりです。
S
ProxyAV が Web トラフィックをスキャンしていない — ページ 10-92
S
ユーザーが Web サイトにまったくアクセスできない — ページ 10-93
S
トラフィック負荷が大きいとき、ProxySG がメモリを使い切る — ページ 10-96
S
スキャンが長くかかりすぎる — ページ 10-96
S
ProxyAV がウイルスの更新をしない — ページ 10-97
ProxySG および ProxyAV アプライアンスを統合する
10 - 91
ProxyAV が Web トラフィックをスキャンしていない
トラブルシューティング
ProxyAV が Web トラフィックをスキャンしていない
現象：ProxyAV のホームページに、スキャンしているファイルが一切表示されない。[Advanced> History
接続、バイトを一切表示しない。
Stats] ページがこの 1 時間 ( その他の直近の時間 ) の ICAP オブジェクト、
ProxySG の [Statistics > ICAP] ページがこの 1 時間 ( その他の直近の時間 ) の要求、接続、バイトを一切表
示しない。
解決策 :ProxyAV が Web トラフィックをスキャンしていない場合、設定エラーが原因で ProxySG が
ProxyAV にトラフィックを送信できない可能性があります。再確認が必要な項目をいくつか示します。
• ICAP サービスを ProxySG で作成しましか？(ページ 4-28 の "タスク 2:インパスの脅威を検出するため
ProxyAV を追加する " を参照してください。)
• ICAP サービスでは ProxyAV の正しい URL を指定していますか？URL は ProxyAV で指定したもの
と同じウイルス対策サービス名を含んでいますか？ウイルス対策サービス名をデフォルト ([avscan])
から変更した場合、これと同じ名前を ProxySG の ICAP サービスでも Service URL の一部として含め
なければなりません。Service URL は次のようになるはずです。
• ICAP サービスのポリシーを作成しましたか？(ページ 4-30 の "タスク 3:マルウェアスキャンを有効に
する " を参照してください。)
10 - 92
ProxySG および ProxyAV アプライアンスを統合する
トラブルシューティング
ユーザーが Web サイトにまったくアクセスできない
ユーザーが Web サイトにまったくアクセスできない
現象：ユーザー全員が目的の Web サイトにアクセスしようとすると、Web ブラウザが拒否メッセージを表
示する。
解決策 1:ProxyAV がダウンし、ICAP ポリシーが [Deny the client request] に設定されている場合、ICAP
処理中にエラーが発生するとユーザーはインターネットをブラウズすることができなくなり、すべての要
求が拒否されます。したがって、ProxyAV をセットアップする前に、ProxySG で ICAP ポリシーを作成する
と、ユーザーは Web アクセスができなくなります。したがって、ICAP ポリシーをインストールする前に、
ProxyAV を起動して実行状態にすることが大切です。
ProxyAV がダウンした場合に Web アクセスができずサポートに連絡するのを避けるため、ICAP ポリシー
を [Continue without further ICAP response processing] に変更することが可能です。
この設定では、
がダウンしてもユーザーはインターネットをブラウズすることができます。
ただし、
ProxyAV
ProxyAV の
ダウンタイム中、ネットワークが開放してウイルスがダウンロードされる可能性があります。( ただしデス
クトップのウイルススキャナがマルウェアに対して多少保護してくれる可能性もあります。)
ProxySG および ProxyAV アプライアンスを統合する
10 - 93
ユーザーが Web サイトにまったくアクセスできない
トラブルシューティング
解決策 2: この問題は、ICAP サービス、ProxyAV、ICAP ポリシーの間でセキュア ICAP 設定に一貫性がない
ことが原因で発生する可能性もあります。HTTPS にセキュア ICAP を使用するには、これら 3 つのすべて
で有効にする必要があります。次の一連のスクリーンショットに、ユーザーがセキュアな Web サイト ( セ
キュア ICAP でスキャン ) とセキュアでない Web サイト ( プレーン ICAP でスキャン ) をブラウズできる
ようにする適切な設定を示します。
図 10-1
ProxyAV で有効にしたセキュアな ICAP
図 10-2
ICAP サービスで有効化したセキュア ICAP (ProxySG で設定 )
図 10-3
ICAP 応答サービス向けポリシーで有効化したセキュア ICAP (VPM で設定 )
解決策 3: この問題はセキュア ICAP の SSL 設定が誤っているため発生する可能性があります。次の手順を
実行します。
1.
ProxyAV アプライアンス証明書 ([Advanced > SSL Certificates]) をコピーします。
2.
ProxyAV アプライアンス証明書を CA 証明書として ProxySG にインポートします ([Configuration] >
[SSL] >[CA Certificates] > [Import])。
3.
セキュア ICAP だけを対象として新しい CA 証明書リストを作成し、手順 2 で作成した ProxyAV CA
証明書を追加します ([Configuration] > [SSL] > [CA Certificates] > [CA Certificate Lists] > [New])。
10 - 94
ProxySG および ProxyAV アプライアンスを統合する
トラブルシューティング
ユーザーが Web サイトにまったくアクセスできない
4.
セキュア ICAP の新しい SSL デバイスプロファイルを作成します。手順 3 で作成したデフォルトキー
リングと CCL を選択します ([Configuration] > [SSL] > [Device Profiles] > [New])。
5.
手順 4 で作成した SSL デバイスプロファイルを使用するように ICAP サービスを設定します
([Configuration] > [External Services] > [ICAP] > [Edit])。
解決策 4: ウイルス対策ライセンスが無効か有効期間を経過しています。ProxyAV でのウイルス対策ライセ
ンスの状態を確認するには、[Antivirus] をクリックします。
ProxySG および ProxyAV アプライアンスを統合する
10 - 95
トラフィック負荷が大きいとき、
ProxySG がメモリを使い切る
トラブルシューティング
トラフィック負荷が大きいとき、ProxySG がメモリを使
い切る
現象：ProxySG が応答しなくなり、再起動が必要になる。
解決策:この問題のもっとも一般的な原因は、
ICAP サービスについて、
[Maximum number of connections] の
設定値が大きすぎることです。
値が大きすぎる場合、ICAP 接続がキューに追加され始め、最終的には
ProxySG がメモリを使い切ってしまうため再起動が必要になります。ICAP サービスを編集する際には、
ProxySG に ProxyAV から適切な設定を取得させます。
Blue Coat は
[Sense settings] ボタンを使用して、
[Maximum number of connections] の値を手動では編集しないことをお勧めします。
[Sense settings] 機
能が決める適切な値を使用します。
1 つの ProxyAV に ICAP 要求を送信する ProxySG が 2 つある場合、[Maximum number of connections]
にあまり大きな値を設定しないように注意することも必要です。[Sense settings] ボタンで最大接続数が
10 となった場合は、この値を 2 で割って、それぞれの ProxySG に設定値として入力します。
スキャンが長くかかりすぎる
現象：ユーザーから Web のブラウズが遅いと苦情がある
解決策 : 遅延スキャンの最大の原因は、ProxyAV が無限ストリームのウイルススキャンを試みていること
です。
この問題を避けるため、Blue Coat は「ベストプラクティス」の章で説明するポリシーを実装するこ
とをお勧めします。詳細は、
「ページ 9-84 の " スキャンリソースを節約する "」を参照してください。
10 - 96
ProxySG および ProxyAV アプライアンスを統合する
トラブルシューティング
ProxyAV がウイルスの更新をしない
ProxyAV がウイルスの更新をしない
現象：ネットワーク管理者がウイルス対策の更新に失敗したという電子メール通知を受け取る。
解決策 1:DNS サーバーが一時的にダウンしたなどのネットワーク上の問題で、
ウイルスの更新ができな
かった可能性があります。強制更新を試してください：
解決策 2: 各ウイルス対策ベンダーは、ウイルスの一部 ( または説明 ) をかならず含むパターンファイルの
更新を行います。一般にウイルスのこれらの部分はエンコードされ、非常に小さいため、ほかの AV ベン
ダーに真正のウイルスであると誤解されることはありません。ただし、偽陽性が発生することがあります。
これは次のポリシー例が示すように ( このポリシーは ProxySG にあるほかのすべての ICAP ポリシーの後
に置きます ) ウイルスパターン更新場所を、スキャン対象から除外することで防止できます。
<cache>
url.host=download.bluecoat.com response.icap_service(no)
url.host=av-download.bluecoat.com response.icap_service(no)
ProxySG および ProxyAV アプライアンスを統合する
10 - 97
ProxyAV がウイルスの更新をしない
10 - 98
トラブルシューティング
ProxySG および ProxyAV アプライアンスを統合する

Download Report