Blue Coat® Systems 統合ガイド ProxySG および ProxyAV アプ ライアンスを統合する SGOS 5.5 以降および AVOS 3.2 以降 連絡先 米国 : Blue Coat Systems Inc. 410 North Mary Ave Sunnyvale, CA 94085-4121 世界のその他の地域 : Blue Coat Systems International SARL 3a Route des Arsenaux 1700 Fribourg, Switzerland http://www.bluecoat.com/support/contactsupport http://www.bluecoat.com ドキュメントに関するご質問やフィードバックの送付先: [email protected] Copyright© 1999-2011 Blue Coat Systems, Inc. All rights reserved worldwide. No part of this document may be reproduced by any means nor modified, decompiled, disassembled, published or distributed, in whole or in part, or translated to any electronic medium or other means without the written consent of Blue Coat Systems, Inc. All right, title and interest in and to the Software and documentation are and shall remain the exclusive property of Blue Coat Systems, Inc. and its licensors. ProxyAV™, ProxyOne™, CacheOS™, SGOS™, SG™, Spyware Interceptor™, Scope™, ProxyRA Connector™, ProxyRA Manager™, Remote Access™and MACH5™are trademarks of Blue Coat Systems, Inc. and CacheFlow®, Blue Coat®, Accelerating The Internet®, ProxySG®, WinProxy®, PacketShaper®, PacketShaper Xpress®, PolicyCenter®, PacketWise®, AccessNow®, Ositis®, Powering Internet Management®, The Ultimate Internet Sharing Solution®, Cerberian®, Permeo®, Permeo Technologies, Inc.®, and the Cerberian and Permeo logos are registered trademarks of Blue Coat Systems, Inc. All other trademarks contained in this document and in the Software are the property of their respective owners. BLUE COAT SYSTEMS, INC. AND BLUE COAT SYSTEMS INTERNATIONAL SARL (COLLECTIVELY “BLUE COAT”) DISCLAIM ALL WARRANTIES, CONDITIONS OR OTHER TERMS, EXPRESS OR IMPLIED, STATUTORY OR OTHERWISE, ON SOFTWARE AND DOCUMENTATION FURNISHED HEREUNDER INCLUDING WITHOUT LIMITATION THE WARRANTIES OF DESIGN, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL BLUE COAT, ITS SUPPLIERS OR ITS LICENSORS BE LIABLE FOR ANY DAMAGES, WHETHER ARISING IN TORT, CONTRACT OR ANY OTHER LEGAL THEORY EVEN IF BLUE COAT SYSTEMS, INC. HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. America’s: Blue Coat Systems, Inc. 410 N. Mary Ave. Sunnyvale, CA 94085 Rest of the World: Blue Coat Systems International SARL 3a Route des Arsenaux 1700 Fribourg, Switzerland 文書番号 :231-03086-ja_JP 文書の改訂版 :11/2012 ii 目次 目次 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1 明記されている目的. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1 対象ユーザー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1 サポートしている Blue Coat デバイスとオペレーティング システム. . . . . . . . . . . . . . . . . . . . 1-1 ハードウェア プラットフォーム. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-1 ソフトウェアのバージョン : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2 章の参照. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1-2 ProxySG と ProxyAV とを統合する利点 . . . . . . . . . . . . . . . . . . . . . . . . 2-3 Web マルウェアについて. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4 マルウェアのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-4 Blue Coat 脅威保護ソリューション. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-5 サポートしているマルウェア スキャン エンジン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-8 ProxySG と ProxyAV との通信. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2-8 展開 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-11 インターネットへの直接アクセスが可能な ProxySG/ProxyAV . . . . . . . . . . . . . . . . . . . . . . . 3-12 クローズドなネットワークでの ProxySG/ProxyAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-13 展開のガイドライン. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-14 単一の ProxySG と単一の ProxyAV . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-15 冗長アプライアンス トポロジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-16 展開ワークフロー. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-18 ProxySG の設定とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-18 ProxyAV の設定とインストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3-20 ProxySG および ProxyAV アプライアンスを設定する . . . . . . . . . . . . . 4-23 タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する . . . . . . . . . . . . . . 4-24 タスク 2: インパスの脅威を検出するため ProxyAV を追加する . . . . . . . . . . . . . . . . . . . . . . . 4-28 タスク 3: マルウェア スキャンを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-30 タスク 4:ProxyAV スキャンとポリシーを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-31 タスク 5: 脅威保護ポリシーのテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4-34 ICAP スキャンの監視 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-37 ICAP グラフと統計情報を ProxySG に表示する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-38 ICAP グラフを ProxySG に表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-39 ICAP 統計情報データの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-41 ProxySG および ProxyAV アプライアンスを統合する iii 目次 ProxySG の ICAP 有効セッションを監視する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-42 アクティブな ICAP 対応セッションの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-42 ProxyAV で統計情報を表示する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-45 Blue Coat Reporter でマルウェア対策レポートを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . 5-47 設定をチューニングする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-49 ユーザー エクスペリエンスの向上 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-50 お詫びページについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-50 データ トリックルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-50 遅延スキャンについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-52 ICAP フィードバックを設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-53 遅延スキャンを有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-54 警告を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-55 警告のタイプを選択する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-56 電子メールによる通知を設定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-58 ICAP サービスを変更する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-59 マルウェア スキャン ポリシーのチューニング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-63 ユーザー ベースの ICAP ポリシーを作成する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-65 ICAP 応答サービスを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-65 Web 認証を有効にする . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-66 認証ルールを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-66 要求変更 ICAP サービスを実装する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-69 ICAP 応答サービスを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-69 ICAP 要求ポリシーを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6-70 複数の ProxyAV アプライアンス間の負荷分散 . . . . . . . . . . . . . . . . . . . 7-73 ICAP サービス グループについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-74 重み付け . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-75 負荷分散 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-75 ICAP サービス グループ内での重みを指定する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-77 負荷分散ポリシーを作成する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7-78 ProxyAV フェールオーバーを設定する . . . . . . . . . . . . . . . . . . . . . . . . 8-79 ProxyAV フェールオーバーについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-80 ProxyAV フェイルオーバー ポリシーを作成する. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8-81 ベスト プラクティスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-83 スキャン リソースを節約する . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-84 ソリューション A: ノースキャン ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-84 ソリューション B: エラー発見までスキャン ポリシー . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-87 PDF ドキュメントのベスト プラクティス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-89 取り消された接続の処理を避ける . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9-89 iv ProxySG および ProxyAV アプライアンスを統合する 目次 トラブルシューティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-91 ProxyAV が Web トラフィックをスキャンしていない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-92 ユーザーが Web サイトにまったくアクセスできない. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-93 トラフィック負荷が大きいとき、ProxySG がメモリを使い切る . . . . . . . . . . . . . . . . . . . . . . 10-96 スキャンが長くかかりすぎる. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-96 ProxyAV がウイルスの更新をしない . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10-97 ProxySG および ProxyAV アプライアンスを統合する v 目次 vi ProxySG および ProxyAV アプライアンスを統合する 1 はじめに 明記されている目的 Blue Coat の ProxyAV および ProxySG アプライアンスは、連携して一体性の高い脅威保護ソリューション を 提 供 し ま す。こ の ド キ ュ メ ン ト で は、マ ル ウ ェ ア の 脅 威 に 関 す る 概 念 情 報、展 開 の ガ イ ド ラ イ ン、 この統合的ソリュー ProxyAV と ProxySG が互いに通信できるようにするための設定手順を示します。 ションを展開する際に考慮すべきベスト プラクティスも示します。 この統合ガイドで説明する内容は、個別の製品を対象としたガイドを補足するものです。 各製品の詳しい 内容や使用方法は、状況依存のオンライン ヘルプか次のようなガイドを参照してください。 • Blue Coat ProxyAV 設定および管理ガイド ( バージョン 3.2.4.x 以降 ) • Blue Coat SGOS 管理ガイド ( バージョン 5.5 以降 ) • 製品のインストレーションまたはクイック スタート ガイド これらのマニュアルは下記 URL の BlueTouch Online で入手可能です : https://support.bluecoat.com/documentation 対象ユーザー このドキュメントの対象ユーザーは Blue Coat の脅威保護ソリューションを理解しようとする現在および 将来のお客様です。ネットワークでの ProxySG と ProxyAV の統合に役立つ設定情報を記載しています。 このドキュメントは、基本的なネットワークの概念や用語に関する知識がある方を想定しています。Blue Coat 製品に多少慣れていることも望ましいのですが、前提条件ではありません。 サポートしている Blue Coat デバイスとオペレーティン グ システム このドキュメントの制作時点で、 統合ガイドは次のような Blue Coat 製品と ソフトウェア リリースをカ バーしています。 ハードウェア プラットフォーム ProxySG のモデル :SG210、 SG300、SG510、SG600、 SG810、SG8100、SG9000 のモデル ProxyAV :AV210、AV510、AV810、 AV1200、AV1400、AV2400 ProxySG および ProxyAV アプライアンスを統合する 1-1 はじめに ソフトウェアのバージョン : このガイドでは、ProxySG にインストールされているソフトウェアのバージョンが SGOS 5.5 以降である こと、 また ProxyAV が AVOS 3.2 以降であることを想定しています。ICAP 監視や ProxySG でのビルトイン 脅威保護ポリシーの使用など、一部の機能は以前のバージョンでは使用することができません。 このド キュメントをお持ちの方でソフトウェアが上記のものより新しいバージョンである場合、該当リリースに 関するリリース ノートでこのドキュメントに収載していない新しい機能について確認してください。 コンセプトや機能が特定の AVOS や SGOS リリースと互換性がない場合、 このドキュメント中に記載します。 章の参照 このドキュメントは AV ソリューションを実装する前にすべてお読みになることが必要な構成となってい ます。 冗長性を必要としない展開については、第 7 章と第 8 章をスキップしても構いません。 このドキュメントは、次の章で構成されています。 第 1 章:はじめに 第 2 章:Blue Coat ウイルス対策ソリューションの利点 第 3 章:展開トポロジ 第 4 章:ProxySG および ProxyAV アプライアンスを設定する 第 5 章:ICAP スキャンの監視 第 6 章:追加設定 第 7 章:複数の ProxyAV アプライアンス間の負荷分散 第 8 章:ProxyAV フェールオーバーを設定する 第 9 章:ベスト プラクティスの設定 第 10 章:トラブルシューティング 1-2 ProxySG および ProxyAV アプライアンスを統合する 2 ProxySG と ProxyAV とを統合する利点 この章では、マルウェアの概念情報を示し、統合 Blue Coat 脅威保護ソリューションを使用する利点を説明 します。 このセクションで説明するトピックは次のとおりです。 S Web マルウェアについて — ページ 2-4 S Blue Coat 脅威保護ソリューション — ページ 2-5 ProxySG および ProxyAV アプライアンスを統合する 2-3 Web マルウェアについて ProxySG と ProxyAV とを統合する利点 Web マルウェアについて ProxyAV の AV はウイルス対策の略語ですが、ProxyAV はウイルスをスキャンする以外にはるかに多くの 機能を備えています。これらのアプライアンスは、 ゲートウェイ レベルで高度なマルウェア検出機能を提 供します。ProxyAV はウイルス、ワーム、トロイの木馬、スパイウェアを検出、ブロックすることでネット ワーク全体の脅威となる許可されていないチャンネルのセキュリティを確保します。大多数のマルウェア は、2 つの経路、つまりポピュラーで信頼された Web サイトでの隠されたダウンロードと、ソーシャル ネッ トワーキング、ピアツーピア (P2P)、Web メールを通じたマルウェアの配布によって拡散します。ProxyAV を ProxySG を統合することによって、Blue Coat ソリューションはマルウェアに対する階層的防護を提 供します。ProxyAV はマルウェアの脅威に対する保護機能をもち、ProxySG は詳細な Web コンテンツ管理 機能をもちます。さらに、設計上互換性をもち、テスト、 製造された 2 つのアプライアンスがあります。 マルウェアはどの程度深刻な問題なのでしょうか?昨年だけでマルウェアは 5 倍に増加し、その 90% は信 頼されたサイトからのものです。 Google が Web ベースのマルウェアの拡散について最近行った調査による と、 検査を行った URL の 10% でマルウェア バイナリを自動的にインストールするのに成功したことがわか りました。 ハッカーはつねに新たな攻撃方法を作り出しています。 このような不正な手段では、 正当な業務目 的に許容されることが一般的な Web やセキュアな Web アクセスが利用されます。 悪意ある Web の爆発的増 加によって、 企業はネットワークの修復や生産性の損失に対して、 年間数百万ドルを支出しています。 マルウェアのタイプ マルウェアとは、情報に基づいた所有者の同意なしにコンピュータ システムに侵入したり損害を与えたり するソフトウェアと定義されています。しばしば既知のドメインに対するユーザーの信頼をピギーバック することにより、ユーザーに知られることなく、Web ページからダウンロードされます。 次のテーブルに一般的なマルウェアのタイプを示します。 マルウェア 説明 アドウェア コンピュータに広告を自動的に表示するソフトウェア バックドア 検出されない状態を維持しようとしながら、通常の認証をバイパスしたり、コン ピュータへのリモート アクセスを確保したり、またプレーンテキストへのアク セスなどを可能にする方法 ダウンローダー 悪意あるソフトウェアをダウンロードし、インストールするプログラム MMC モバイル マリシャス コードリモート システムから取得され、ネットワークを介 して転送されてから、 ユーザーの非透過的インストレーションによることなく ローカル システムにダウンロード、実行されるソフトウェア。 Web サイトの訪 問、 メール、 添付ファイルのある電子メールを介して配布されます。 Web MMC には、スクリプト、Java アプレット、ActiveX、Flash アニメーション、Shockwave ムービー、Microsoft Office ドキュメントに埋め込まれたマクロなどの例があり ます。 ランサムウェア データを読み取れないフォーマットに暗号化してから、復号キーと交換に金銭 の支払い ( 身代金 ) を要求するソフトウェア 2-4 ProxySG および ProxyAV アプライアンスを統合する ProxySG と ProxyAV とを統合する利点 Web マルウェアについて マルウェア 説明 ルートキット システム所有者および正当な管理者の承認を得ずに、コンピュータ システムの 基本的な制御を取得するプログラムです。 ルートという用語は UNIX の「ルート」アクセスという Windows の管理者のア クセス権限に相当する用語に由来します。 スパイウェア ユーザーの同意を得ることなく、 コンピュータとのユーザーの操作をインター セプトまはた部分的に制御するためこっそりとコンピュータにインストールさ れたソフトウェア トロイの木馬 一見好ましい機能を実行するように見えて、 実際は秘密裏に悪意ある機能を実 行するソフトウェアです。ワームやウイルスは、トロイの木馬である可能性があ ります。 ウイルス 自分自身を既存のプログラムに添付し、自らを複製してユーザーの許可や認識 されることなくコンピュータに感染するプログラム ワーム ネットワークを利用して、ユーザーの操作を介さずに自分自身の複製をほかの ノードに送信する自己増殖型コンピュータ プログラムです。ウイルスとは異な り、既存プログラムに自分を添付する必要がありません。 Blue Coat 脅威保護ソリューション Blue Coat 脅威保護ソリューションは、ネットワークでの Web トラフィック、インバウンド ( 応答 ) および アウトバウンド ( 要求 ) の管理に必要なインテリジェンスとコントロールを提供します。このソリューショ ンは性能を向上し、信頼性、エラー/ 例外のハンドリングとレポートを統合した高機能 ICAP + バージョン を使用します。 このソリューションは Web コンテンツを解析して、 ウイルス、 マルウェア、スパイウェアがキャッシュに 格納される前に検出する強力なスキャン サーバー (ProxyAV) を統合したプロキシ / キャッシュ デバイス (ProxySG) の利点を活用して、ネットワークへのマルウェアの侵入を防止します。 図 2-1 脅威に対する保護のため ProxyAV と統合した ProxySG ProxySG および ProxyAV アプライアンスを統合する 2-5 Web マルウェアについて ProxySG と ProxyAV とを統合する利点 インパスでの脅威を検出する ProxyAV と、Blue Coat WebFilter および WebPulse サービスを提供する ProxySG が隠されたマルウェアを検出し、 Web コンテンツの解析結果をリアルタイムで提供する URL フィルタリング データベースと Web ベースのコミュニティ監視サービスを構成します。 統合アプライアンスを使用すると、 新たなマルウェアの脅威からもネットワークを保護します。ProxyAV は ProxySG アーキテクチャと連携するように設計されているので、ProxySG は ProxyAV スキャンの結果 を監視し、ウイルスやマルウェアが新たに検出されたら WebPulse サービスに事前に通知します。この通知 によって、Blue Coat WebFilter データベースの更新がトリガされるので、企業、そしてクラウドのすべての メンバが新たな脅威から保護されます。 さらに、 ただちに保護を実行するビルトイン マルウェア スキャン ポリシーを提 ProxySG は追加設定不要で、 供します。 このポリシーはアプライアンスを統合すると呼び出され、 マルウェア スキャンが有効になります。 会社に関わるセキュリティ ポリシーに対するコンプライアンスを徹底するために、 カスタム ポリシー ルー ルを補足または実装する場合、ProxySG のポリシー エンジンを使用して、ネットワークのコンテンツ、ユー ザー、アプリケーションおよびプロトコルをコントロールする詳細ポリシーを作成することができます。 次の図には、Blue Coat ソリューションのハイレベルでのデータ フローを示します。 2-6 ProxySG および ProxyAV アプライアンスを統合する ProxySG と ProxyAV とを統合する利点 図 2-2 Web マルウェアについて インバウンド Web トラフィックのデータ フローおよびコンテンツ配信プロセス ProxySG および ProxyAV アプライアンスを統合する 2-7 Web マルウェアについて ProxySG と ProxyAV とを統合する利点 サポートしているマルウェア スキャン エンジン ProxyAV がサポートする次のようなマルウェア スキャン エンジンから選ぶことができます。 • Kaspersky • McAfee • Sophos • Symantec (AVOS 3.4.1.1 で導入 ) • Trend Micro (AVOS 3.3.1.1 で導入 ) • Panda お客様のベンダーのエンジン ライセンスの期間満了が近づいた場合、Blue Coat ではライセンスを更新す るか、 別のベンダーのエンジン ライセンスを取得することができます。 ProxySG と ProxyAV との通信 Blue Coat の ProxySG および ProxyAV アプライアンスは Internet Content Adaptation Protocol (ICAP) を 使用して通信します。ICAP は、HTTP ベースのコンテンツをコンテンツ エンジンから ICAP サーバーに送 信してウイルス スキャンなどの付加価値サービスを実行できるようにするためのオープン標準プロトコ ルです。 ProxySG は ICAP クライアント、 ProxyAV は ICAP サーバーです。 ProxySG はスキャンが必要な Web コン テンツを ProxyAV に送信します。ProxyAV はコンテンツをフィルタリングし、適合してから、ProxySG に 返します。スキャン済みのコンテンツは、コンテンツを要求したユーザーに対して表示され、ProxySG の キャッシュに格納されます。 オブジェクトがキャッシュに格納されると、オブジェクトのコンテンツまたは AV データベースが変更さ れるまで、再びスキャンされることはありません。AV データベース とは、ウイルス対策ソフトウェアがウ イルスを識別するためのパターン ファイルです。新しいデータベースには、新たに生じたマルウェアの脅 威に対応する更新内容が含まれる場合があるので、ProxyAV はデータベースが変更されるごとにキャッ シュに格納されている要求されたオブジェクトすべての再スキャンを実行する必要があります。 キャッシュに格納できないオブジェクトについては、ProxyAV はオブジェクトをスキャンして、 ファイル のコンテンツのセキュア ハッシュである指紋を作成します。 はファイルの指紋を、 オブジェクト ProxyAV のスキャンによって構築された指紋データベースと照合します。オブジェクトの指紋が変更されるか ( コ ンテンツが変更されたことを示します )、AV データベースが変更されない限り、 オブジェクトが再びス キャンされることはありません。 ひんぱんにアクセスされる Web コンテンツについては、 この統合ソリューションはキャッシュからオブ ジェクトを配信してネットワークの脅威を解消し、帯域幅の使用率と待機時間を軽減します。 2-8 ProxySG および ProxyAV アプライアンスを統合する ProxySG と ProxyAV とを統合する利点 Web マルウェアについて コンテンツのスキャン モードについて ProxyAV は応答変更と要求変更の 2 種類のモードでコンテンツをスキャンできます。 応答変更サービス Web でのマルウェアの展開の大部分が応答変更サービス(RESPMOD) を使用します。 は、インバウンド クライアント要求を解析します。 つまり、 配信元コンテンツ サーバーからフェッチされ た応答は、悪意あるコンテンツを含まないかスキャンしてから、 そのコンテンツを要求したユーザーに配 信します。コンテンツがクリーン(また企業方針でも許容可能)であることが検証されれば、クライアントは その Web オブジェクト (Web ページの構成要素 ) を受信します。マルウェア スキャンの結果、悪意あるコン テンツが検出されたときは、応答を検疫し、オブジェクトはキャッシュに格納されず、イベントはログ記録 し、クライアントはウイルスが見つかったというメッセージを受信します。 応答変更サービス (REQMOD) は一般に、ユーザーが Gmail や HotMail サーバーといったファイル サー バーに投稿する前に、アウトバウンド Web 要求や Web メールの添付ファイルをスキャンするために使用 します。 要求変更サービスは、主として企業内でのデータ漏えい防止に使用します。 ProxySG および ProxyAV アプライアンスを統合する 2-9 Web マルウェアについて 2 - 10 ProxySG と ProxyAV とを統合する利点 ProxySG および ProxyAV アプライアンスを統合する 3 展開 この章では、ネットワークに ProxySG および ProxyAV アプライアンスを導入するための展開トポロジを いくつか示します。 注意 :ProxySG は非透過的モードまたは透過的モードで展開できます。非透過的モードでは、各クライアン ト Web ブラウザは、プロキシ サーバーとして ProxySG を使用するように非透過的に設定されます。透過的 モードでは、クライアント Web ブラウザは配信元コンテンツ サーバーではないマシンがトラフィックを 処理していることを知りません。透過ポリシーでは、トラフィックを ProxySG にリダイレクトするのに、ブ リッジ、 Layer-4 スイッチまたは Web Cache Communication Protocol (WCCP) を使用する必要があります。 この章では、ネットワークにアプライアンスを物理的にインストールするためのハイレベル ガイドライン とワークフローも記載し、次のようなトピックで構成されています。 S インターネットへの直接アクセスが可能な ProxySG/ProxyAV— ページ 3-12 S クローズドなネットワークでの ProxySG/ProxyAV— ページ 3-13 S 展開のガイドライン — ページ 3-14 S 冗長アプライアンス トポロジ — ページ 3-16 S 展開ワークフロー — ページ 3-18 ProxySG および ProxyAV アプライアンスを統合する 3 - 11 インターネットへの直接アクセスが可能な ProxySG/ProxyAV 展開 インターネットへの直接アクセスが可能な ProxySG/ProxyAV 大部分の企業では、インターネットへの直接アクセスが可能な状態で ProxySG と ProxyAV を展開します。 アプライアンスはさまざまな組み合わせ、たとえば単一の ProxySG と単一の ProxyAV、単一の ProxySG と 複数の ProxyAV アプライアンス、複数の ProxySG アプライアンスと単一の ProxyAV、複数の ProxySG ア プライアンスと複数の ProxyAV アプライアンスなどで展開することができます。 複数の ProxySG は、 ProxyAV アプライアンス間で負荷分散 Web スキャンを実行したり、プライマリ ProxyAV アプライアンス がオフラインになった場合に一連の ProxyAV アプライアンスをフェールオーバーとして指定することが できます。 Blue Coat のセールス エンジニアが協力して、お客様の会社に適した規模を判定します。 次の図に the ProxySG with ProxyAV アーキテクチャと連携した ProxySG を示します。 図 3-1 更新のためインターネットへの直接アクセスを許容した Blue Coat アプライアンスの展開 どの Blue Coat アプライアンスでも、設定とポリシーの変更には、管理者 PC を使用します。 3 - 12 ProxySG および ProxyAV アプライアンスを統合する クローズドなネットワークでの ProxySG/ProxyAV 展開 クローズドなネットワークでの ProxySG/ProxyAV セキュリティを高度化するため、デバイスがインターネットに直接アクセスするのを認めないネットワー ク アーキテクチャ (とくに政府や軍関係)もあります。次の図にクローズドなネットワーク トポグラフィー を示します。 : 凡例 : 1: 最新の AV アプライアンス ファームウェア更新ファイルを取得します。 2: 最新の AV ベンダー パターン ファイルを取得します。スクリプトを使用して、ファイルを準備します ( 絶対リンクを削除するなど )。 3: AV アプライアンスに接続された内部サーバーにファイルをコピーします。 4: サーバー (HTTP/URL) から更新ファイルを取得するように、AV アプライアンスを設定します。 図 3-2 クローズドなネットワークで展開された Blue Coat アプライアンス ProxySG および ProxyAV アプライアンスを統合する 3 - 13 展開のガイドライン 展開 展開のガイドライン 次の展開ガイドラインを考慮して Blue Coat アプライアンスのインストレーション計画を立てる際には、 ください。 • Blue Coat では、複数の ProxySG アプライアンスが複数の ProxyAV で負荷分散されている場合でも、 すべての ProxySG アプライアンスを ProxyAV アプライアンスと同じサブネットに置くことをお勧め します。ProxyAV をカリフォルニアに設置して ProxySG をニューヨークに設置することもできます が、パフォーマンスが低下します。 最適なパフォーマンスを実現するには、 ICAP サーバーと アプライ アンスをローカルの物理的に近い位置に配置する必要があります。 Blue Coat では、ICAP サーバーを 次ホップの VLAN に置くことをお勧めします。 • ProxyAV をインストールする前に、ネットワークに ProxySG をインストールして、ネットワークでト ラフィックをインターセプトしていることを確認します。 • ProxyAV はシステムとパターン ファイルを更新するために、インターネットにアクセスできなければな りません。クローズドなネットワークでは、これらのファイルをインターネットにアクセス可能なシス テムからダウンロードしてから、AV アプライアンスに接続した内部サーバーにコピーすることが必 要です。ProxyAV はこのサーバーから更新ファイルを取得するように設定しなければなりません。 ク ローズドなネットワークのトポグラフィーについては、 ページ 3-13 の「クローズドなネットワークでの ProxySG/ProxyAV」を参照してください。 クローズドなネットワークでは、ProxyAV は ProxySG を使用して、パターン ファイルとファームウェ ア更新をダウンロードすることがでます。ProxySG をパターン ファイルとファームウェア更新をダウ ンロードするためのプロキシとして使用するには、かならず ProxySG の IP アドレス を ProxyAV Management Console の [Network] > [Proxy Servers for Updates] リンクに追加してください。 3 - 14 ProxySG および ProxyAV アプライアンスを統合する 単一の ProxySG と単一の ProxyAV 展開 単一の ProxySG と単一の ProxyAV この基本的展開では、単一の ProxySG と単一の ProxyAV があり、 小企業やネットワーク セグメントに適 しています。 図 3-3 単一の ProxySG と単一の ProxyAV この展開は設定がもっとも簡単で、冗長アプライアンスの購入が不要なので、 もっとも安価に展開可能で す。ただし、 冗長性がないので、この展開には次のような限界があります。 • ProxyAV がダウンすると、Web マルウェアをスキャンしません。ProxySG で実装するポリシーによっ ては、 ProxyAV がフェールすると、ユーザーはスキャンしていないコンテンツを受信したり、コンテン ツを配信できないという通知を受信することになります。 • ProxyAV が対応できないほど ICAP 要求を受けると、ICAP スキャンの負荷が分散されません。 • ProxySG がダウンしてもフェールオーバーしません。 ProxySG および ProxyAV アプライアンスを統合する 3 - 15 冗長アプライアンス トポロジ 展開 冗長アプライアンス トポロジ 大規模な企業では、ネットワーク内に冗長性、つまり複数の ProxySG アプライアンスや複数の ProxyAV ア プライアンスが必要です。冗長アプライアンスでは、単一 ProxyAV/ 単一 ProxySG の展開での制限事項に 対応できます。ProxySG アプライアンスは、複数の ProxyAV アプライアンス間で負荷分散 Web スキャンを 実行したり、プライマリ ProxyAV がオフラインになった場合に一連の ProxyAV アプライアンスをフェー ルオーバーとして指定することができます。同様に、プライマリ ProxySG がダウンした場合にセカンダリ ProxySG アプライアンスをフェールオーバーとして設定したり、ネットワーク内のプロキシ サポートを強 化することができます。 冗長トポロジには次のようなオプションがあります。 • 複数の ProxyAV アプライアンスと単一の ProxySG。これは Blue Coat 統合展開でもっとも一般的な冗 長トポロジです。設定の詳細については、ページ 7-73 の「複数の ProxyAV アプライアンス間の負荷分 散」と ページ 8-79 の「ProxyAV フェールオーバーを設定する」を参照してください。 • 複数の ProxySG アプライアンスと単一の ProxyAV • 複数の ProxySG アプライアンスと複数の ProxyAV アプライアンス。 冗長トポロジの図 ProxySG と ProxyAV アプライアンスには、さまざまな容量があります。Blue Coat は展開するアプライア ンスの適切な組み合わせを判定するのに利用するため、サイジング情報を提供します。 以下の図に上のリストに示した冗長トポロジ オプションを示します。 図 3-4 3 - 16 単一の ProxySG と複数の ProxyAV アプライアンス ProxySG および ProxyAV アプライアンスを統合する 展開 冗長アプライアンス トポロジ ProxyAV アプライアンスを冗長化させずに ProxySG フェールオーバーが必要な企業は、次のタイプのト ポロジを使用できます。 図 3-5 複数の ProxySG と単一の ProxyAV 数百人から数千人のユーザーがいる企業では、効果的なスキャン性能とフェールオーバー機能を連携して 発揮する複数の ProxySG と ProxyAV デバイスの処理能力が必要です。 . 図 3-6 複数の ProxySG アプライアンスと複数の ProxyAV アプライアンス。 『SGOS 管理ガイド ( フェールオーバーの設定 )』を参照し ProxySG でのフェールオーバー設定については、 てください。 ProxySG および ProxyAV アプライアンスを統合する 3 - 17 展開ワークフロー 展開 展開ワークフロー このセクションでは、ProxySG および ProxyAV アプライアンスをインストールし、基本的な設定を行うハ イレベルな手順を説明します。ProxyAV のインストールに進む前に、ネットワークで ProxySG をインス トールして、セキュアな Web ゲートウェイとして機能していることを確認してください。詳細は、ハード ウェア プラットフォームのクイック スタート ガイドを参照してください。 ProxySG の設定とインストール 次に示すのは、ProxySG の初期設定と物理的インストレーションを行うハイレベルの手順です。 ProxySG の設定とインストール 手順 1 ProxySG をラック マウントし、アプ 具体的な手順は、 『ProxySG クイック スタート ガイド』を参 ライアンスをネットワークに接続し 照してください。 ます。 手順 2 基本のネットワーク設定で ProxySG シリアル コンソール接続で、初期設定ウィザードを実行し を設定します。 ます。具体的な手順は、 『ProxySG クイック スタート ガイ ド』を参照してください。 手順 3 ProxySG を登録およびライセンスし ProxySG を登録およびライセンスする手順を次に示します。 ます。 a. Web ブラウザを開いて、次のサイトに移動します。 ProxySG は出荷時に仮 (60 日 ) ライ センスが付属しています。この期間 b. 中は、いつでもアプライアンスを登 c. 録することができます。 手順 4 ProxySG Management Console にロ a. グインします。 b. 3 - 18 https://support.bluecoat.com/licensing BlueTouch Online 資格情報を入力します。 指示にしたがって、アプライアンスを登録し、ライセン スをダウンロードします。 Web ブラウザを開きます。 ProxySG に割り当てた IP アドレスに続いて、ポート番 号「8082」を入力します。例を示します。 https://192.0.2.2:8082 ProxySG および ProxyAV アプライアンスを統合する 展開 展開ワークフロー ProxySG の設定とインストール 手順 5 設定が成功したことを確認します。 Management Console で a. [Statistics] > [Summary] > [Efficiency] を選択します。 設定した各インターフェースが起動していることを確 認します。 b. [Device] タブをクリックします。 DNS サーバーその他 の外部デバイスへの接続性を確認します。 c. ProxySG のヘルス状態がグリーン (OK) であるのを確 認します。 手順 6 サービスをインターセプトに設定し a. て、こ の ト ラ フ ィ ッ ク を 許 可 す る ルールを Web アクセス レイヤに追 加します。 こ の 例 は ポ ー ト「8080」の 非 透 過 HTTP をインターセプトし、このト ラフィックを許可するルールを作成 します。 [Configuration] > [Services] > [Proxy Services] を選択 します。 b. Visual Policy Manager ([Configuration] > [Policy] > [Visual [Explicit HTTP] Policy Manager] > [Launch]) を開いて、 サービス名を許可する Web アクセス レイヤを作成し ます。 c. ProxySG および ProxyAV アプライアンスを統合する ポリシーをインストールします。 3 - 19 展開ワークフロー 展開 ProxySG の設定とインストール 手順 7 ProxySG がネットワーク トラ a. フィックをシークしていることを確 認します。 トラフィックを実行しているクライアントがあること を確認します。 注意 : ブラウザは非透過的または透過的に ProxySG ア プライアンスにリダイレクトされなければなりません。 b. [Statistics] > [Sessions] > [Active Sessions] を選択し ます。 c. [Proxied Sessions] テーブル [Show] をクリックします。 が現在のトラフィックのアクティブ セッションをリス ト表示します。 手順 8 必要に応じて、SGOS 5.5. にアップグ [Maintenance] > [Upgrade] を選択します。 レードします。 詳しくは、 『 SGOS 管理ガイド』を参照してください。 この『統合ガイド』では、ProxySG が (ProxySG のメンテナンス ) SGOS 5.5. を実行していると想定し ています。 ProxyAV の設定とインストール 次に示すのは、 ProxyAV の初期設定と物理的インストレーションを行うハイレベルの手順です。ProxyAV のインストレーションは、ProxySG のインストール後に行ってください。 ProxyAV の設定とインストール 『ProxyAV クイック スタート ガイド』を 手順 1 ProxyAV をラック マウントし、使用 具体的な手順は、 しているモデルに応じてディスク 参照してください。 ドライブに入れて、アプライアンス をネットワークに接続してから ProxyAV の電源を入れてください。 手順 2 基本のネットワーク設定で ProxyAV シリアル コンソール接続か、ProxyAV フロント パネルのボ を設定します。 タンを使用してください。具体的な手順は、 『ProxyAV ク イック スタート ガイド』を参照してください。 注意 ProxySG と ProxyAV が同じサブネットにインストー ルされていることを確認してください。 3 - 20 ProxySG および ProxyAV アプライアンスを統合する 展開 展開ワークフロー ProxyAV の設定とインストール 手順 3 ProxyAV Management Console にロ a. Web ブラウザを開きます。 グインします。 b. ProxyAV に割り当てた IP アドレスに続いて、ポート番 号「8082」を入力します。例を示します。 https://192.0.2.3:8082 手順 4 アプライアンスでライセンスを認証 a. [Licensing] を選択します。 します。 b. [Register] をクリックします。 c. WebPower ( または BlueTouch Online)資格情報を入力 します。 d. Blue Coat から受信した電子メールの認証コードを入力 します。 e. [Register ProxyAV] をクリックします。 手順 5 購入した AV ベンダーがアクティブ a. [Antivirus] を選択します。 化したことを確認してから、 最新の b. ライセンスが認証されたことを確認します。 パターン ファイルを入手します。 手順 6 必要に応じて、 AVOS 3.2. にアップグ a. レードします。 [Firmware Update] を選択します。 こ の『統 合 ガ イ ド』で は、 ProxyAV が AVOS 3.2. を実行していると想定 しています。 ProxySG および ProxyAV アプライアンスを統合する 3 - 21 展開ワークフロー 3 - 22 展開 ProxySG および ProxyAV アプライアンスを統合する 4 ProxySG および ProxyAV アプライア ンスを設定する この章では、ProxySG と ProxyAV を統合して Web マルウェア スキャンを実行するのに必要な設定手順を 示します。展開トポロジについて、 またアプライアンスを実際にネットワークにインストールするハイレ ベル ガイドラインとワークフローについては、 「ページ 3-11 の“展開”」を参照してください。 注意 もっとも一般的な展開は受信データおよびダウンロード ( ユーザーの要求に対する応答 ) をスキャン するもので、応答変更サービスが必要です。このセクションでは、RESPMOD サービスでマルウェア スキャンを行うタスクを説明します。 次のタスクを実行して、Blue Coat の脅威保護ソリューションを実装します。 S タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する — ページ 4-24 プレーン ICAP を使用する場合は、この手順をスキップしてください。 S タスク 2: インパスの脅威を検出するため ProxyAV を追加する — ページ 4-28 S タスク 3: マルウェア スキャンを有効にする — ページ 4-30 S タスク 4:ProxyAV スキャンとポリシーを設定する — ページ 4-31 S タスク 5: 脅威保護ポリシーのテスト — ページ 4-34 ProxySG および ProxyAV アプライアンスを統合する 4 - 23 タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する ProxySG および ProxyAV アプライアンスを設定する タスク 1:( オプション ) セキュア ICAP のためアプライア ンスを準備する 重要なデータや機密データをスキャンする場合、 セキュア ICAP の使用をお勧めします。 セキュ Blue Coat は、 ア ICAP は SSL 暗号化 ICAP で ProxySG では SSL ライセンスが必要です。 ProxyAV と ProxySG との間でのセ キュア ICAP 接続の有効化は、 ProxySG および ProxyAV の両方で設定が必要な 2 段階のプロセスです。 セキュア ICAP を使用するには、ProxySG で SSL デバイス プロファイルを選択しなければなりません。SSL デバイス プロファイルには、秘密キーのあるキーリングの名前と証明書など、デバイス認証に必要が情報 が含まれています。 ProxyAV では、キー ペアと対応するアプライアンス証明書を含むキーリングを使用しなければなりませ ん。ProxyAV は出荷時に自己署名した証明書と自動生成されたキー ペアを含むデフォルト キーリングが 含まれています。 デフォルトのキーリングをセキュア ICAP に使用するか、よく知られた Certificate Signing Authority (CSA) で署名したキーリングをインポートすることができます。 ProxySG と ProxyAV との間でセキュアな ICAP 通信を行うためには、次のタスクを実行しなければなりま せん。 • ProxyAV で ProxyAV アプライアンス証明書をコピーします。 • ProxySG での手順 : – ProxyAV アプライアンス証明書を Certificate Authority (CA) 証明書として ProxySG にインポー トします。 – セキュア ICAP に使用する新しい CA Certificate List (CCL) を作成して、新しく作成した ProxyAV CA 証明書をこれに追加します。 – セキュア ICAP に使用する新しい SSL デバイス プロファイルを作成して、デフォルトのキーリン グと、セキュア ICAP に使用するため作成した CCL を選択します。 – 上の手順で作成した SSL デバイス プロファイルを使用するように、ICAP サービスを設定します。 4 - 24 ProxySG および ProxyAV アプライアンスを統合する ProxySG および ProxyAV アプライアンスを設定する タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する 上のタスクを実行する手順を次に示します。 セキュア ICAP のためアプライアンスを準備する 手順 1 ProxyAV Management Console にロ a. Web ブラウザを開きます。 グインします。 b. ProxyAV に割り当てた IP アドレスに続いて、ポート番 号「8082」を入力します。例を示します。 https://192.0.2.3:8082 手順 2 ProxyAV と ProxySG とのセキュア ProxyAV での手順 : ICAP 接続に使用するポートと SSL a. [ICAP Settings] を選択します。 キーリングを割り当てます。 b. [ICAP Server Ports] 領域で、[secure] を選択します。 注意 : セキュア ICAP を使用するに は、ProxySG でもセキュア ICAP を 選択しなければなりません。 タスク 2: インパスの脅威を検出するため ProxyAV を追加する を参照してく c. ださい。 大部分の展開では、デフォルト ポート (11344) を使用で きます。ポートを変更するには、ICAP スキャンを行う ために ProxySG を設定した際と同じポートを指定する 必要があります。 ドロップダウン リストから使用できるキーリングを選 択します。ProxyAV にはデフォルトのキーリンぐがあ ります。 ProxyAV でデフォルトのキーリングを選択し た場合は、手順 3 に進みます。 注意 : カスタム キーリングを作成またはインポートする 場合、ProxyAV の [Advanced] > [SSL Keyrings] に進 みます。 d. [Save Changes] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する 4 - 25 タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する ProxySG および ProxyAV アプライアンスを設定する セキュア ICAP のためアプライアンスを準備する 手順 3 ProxyAV と ProxySG との間で信頼 デフォルト SSL デバイス プロファイルを使用した場合に は、ProxyAV からデフォルト SSL 証明書を ProxySG にコ を有効にします。 ピーしなければなりません。 ProxyAV での手順 : a. [Advanced] > [SSL Certificates] を選択します。 b. デフォルトの証明書のコンテンツをコピーします。 まず --- BEGIN CERTIFICATE で始めて、--- END CERTIFICATE--- で終わります。 ProxySG での手順 : a. [Configuration] > [SSL] > [CA Certificates] > [CA Certificates] を選択します。 b. [Import CA Certificate] ダ [Import] をクリックします。 イアログが表示されます。 c. 新しい名前を追加して、デフォルト証明書のコンテン ツを [CA Certificate PEM] 領域にペーストします。この 例では、証明書の名前は AV_Default です。 d. [OK] をクリックしてから、[Apply] をクリックします。 e. [Configuration] > [SSL] > [CA Certificates] > [CA Certificate Lists] を選択します。 4 - 26 f. [Create CA Certificate List] ダ [New] をクリックします。 イアログが表示されます。 g. 新しい名前を追加して、上の手順「c」で追加した証明書 をリストから選択します。 ProxySG および ProxyAV アプライアンスを統合する ProxySG および ProxyAV アプライアンスを設定する タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備する セキュア ICAP のためアプライアンスを準備する h. [Add] をクリックします。これで AV_Default 証明書が CCL に添付されました。 i. [Configuration] > [SSL] > [Device Profiles] を選択します。 j. 新しい SSL デバイス プロファ [New] をクリックして、 イルを作成します。 上の手順「g」で追加した CCL を k. 新しい名前を指定して、 選択します。 l. [OK] をクリックします。 m. [Apply] をクリックして変更内容を保存します。 ProxySG および ProxyAV アプライアンスを統合する 4 - 27 タスク 2: インパスの脅威を検出するため ProxyAV を追加する ProxySG および ProxyAV アプライアンスを設定する タスク 2: インパスの脅威を検出するため ProxyAV を追加 する ProxySG はユーザーにコンテンツが配信される前に、配信元 Web サーバーからフェッチされた Web 応答を ProxyAV にリダイレクトします。この通信を行えるようにするために、ProxySG は ProxyAV (ICAP サーバー ) との ICAP クライアントとして通信するように設定する必要があります。 ProxyAV を ProxySG に追加すると、ICAP サービスが自動的に作成されます。たとえば、最初 それは [proxyav] サービス グルー に設定された ProxyAV にはサービス名 [proxyav1] が付けられ、 プのメンバです。その後追加したそれぞれの ProxyAV は自動的にサービス グループ [proxyav] のメンバとしてリストされ、応答変更を実行するように設定されます。 インパス脅威を検出するため ProxyAV を追加するには、次のタスクを実行します。 • ProxyAV を ProxySG に追加します。 • アプライアンスが通信を行っていることを検証します。 ProxyAV を追加 ProxySG 手順 1 ProxySG Management Console にロ a. グインします。 b. 手順 2 ProxyAV アプライアンスを追加し ます。 Web ブラウザを開きます。 ProxySG に割り当てた IP アドレスに続いて、ポート番 号「8082」を入力します。例を示します。 https://192.0.2.2:8082 a. [Configuration] > [Threat Protection] > [Malware Scanning] を選択します。 b. [Add ProxyAV Appliance] ダイア [New] を選択します。 ログが表示されます。 c. ホスト名または ProxyAV の IP ア [Host] フィールドに、 ドレスを入力します。 使用できるのは IPv4 アドレスの みです。 デフォルトは、 ポー d. 接続モードとポートを選択します。 ト「1344」の プレーン ICAP です。 セキュア ICAP の場合、デフォルトのセキュア ICAP ポートは「11344」です。前のタスクで ProxyAV を設定 する際にポートを変更した場合は、 同じポート番号を 指定しなければなりません。 4 - 28 e. ICAP サービス用の SSL デバイス プロファイルを選択 し ま す。詳 細 は、 「タ ス ク 1:( オ プ シ ョ ン ) セ キ ュ ア のためアプライアンスを準備する」 を参照して ICAP ください。 f. 開いているダイアロ [OK] をクリックして変更を保存し、 グ ボックスを閉じます。 応答変更を実行するために自動的に作成された [proxyav_number] サービスが使用できるようになり ました。たとえば、 proxyav1 があります。 ProxySG および ProxyAV アプライアンスを統合する ProxySG および ProxyAV アプライアンスを設定する タスク 2: インパスの脅威を検出するため ProxyAV を追加する ProxyAV を追加 ProxySG 手順 3 ProxyAV がアクセス可能か検証し [Perform health check] をクリックして ProxyAV がアクセ ます。 ス可能であることを検証してください。ヘルス チェックの 結果が直ちに表示されます。 この段階で ProxyAV と ProxySG は互いに通信できるように設定されています。2 つのアプライアンスが 通信を行っているかを検証するには、ProxySG で ICAP サービス ヘルス チェックを確認します。 ProxySG と ProxyAV 間の通信の検証 手順 1 ProxySG Management Console にロ a. Web ブラウザを開きます。 グインします。 b. ProxySG に割り当てた IP アドレスに続いて、ポート番 号「8082」を入力します。例を示します。 https://192.0.2.2:8082 手順 2 ICAP サービスの状態を確認します。 a. a. [Statistics] > [Health Checks] を選択します。 icap.proxyav1 サービスの [State] を見ます。アプライア ンスが通信を行っていれば、[State] は次のようになり ます。 アプライアンスが通信を行っていなければ、[State] は 次のようになります。 ICAP ヘルス チェックが失敗した場合 : • タスク 1 と 2 をやり直して、設定手順を正しく実行したか検証します。 • ProxySG と ProxyAV が同じサブネットにあることを確認します。 • ProxySG と ProxyAV の ICAP サービス ポートが同じであることを検証します。ProxyAV で [ICAP ProxySG で [Configuration] > [Threat Protection] > [Malware Scanning] > Settings] に 進 み ま す。 [Edit] に進みます。 • ProxyAV が有効なライセンスをもつことを確認します。 ProxySG および ProxyAV アプライアンスを統合する 4 - 29 タスク 3: マルウェア スキャンを有効にする ProxySG および ProxyAV アプライアンスを設定する タスク 3: マルウェア スキャンを有効にする ProxyAV を ProxySG に追加した後にコンテンツ スキャンを開始するため、Blue Coat ではビル トインの脅威保護ポリシーが定義済みのルールとともに提供されます。これらのルールは、ネッ トワークのパフォーマンスまたはネットワークの保護の必要性をサポートすると同時に悪意の あるコンテンツからネットワークを保護します。 マルウェア スキャンを有効にすると、脅威保護ポリシーが ProxySG に実装されます。脅威保護 ポリシーでは、ICAP 応答のスキャンに [High performance] と [Maximum security] という 2 つ のレベルが提供されます。[Maximum security] に設定されると、すべての Web 応答が ProxyAV でスキャンされるのに対し、マルウェアの感染リスクが低いコンテンツをバイパスする [High performance] に設定されると Web 応答が選択的にスキャンされます。 [High performance] オプションは、企業ユーザーにとって迅速な応答時間を保持する一方で、 ネットワークの安全性も確保するようにデザインされています。たとえば、特定のイメージなど のリスクが低いとみなされるタイプのファイルは、[High performance] に設定されているとき はスキャンされません。[High performance] オプションではスキャンされないコンテンツを表 示するには、CLI の設定モードに「show sources policy threat-protection」を入力します。 脅威保護ポリシーによって、ネットワーク パフォーマンス ルールまたはネットワーク保護ルー ルがマルウェア スキャン設定 ([Configuration] > [Threat Protection] > [Malware Scanning]) の基本 設定に基づいて実装されます。つまり、脅威保護ポリシー自体の変更はありませんが、構成設定 に一致する条件のみが脅威保護ポリシー ファイルから実装されます。さらに、設定を変更する と、コンパイルされたポリシーが自動的に更新されて変更を反映します。 ビルトイン脅威保護 ポリシーは編集することができません。このポリシーの構成を補足または 上書きする場合は、 ページ 6-63 の“マルウェア スキャン ポリシーのチューニング”を参照してくだ さい。 ProxySG と ProxyAV との間でマルウェア スキャンを有効にする 手順 1 ProxySG Management Console にロ グインします。 手順 2 脅威保護ポリシーを呼び出します。 a. [Configuration] > [Threat Protection] > [Malware Scanning] を選択します。 b. 1 つまたは複数の ProxyAV アプライアンスがコンテン ツ スキャンに追加されていることを検証します。 c. [Enable malware scanning] チェックボックスをオン にします。 デフォルトで、マルウェア スキャンを有効にする と、 マルウェア スキャン設定であらかじめ選択さ れたオプションにより ProxyAV と ProxySG の間の セキュアな ICAP 接続を使用して高度なパフォーマン ス スキャンがサポートされ、何らかの理由でスキャン が完了しない場合、ユーザーは要求したコンテンツへ のアクセスを拒否されます。 4 - 30 ProxySG および ProxyAV アプライアンスを統合する ProxySG および ProxyAV アプライアンスを設定する タスク 3: マルウェア スキャンを有効にする ProxySG と ProxyAV との間でマルウェア スキャンを有効にする 手順 3 ( オプション、ただし推奨設定 ) 遅延 ページ 6-54 の“遅延スキャンを有効にする”を参照してく ださい。 スキャンを有効にします。 サービスの有効化についての詳細 は、ページ 6-52 の“遅延スキャンに ついて”を参照してください。 ProxySG および ProxyAV アプライアンスを統合する 4 - 31 タスク 4:ProxyAV スキャンとポリシーを設定する ProxySG および ProxyAV アプライアンスを設定する タスク 4:ProxyAV スキャンとポリシーを設定する つまり通常のスキャン プロセス外 ProxyAV Management Console には、スキャンしきい値を設定し、例外、 のイベントが発生したときに何が起こるかを判定するためのオプションがいくつか用意されています。 スキャンとポリシーを設定するには、次のようなタスクを実行します。 • ProxyAV でスキャンを設定します。 • ( オプション ) ファイル拡張子別にスキャン ポリシーを設定します。 ProxyAV でのスキャン設定 手順 1 ProxyAV Management Console にロ グインします。 手順 2 [Scanning Behavior] ページを表示し a. ます。 b. [Antivirus] を選択します。 [Scanning Behavior] リンクをクリックします。 手順 3 [Heuristic Parameters] オプション Blue Coat は利点があることを考慮し、[Heuristic Parameters] が有効になっていることを検証し をデフォルト設定 ( 有効 ) にしておくことをお勧めします。 ます。 AV ア [Heuristic Parameters] オプションを有効にすると、 プライアンスはネットワークでのトラフィック パターンを 学習して、 それに応じてパフォーマンスを高めます。 最初の 学習期間が過ぎると、 ProxyAV はネットワークのトラフィッ クの約 15 ~ 30% を高速化できるようになります。新しいウ イルス パターン ファイルや更新されたスキャン エンジン がダウンロードされるごとに、学習プロセスが再開します。 手順 4 スパイウェア / マルウェアの検出と [Extended options ] セクションのオプション名は、 使用し 関連付けられた [Extended options] ている AV ベンダー エンジンによって変わります。 オプ ション名に関わらず、次のような動作が行われます。 が有効になっていることを検証し ます。 Enabled: ウイルスやスパイウェアの最初のインスタンスが 現 れ る と、ス キ ャ ン が 停 止 し ま す。Kaspersky の 場 合、デ フォルトで [Detect Adware] が有効になっています。選択を 解除することはできますが、 選択するには [Detect Spyware] を選択する必要があります。 Disabled: ウイルスの最初のインスタンスが現れたときの み、 スキャンが停止します ( スパイウェアは無視します ) 。 4 - 32 ProxySG および ProxyAV アプライアンスを統合する ProxySG および ProxyAV アプライアンスを設定する タスク 4:ProxyAV スキャンとポリシーを設定する ProxyAV でのスキャン設定 手順 5 タイムアウトなどのスキャン エラー [Policies for Antivirus exceptions] は ProxyAV がファイル が発生したときの ProxyAV の動作を をスキャンできないときに、ファイルを提供するかどうか を定義します。たとえば、パスワードで保護されたファイル 定義します。 や、 大きすぎてスキャンできないファイルをユーザーに提 供するかどうかを定義します。 • [Block] がすべてのオプションのデフォルト設定です。ブ ロックするように設定すると、 ProxyAV は ICAP 500 応 答を ProxySG に送信します。 この場合、 クライアントに 対する ProxySG アプライアンスの応答は ProxySG が フェール オープンとフェール クローズのどちらに設定 されているかによって異なります。 ProxySG がフェール オープンするように設定されてい る場合、ポリシー ルールに異なる指定がない限り、ス キャンしていないコンテンツをクライアントに提供し ます。 ProxyAV がブロックするように設定され、 ProxySG が フェール クローズするように設定されている場合、 コン テンツがクライアントに提供されることはありません。 • [Serve] を選択した場合、ProxyAV は ICAP 200/204 応 答を ProxySG に送信します。この場合、ProxySG が例 外ページをクライアントに提供するよう指示するルー ルがポリシーで作成されていない限り、 スキャンして いないファイルはクライアントに提供されます。 手順 6 設定を保存します。 ProxySG および ProxyAV アプライアンスを統合する [Save Changes] をクリックします。 4 - 33 タスク 4:ProxyAV スキャンとポリシーを設定する ProxySG および ProxyAV アプライアンスを設定する ファイル拡張子別にポリシーを設定する ( オプション ) ファイル名の拡張子に基づいてスキャン動作を指定すると、スキャン プロセスを高速化することができま す。たとえば、ウイルスが含まれることがよく知られている一定のファイル拡張子をブロックすることが できます。 Blue Coat はスキャンの必要がないファイルについては、 ProxySG でポリシーを設定することをお勧めし ます。 リソースを節約することができます。 ProxySG はこのようなファイルを ProxyAV に送信しないので、 ただし、ProxySG ではアーカイブされたファイルや複合ファイル内の個々のファイルを対象にブロックや スキャンのルールを定義することはできません。 ProxyAV はアーカイブされたり復号された Microsoft ファイル内のファイルをすべて認識するので、 アーカイブされたり ProxyAV で設定するスキャン動作は、 複合された Microsoft ファイル内のファイルがブロックの対象となります。 ファイル拡張子に基づいてスキャン動作を設定するには、次の手順を実行します。 ProxySG でのファイル 拡張子ポリシーの設定方法は、第 9 章の「ベスト プラクティスの設定」を参照してください。 ファイル拡張子に基づいたスキャン動作の設定 手順 1 ブロックしてクライアントに提供し a. ないファイル拡張子を指定します。 [Scanning Behavior] ページで、[Policies for file types] リンクをクリックします。[Policies For File Types] ペー ジが表示されます。[File extensions] セクションを探し ます。 b. ブロッ [Block files having extensions] フィールドに、 クする各ファイル拡張子をセミコロンで区切って入力 します。例を示します。 .vbs; .exe 手順 2 ウイルスを含む可能性が低いのでス [Don’t scan files having extensions] フィールドに、スキャ キャンする必要がないファイル拡張 ンしたくない各ファイル拡張子をセミコロンで区切って入 子を指定します。 これらのファイル 力します。例を示します。 タイプは、スキャン時に何も試みず .gif; .tif にクライアントに提供されます。 注意 拡張子を基準にファイルをスキャンしないとパフォー マンスは高くなりますが、セキュリティ上のリスクが 生ずる可能性があります。これはファイルを拡張子に 基づいてスキャン対象から除くと、ファイルのコンテ ンツを検査しないからです。したがって、無害な TIF や ス GIF ファイル拡張子を偽装した EXE ウイルスは、 キャンされない可能性があります。 手順 3 設定を保存します。 4 - 34 [Save Changes] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する ProxySG および ProxyAV アプライアンスを設定する タスク 5: 脅威保護ポリシーのテスト タスク 5: 脅威保護ポリシーのテスト さらに設定を進める前に、 基本的な展開をテストして、 ProxyAV が設定で選択した内容に基づいてコンテ ンツのスキャンとマルウェアの検出を行っていることを確認します。 ポリシーをテストする 手順 1 ProxyAV Management Console にロ グインします。 ホームページがまだ表示されていない場合は、[Home] をク 手順 2 ProxyAV のホームページでは、ス キャンしたファイル数とキャッチし リックします。 たウイルスの数に関する統計情報を 表示します。 手順 3 ProxyAV がファイルをスキャンして ProxyAV ホームページの最上部をご覧ください。 いることを確認します。 ク ラ イ ア ン ト が Web 要 求 を す る に し た が っ て、[Files ( ブラウザは非透過的ま Scanned] の値が増えるはずです。 たは透過的に ProxySG アプライアンスにリダイレクトさ れなければなりません。) 手順 4 ProxyAV が ICAP 要求をログ記録す a. るように設定されていることを確認 します。( 後でログ履歴をチェックし b. て、 テストが正常に行われたことを 確認します。) c. [Advanced] > [Detailed stats] > [Requests history] を 選択します。 [Collect last ___ requests] フィールドの値が 0 ( ゼロ ) より大きいことを確認します。 [Save Changes] をクリックします。 手順 5 ProxySG Management Console にロ グインします。 手順 6 アクセスログ記録を有効にして、テ a. [Configuration] > [Access Logging] > [General] > ストを検証できるように ProxySG [Default Logging] を選択します。 を準備します。 b. [Enable Access Logging] チェックボックスをオンに します。 c. 手順 7 テスト中にログ エントリが見られる a. ように、ログを表示します。 [Apply] をクリックします。 [Statistics] > [Access Logging] > [Log Tail] を選択し ます。 b. [Start Tail] をクリックします。 手順 8 「感染した」テスト ファイルを要求し a. ます。 b. 注意 : ファイルは実際に感染してい c. るのではなく、 テスト用に感染して いると判定されるウイルス シグネ d. チャを含んでいるに過ぎません。 ProxySG および ProxyAV アプライアンスを統合する ProxySG に非透過的または透過的にリダイレクトされ たブラウザを開きます。 「http://www.eicar.org」に進みます。 [Anti-Malware Testfile] リンクをクリックします。 テスト ファイルに関する情報を読んで、 ダウンロードす るファイル 「eicar.com」 など ) を選択します。 ( 4 - 35 タスク 5: 脅威保護ポリシーのテスト ProxySG および ProxyAV アプライアンスを設定する ポリシーをテストする 手順 9 「感染した」ファイルが送信されてい ページには、ProxyAV がファイルにウイルスを検出し、その ないことを確認します。 ファイルをドロップしたことが表示されます。 手順 10 ProxySG アクセス ログをチェック します。 a. ProxySG の [Access Log Tail] ウィンドウに進みます。 b. Eicar ファイルのアクセス ログ エントリに、ウイルス検 出用エントリが含まれていることを確認します。 2009-03-12 17:39:51 382 10.9.16.75 - - virus_detected PROXIED "none" http://www.eicar.org/anti_virus_test_file.htm 200 TCP_DENIED GET text/html;%20charset=%220%22 http www.eicar.org 80 /download/eicar.com.txt - txt "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)" 10.9.16.76 1000 383 "EICAR test file" 手順 11 ProxyAV ICAP 要求履歴をチェック a. します。 b. c. ProxyAV ブラウザ ウィンドウに進みます。 [Advanced] > [Detailed stats] > [Requests] [history] を 選択します。 [Refresh Now] をクリックします。 d. Eicar ファイルの要求を探します。 e. 手順 12 同じ「感染した」テスト ファイルを a. 要求し、以前スキャンしたオブジェ b. クトに対する応答がすでに c. ProxySG のキャッシュに格納され て い る の で、ProxySG が そ の オ ブ ジェクトを ProxyAV に送信しない ことを確認します。 4 - 36 [Result] フィールドに [VIRUS] が含まれることを確認 します。 同じ「感染した」テスト ファイルを要求します。 [ProxyAV Requests History] ウィンドウに進みます。 Eicar ファイルに対す [Refresh Now] をクリックして、 る 2 回目の要求ではないことを確認します。( オブジェ クトに対する応答は ProxySG キャッシュから提供され たので、 スキャンのため ProxyAV に送信されてはいな いはずです。 ) ProxySG および ProxyAV アプライアンスを統合する 5 ICAP スキャンの監視 この章では、ProxySG、ProxyAV、Blue Coat Reporter での ICAP スキャンを監視するさまざまな方法を説明 します。 このセクションで説明するトピックは次のとおりです。 S ICAP グラフと統計情報を ProxySG に表示する — ページ 5-38 S ProxySG の ICAP 有効セッションを監視する — ページ 5-42 S ProxyAV で統計情報を表示する — ページ 5-45 S Blue Coat Reporter でマルウェア対策レポートを作成する — ページ 5-47 ProxySG および ProxyAV アプライアンスを統合する 5 - 37 ICAP グラフと統計情報を ProxySG に表示する ICAP スキャンの監視 ICAP グラフと統計情報を ProxySG に表示する ProxySG では、棒グラフ形式および統計情報テーブルでさまざまな ICAP 統計情報を表示できます。各 ICAP サービスとサービス グループで ProxySG が追跡する ICAP 統計情報の定義をテーブル 5-1 に示し ます。 注 ProxySG での ICAP 監視には、SGOS 5.4 以上が必要です。 テーブル 5-1 ICAP 統計情報 統計情報 定義 プレーン要求 暗号化されていない ICAP スキャン トランザクション セキュア要求 暗号化されて SSL 上でトンネル接続された ICAP スキャン トランザクション 遅延要求 完全なオブジェクトを受信するまで遅延された ICAP スキャン トランザクション キューに登録された 要求 接続可能になるまで待機している ICAP スキャン トランザクション 成功した要求 正常に完了した ICAP スキャン トランザクション 失敗した要求 スキャンのタイムアウト、接続エラー、サーバー エラー、 またはその他さまざま な状況により失敗した ICAP スキャン トランザクション 送信バイト数 ICAP サービスまたはサービス グループに送信された ICAP データのバイト数 注意 : バイト数には、セキュア ICAP トラフィックは含まれません。 受信バイト数 ICAP サービスまたはサービス グループから受信したデータのバイト数 プレーン接続 プレーン ICAP スキャン要求が送信される ProxySG と ProxyAV 間の接続数 注意 : この統計情報は、サービス グループでは追跡されません。 セキュアな接続 暗号化 ICAP スキャン要求が送信される ProxySG と ProxyAV 間の接続数 注意 : この統計情報は、サービス グループでは追跡されません。 5 - 38 ProxySG および ProxyAV アプライアンスを統合する ICAP スキャンの監視 ICAP グラフと統計情報を ProxySG に表示する ICAP グラフを ProxySG に表示する ICAP グラフは、診断およびトラブルシューティング ツールとして使用できます。たとえば、 [Active Requests] グラフでキューに登録された ICAP 要求数が常に多すぎることが示されている場合、より大容量 の ProxyAV が必要な可能性があります。 ICAP グラフを ProxySG に表示する 手順 1 ProxySG Management Console にロ グインします。 手順 2 [Statistics] > [ICAP] を選択します。 ICAP 統計情報画面が表示されます。 手順 3 グラフ化する内容を選択します。 次のいずれかを選択します。 手順 4 グラフ化の対象期間を選択し ます。 [Duration] ドロップダウン リストから、 [Last Hour]、 [Last または [Last Year] を選択し Day]、 [Last Week]、 [Last Month]、 ます。 手順 5 グラフ タイプを選択します。 次のタブの内 1 つを選択します。 セキュア、遅延、キューに登録 Active Requests: プレーン、 済みのアクティブ ICAP トランザクション (1 分間隔でサン プリング ) Connections: プレーンおよびセキュアな ICAP 接続 (1 分 間隔でサンプリング ) Completed Requests: 成 功 お よ び 失 敗 し た 完 了 済 み の ICAP トランザクション Bytes: ICAP サービスに送信されたバイト数と ICAP サー ビスから受信したバイト数 各統計情報は、積み重ね棒グラフに異なる色で表示されま す。 デフォルトでは、関連するすべての統計情報が表示され ます。 ProxySG および ProxyAV アプライアンスを統合する 5 - 39 ICAP グラフと統計情報を ProxySG に表示する ICAP スキャンの監視 ICAP グラフを ProxySG に表示する 手順 6 グラフ化したい内容の名前を選択し グラフ下のテーブルにある [Name] カラムで、次のうち 1 つ ます。 を選択します。 • サービス名を選択します。 • サービス グループ名を選択します。 • [Totals] 行を選択します ( すべてのサービスまたはサー ビス グループをグラフ化します )。 手順 7 ( オプション ) グラフに表示しな 例を示します。 い統計情報の横にあるチェック ボックスをオフにします。 追加情報 • ICAP 統計情報画面の表示中、異なるサービス、サービス グループ、期間、またはグラフ タイプを選択し て新しいグラフを表示できます。 • グラフは 1 分ごとに自動的に更新されます。[Last Hour] 期間のグラフ以外では、更新されていること に気付かない可能性があります。 • グラフの棒に関連付けられた実際の統計情報を確認するには、マウス ポインタをその棒の上に移動し ます。統計情報と合計を示すボックスがマウス ポインタの場所に表示されます。 5 - 40 ProxySG および ProxyAV アプライアンスを統合する ICAP スキャンの監視 ICAP グラフと統計情報を ProxySG に表示する ICAP 統計情報データの表示 グラフよりもデータに関心がある場合、 グラフの下に、 選 ICAP 統計情報画面でこの情報も確認できます。 択した期間での各サービスまたはサービス グループの成功した要求数、失敗した要求数、送信バイト数、受 信バイト数が表示された簡潔なテーブルがあります。 このテーブルでも、 すべのサービスまたはサービス グループでの各統計情報の合計が計算されます。 ICAP 統計情報データの表示 手順 1 [Statistics] > [ICAP] を選択します。 ICAP 統計情報画面が表示されます。 手順 2 グラフ化する内容を選択します。 次のいずれかを選択します。 手順 3 グラフ化の対象期間を選択します。 [Duration] ドロップダウン リストから、[Last Hour]、[Last または [Last Year] を選択し [Last Week]、 [Last Month]、 Day]、 ます。 手順 4 統計情報をレビューします。 ProxySG および ProxyAV アプライアンスを統合する ProxySG によって、選択した期間の個々のサービスおよび すべてのサービスの合計が表示されます。 5 - 41 ProxySG の ICAP 有効セッションを監視する ICAP スキャンの監視 ProxySG の ICAP 有効セッションを監視する ICAP スキャンが有効になっているアクティブ セッションとエラー発生セッションについての詳細は、 [Active Sessions] ページと [Errored Sessions] ページを参照してください。セッション リストをフィルタし て ICAP 対応セッションのみを表示できます。これにより、各セッションのステータス ( 転送中、遅延、 ス キャン中、完了 ) を簡単に確認し、より詳しい情報 ( クライアントの IP アドレス、サーバー名、バイト数、帯 域幅の節約、プロトコルなど ) を表示できます。 ICAP の追加フィルタも使用できます。次の条件でもフィルタできます。 • ICAP サービスのタイプ :REQMOD ( 要求 ) または RESPMOD ( 応答 ) • サービス名 • ICAP ステータス ( 遅延接続のみを表示するなど ) これらの追加フィルタはオプションです。すべてのオプションを [Any] に設定したままにすると、ICAP が 有効に設定されているすべてのセッションが表示されます。 アクティブな ICAP 対応セッションの表示 デフォルトでは、[Active Sessions] 画面にはすべてのアクティブ セッションが表示されます。ICAP 機能を 分析する場合、リストをフィルタして ICAP 対応セッションのみを表示すると役立ちます。 ICAP 対応セッションのリスト 手順 1 ProxySG Management Console にロ グインします。 手順 2 アクティブ セッションを表示します。 [Statistics] > [Sessions] > [Active Sessions] > [Proxied Sessions] を選択します。 手順 3 [ICAP] フィルターを選択します。 [Filter] ドロップダウンリストを使用します。 手順 4 ( オプション ) ICAP サービス タイプを [REQMOD] ま た は [RESPMOD] を 選 択 し ま す。ま た は 基準としてフィルタリングします。 [Any] を選択して、両方のサービス タイプを表示します。 手順 5 ( オプション ) サービス名を基準とし [Service] ドロップダウンリストからサービス名を選択す てフィルタリングします。 るか、[Any] を選択してすべてのサービスを表示します。 手順 6 ( オプション ) ICAP のステータスを [Status] ドロップダウンリストから、[transferring]、 選択します。 [deferred]、 [scanning]、 [completed] のどれかを選択します。 または [Any] を選択して、 すべての接続 タイプを表示し ます。 5 - 42 ProxySG および ProxyAV アプライアンスを統合する ICAP スキャンの監視 ProxySG の ICAP 有効セッションを監視する ICAP 対応セッションのリスト 手順 7 (オプション) 表示する接続の数を [Display the most recent] を選択して、[results] フィール ドに数値を入力します。 接続数が多い場合、これはパ 制限します。 フォーマンスの最適化に役立ちます。 手順 8 (オプション) 現在エラーが発生し [Show errored sessions only] を選択します。 ているプロキシになったセッ ションのみ表示します。 手順 9 ICAP 対応セッションを表示し ます。 [Proxied Sessions] テーブル [Show] をクリックします。 には、 ICAP 対応のセッションが表示されます。 [Proxied Sessions] テーブルで特に重要なのは ICAP (I) カラムです。このカラムは、ICAP ステータスを識別 する一意のアイコンを使用して、ICAP 対応のセッションのステータスを示します。テーブル 5-2 では、各 アイコンについて説明します。 テーブル 5-2 ICAP アイコン ICAP アイコン ( 虫眼鏡 ) 説明 スキャン中 : ICAP 要求がスキャン処理中です ( 矢印 ) 転送中 : ICAP 要求が ICAP サーバーに転送されています ( 時計 ) 遅延 : すべてのオブジェクトが受け取られるまで、ICAP スキャン要求は遅延さ れています ( チェックマーク ) (i) アイコンなし 完了 : ICAP スキャン要求が正常に完了しました 非アクティブ : セッションまたは接続に対して ICAP 機能が非アクティブです サポート外 : 対応するセッションまたは接続に対して ICAP がサポートされて いません ProxySG および ProxyAV アプライアンスを統合する 5 - 43 ProxySG の ICAP 有効セッションを監視する ICAP スキャンの監視 追加情報 アイコンのヒント - ICAP アイコンの上にマウスを置くと、ICAP 対応のセッションに関する次の情報が表 示されます。 • ICAP サービスのタイプ (REQMOD および RESPMOD) • サービスの名前 • ICAP の状態 (transferring、deferred、scanning、または completed)。次に例を示します。 REQMOD サービス :icap1 (completed) • 1 つのセッションに使用されているサービスのタイプ 1 つのみの場合は、ヒントは、他のタイプが非ア クティブまたはサポート外かどうかを示します。たとえば、次のように表示されます。 RESPMOD Service: inactive Sorting — [I] カラムの見出しをクリックすると、セッションが次の順序で並べ替えられます。 • 転送中 • 遅延 • スキャン中 • 完了 • 非アクティブ • サポート外 5 - 44 ProxySG および ProxyAV アプライアンスを統合する ICAP スキャンの監視 ProxyAV で統計情報を表示する ProxyAV で統計情報を表示する ProxyAV はスキャンしたオブジェクトと発見したウイルスに関する履歴と最新の統計情報をトラックし ます。 ProxyAV で統計情報を表示する 手順 1 ProxyAV Management Console に ログインします。 ホームページがまだ表示されていない場合は、 手順 2 ProxyAV のホームページでは、ス [Home] をク キャンしたファイル数とキャッチ リックします。 したウイルスの数に関する統計情 報を表示します。これらの統計情報 は、前回のアプライアンスの再起動 または前回のカウンターをリセッ トした以降の累積値です。 手順 3 スキャンしたファイル数とキャッ ホームページの最上部をご覧ください。 チしたウイルスの数に関する統計 情報を表示します。 手順 4 ICAP オブジェクトと接続に関する a. [Advanced] > [History stats] を選択します。 履歴データを表示します。 b. 次のいずれかを選択します。 [ICAP Objects]: スキャン間隔中に受信した ICAP オブ ジェクト数 [Connections]: スキャン間隔中に受信した最大同時接 続数 [ICAP Bytes]: スキャン間隔中に受信した ICAP オブジェ クトの合計サイズ ( バイト数 ) 統計情報の各タイプについて、 過去 60 分間、 過去 24 時間、 過去 過去 60 分間の 30 日間の 3 種類の期間のグラフを表示します。 ICAP オブジェクトのグラフ例を示します。 ProxySG および ProxyAV アプライアンスを統合する 5 - 45 ProxyAV で統計情報を表示する ICAP スキャンの監視 ProxyAV で統計情報を表示する 手順 5 現在 ProxyAV がスキャンしている a. オブジェクトの詳しい情報を表示 します。 [Advanced] > Detailed stats] を選択します。次のよう な詳しい情報が表示されます。 [Concurrent connections]:ProxyAV への現在の接続数 です。 [Total objects being processed]: 現 在 ProxyAV が ス キャンしているオブジェクト数です。 手順 6 過去のウイルス スキャンの結果を 表示します。 b. 現在スキャンしてい [Refresh Now] をクリックすると、 るオブジェクトの詳しい統計情報を見ることができ ます。 a. [Advanced] > [Detailed stats] を選択します。 b. [Requests History] を選択します。 c. リストに表示 [Collect last ___ requests] フィールドに、 する要求の数 (0-1000) を入力します。この数字をゼロに 設定すると、要求のログ記録が無効になります。 d. [Save Changes] をクリックします。 e. 5 - 46 処理した要求に関する [Refresh Now] をクリックして、 最新データを取得します。 ProxySG および ProxyAV アプライアンスを統合する ICAP スキャンの監視 Blue Coat Reporter でマルウェア対策レポートを作成する Blue Coat Reporter でマルウェア対策レポートを作成する レポートに Blue Coat Reporter を使用する場合、いくつかのマルウェア対策レポートが使用できます。 テーブル 5-1 Reports in Reporter のウイルス対策レポート Reporter のバージョン レポート名 説明 8.3 ICAP ウイルス ID 検出したウイルスの ID をリスト表示します 8.3 ICAP ウイルス URL 検出した各ウイルスに関連付けられた URL を リスト表示します 8.3 ICAP ウイルスとユーザー詳細 検出した各ウイルスに関連付けられたクライア 情報 ントのログイン名か IP アドレスをリスト表示 します 9.1 要求されたマルウェアをサイ マルウェアの存在が疑われるためブロックされ トがブロック た URL をすべてリスト表示します 9.1 マルウェアに感染している可 悪意あるコンテンツが感染しているおそれがあ 能性があるクライアント るクライアント IP アドレスをすべてリスト表 示します このデータは各クライアントが要求した URL に基づきます。 9.1 検出された ProxyAV マルウェ 従業員の Web ブラウジング中に発生したマル ア : クライアント IP ウェアの各インスタンスを、URL をブラウズし たクライアント IP アドレスに基づいてリスト 表示します 9.1 検出された ProxyAV マルウェ 従業員の Web ブラウジング中に発生した各マ ア : 名前 ルウェア コードの名前をリスト表示します 9.1 検出された ProxyAV マルウェ マルウェア ソースであると疑われるため検出 ア : サイト された URL をすべてリスト表示します ProxySG および ProxyAV アプライアンスを統合する 5 - 47 Blue Coat Reporter でマルウェア対策レポートを作成する 5 - 48 ICAP スキャンの監視 ProxySG および ProxyAV アプライアンスを統合する 6 設定をチューニングする この章では、ICAP スキャン中のユーザー エクスペリエンスを向上する方法 ( お詫びページやデータ ト リックリングを使用 )、 検出したウイルスについて管理者に通知する方法、実装可能なこのほかの ICAP ポ リシーについて説明します。 また自動作成される ICAP 応答編集サービスの編集や、 具体的なニーズに合 わせて脅威保護ポリシーをチューニングする方法も説明します。この章で説明するトピックは次のとおり です。 S ユーザー エクスペリエンスの向上 — ページ 6-50 S 警告を設定する — ページ 6-55 S ICAP サービスを変更する — ページ 6-59 S マルウェア スキャン ポリシーのチューニング — ページ 6-63 S ユーザー ベースの ICAP ポリシーを作成する — ページ 6-65 S 要求変更 ICAP サービスを実装する — ページ 6-69 ProxySG および ProxyAV アプライアンスを統合する 6 - 49 ユーザー エクスペリエンスの向上 設定をチューニングする ユーザー エクスペリエンスの向上 スキャンニングの遅延により、ユーザーが Web 要求を中断して再実行するのを防ぐために、 スキャン中で あることをユーザーにフィードバックして伝えることができます。このフィードバックは お詫びページの 形をとったり、データ トリックリング や遅延スキャンを使用して、 スキャンの遅延を緩和することができ ます。 これらの方法のうち 3 種類を次に説明します。 お詫びページについて お詫びページは、ICAP のコンテンツ スキャンが指定の期間 を経過したときにユーザーに表示される HTML ページです。たとえば、HTML ページで次のようなお知らせメッセージを表示できます。 お客様が要求したページのコンテンツをスキャンしています。しばらくお待ちください ... カスタム メッセージやヘルプ リンクを含めるように、これらのページのコンテンツを設定できます。お詫 びページは、5 秒ごとにリフレッシュされ、オブジェクト スキャンの完了時に消えます。 お詫びページは、無限ストリーム接続 (Web カメラまたはビデオ フィードのような HTTP 経由でストリー ムされるライブ コンテンツ ) とは互換性がありません。ICAP スキャンは、オブジェクトのダウンロードが 完了するまで開始できません。このタイプのコンテンツでは、ダウンロードが完了しないため、ProxySG は この時点で、 ICAP のファイル サイズ制限に違反するまでダウンロードを継続します。 ProxySG はエラー を返すか、 クライアントにコンテンツを配信しようとします ( フェール オープン / クローズ ポリシーに よって異なります )。 ただし、フェール オープンしてコンテンツを配信するように設定していても、大量の データのダウンロードにこの遅延が加われば、ほとんどのユーザーは目的を達成する前に諦めてしまいま す。第 9 章の「代替ソリューションの最適慣行の設定」を参照してください。 データ トリックルについて オブジェクト スキャンの比較的短い遅延が発生している間、お詫びページにはユーザーの不安を和らげる 解決策が表示されます。ただし、比較的大きいオブジェクトをスキャンする場合、小さい帯域幅パイプでオ ブジェクトをスキャンする場合、またはサーバーに高い負荷がかかっている場合、接続のタイムアウトが 発生してユーザー エクスペリエンスが低下します。このようなタイムアウトを回避するには、データ ト リックルを許可します。有効にするトリックル モードに応じて、ProxySG はスキャンの最初またはほぼ最 後に、クライアントに送信するバイトをトリックル ( 非常に遅い速度で許可 ) します。 ProxySG は、ICAP のスキャン結果を待たずにサーバー コンテンツの配信を開始します。ただし、セキュリ ティを確保するために、コンテンツ スキャンの結果が完了するまで ( オブジェクトが感染していないと判 断されるまで ) 完全なオブジェクトは配信されません。 注意 この機能は HTTP/HTTPS 接続についてだけサポートしており、 FTP 接続のデータ トリックルはサ ポートしていません。 6 - 50 ProxySG および ProxyAV アプライアンスを統合する 設定をチューニングする ユーザー エクスペリエンスの向上 最初からデータをトリックル [trickle from start] モードでは、ProxySG は応答本文の最初の少量をバッファ処理します。ProxyAV が応答 のスキャンを続ける間、ProxySG は 1 秒ごとに 1 バイトをクライアントに送信することを許可します。 ProxyAV のスキャンが完了した後の動作を次に示します。 • クリーンなオブジェクトだと見なされた場合 (応答変更は不要)、ProxySG は、その接続の最大速度でオ ブジェクトの残りのバイトをクライアントに送信します。 • 有害オブジェクトだと見なされた場合、ProxySG は接続を終了し、応答オブジェクトの残りのバイトは クライアントに送信されません。 クライアントは、ウイルス スキャンの結果が出るまで少量のデータしか受信しないため、この方法は安全 性の高いオプションです。 ただし、 特にブラウザに表示される受信バイトに気付いたときにユーザーがい らいらしてくるかも知れないという欠点があります。ユーザーは接続不良やサーバーがビジー状態だと見 なして、 クライアントを閉じてから接続を再起動する可能性があります。 最後にデータをトリックル 接続の最大速度でクライアントに応 [trickle at end] モードでは、ProxySG はデータの最後の 16 KB を除き、 答を送信します。ProxyAV がコンテンツ スキャンを実行している間、ProxySG は 1 秒ごとに 1 バイトをク ライアントに送信することを許可します。 ProxyAV のスキャンが完了した後は、ページ 6-51 の " 最初からデータをトリックル " に記載されている動 作と同じです。 Flash オブジェクトなどのメディア コンテンツの場合、この方法をお勧めします。オブジェクトの 99 % が ダウンロードされたことに気付くと、ユーザーが我慢する傾向があるので、 最初はトリックルよりこの方 法がユーザー フレンドリーです。 したがって、再度接続する可能性が低くなります。 ただし、ICAP スキャ ンの結果が出る前にオブジェクトの大部分が配信されるめ、ネットワーク管理者はこの方法の方がセキュ リティが低いと判断すると思われます。 データ トリックルとお詫びページのどちらを使用するのかの判断 トラフィックの種類に応じて、ProxySG 設定オプションとポリシーを組み合わせることで、ICAP フィード バック アクションを変えることができます。 • インタラクティブなトラフィックは、Web ブラウザが関わる要求なので、データ トリックルかお詫び ページのどちらかを使用することができます。 • 非インタラクティブなトラフィックは、ソフトウェアの自動ダウンロードやクライアントの更新など、 非ブラウザ ベースのアプリケーションが生成する要求であり、 お詫びページは使用できません。 デー タ トリックルかユーザーへのフィードバックを行わないかのどちらかを選ぶことになります。 会社がセキュリティと可用性のどちらを重視するかに基づいて、 ProxySG ではお詫びページとデータ ト リックルのどちらかを選択できます。 ProxySG および ProxyAV アプライアンスを統合する 6 - 51 ユーザー エクスペリエンスの向上 設定をチューニングする 遅延スキャンについて 遅延スキャン機能は、無限ストリーミングによるネットワークの停止を防止するのに役立ちます。 無限ストリームは、終了しないことが予想される Web カメラや Flash メディアなどの接続 (HTTP 接続経 由のトラフィック ) です。 無限ストリームの特徴として、コンテンツの長さがない、データ速度が遅い、応答 時間が長いなどが挙げられます。 オブジェクトを完全にダウンロードできないため、ICAP コンテンツ ス キャンを開始できませんが、ProxySG と ProxyAV 間の接続は維持されるため、無制限に接続リソースが浪 費されます。 遅延スキャンでは、必要以上に ICAP 接続リソースを占める ICAP 要求を検出して、オブジェクトを完全に 受信するまで遅延します。 遅延スキャンの仕組み 使用中の ICAP リソースが一定のしきい値に達すると、ProxySG はもっとも古い未解決の ICAP 要求から スキャンの遅延を開始します。 遅延しきい値に達すると、ProxySG はすべての新しい ICAP 要求を受信す るごとに、まだオブジェクトを完全に受信していないもっとも古い ICAP 接続を遅延します。 遅延しきい値は、 管理者がパーセントで指定します。 たとえば、遅延しきい値が 70 パーセントに設定され ていて、最大接続数が 100 に設定されている場合、接続数が 70 を超えると、ProxySG により、完全なオブ ジェクトのダウンロードが完了していない接続が遅延させられます。 ICAP 接続が遅延されると、 ProxyAV への接続が終了します。アプライアンスの応答は継続して受信され、 ダウンロードが完了すると、ICAP 要求が再開します。使用できる ICAP 接続がない場合、新しい ICAP 要求 がキューに配置されたままになっている可能性があります。 要求が遅延されると、 ProxySG は要求が再開 されるまでオブジェクトが完全に受信されるのを待ちます。遅延アクションで完全なオブジェクトを受信 したときにキューがある場合、 そのアクションは、 キュー内の完了した他の遅延アクションの後に配置さ れます。ただし、キュー内の他の新しい要求よりも前に配置されます。 遅延スキャンおよびフィードバック オプションの設定 一度に応答全体を ProxyAV に送信する必要があるため、ICAP フィードバック オプション ( お詫びページ またはデータ トリックル ) の設定方法やオブジェクトのサイズによっては、遅延スキャンが原因で ICAP 応答が遅延する可能性があります。 お詫びページが設定されている場合、 オブジェクトが完全に受信されて、 未処理の ICAP アクションが完 了するまで、ブラウザでお詫びページが継続的に受信されます。 データ トリックル オプションが設定されている場合、 遅延スキャン中にオブジェクトで継続的にトリッ クルが行われます。ただし、トリックル バッファ要件のために、ProxySG で応答の送信が開始される前に遅 延が発生する可能性があり、この際遅延スキャンが行われる場合と行われない場合があります。 6 - 52 ProxySG および ProxyAV アプライアンスを統合する 設定をチューニングする ユーザー エクスペリエンスの向上 ICAP フィードバックを設定する 次の手順にしたがって、グローバル フィードバック設定を行います。 特定のユーザーに適用するフィード バック ポリシーを追加定義したり、条件付きサブセットを定義するには、Visual Policy Manager の Web Access Layer の [Return ICAP Feedback object ] を使用しなければなりません。 インタラクティブおよび非インタラクティブなトラフィックの ICAP フィードバックの設定 手順 1 ProxySG Management Console にロ グインします。 手順 2 ICAP スキャン中であることを Web a. [Configuration] > [External Services] > [ICAP] > ブラウザのクライアントに通知する [ICAP Feedback] を選択します。 までの待ち時間を指定します。 b. [ICAP Feedback for Interactive Traffic] セクションに 進みます。 c. [Provide feedback after ___ seconds フィールドに値 を入力します。 手順 3 インタラクティブ ( ブラウザ ベース ) 次のいずれかを選択します。 のトラフィックのフィードバック方 • [Return patience page] (HTTP および FTP お詫びペー 法を選択します。 ジがあります ) • [Trickle object data from start] ( トリックルのよりセ キュアな形式 ) • 手順 4 非インタラクティブなトラフィック a. では、ICAP スキャン中であること をクライアントに通知するまでの待 ち時間を指定します。 [Trickle object data at end] ( この形式のトリックルが、 望ましいユーザー エクスペリエンスになります ) [ICAP Feedback for Non-Interactive Traffic] セクショ ンに進みます。 b. [Provide feedback after ___ seconds フィールドに値 を入力します。 手順 5 非インタラクティブなトラフィック 次のいずれかを選択します。 のフィードバックを選択します。 • Trickle object data from start • Trickle object data at end 手順 6 設定を保存します。 [Apply] をクリックします。 HTTP および FTP のお詫びページをカス タマイズするには、 [Configuration] > [External Services] > [ICAP] > [ICAP Patience Page] を選択します。 ProxySG および ProxyAV アプライアンスを統合する 6 - 53 ユーザー エクスペリエンスの向上 設定をチューニングする 遅延スキャンを有効にする スキャンの遅延を有効化し、そのしきい値を設定する手順を次に示します。 ICAP サービスのスキャン遅延を有効にする 手順 1 ProxySG Management Console にロ グインします。 手順 2 ICAP サービスを編集します。 手順 3 スキャン遅延を有効にします。 手順 4 設定を保存します。 a. [Configuration] > [External Services] > [ICAP] > [ICAP Services] を選択します。 b. ICAP サービスを選択します。 c. [Edit ICAP Service] ウィンド [Edit] をクリックします。 ウが表示されます。 a. [Defer scanning at threshold] を選択して、遅延スキャ ン機能を有効にします。 b. オブジェクト全体を受信していない最も古い ICAP 接 続を ProxySG が保留するしきい値を設定するには、 (0-100) の数値を入力します。 a. [OK] をクリックして、[Edit ICAP Service] ウィンドウ を閉じます。 b. [Apply] をクリックします。 続けて ProxyAV と ProxySG とを統合するには、ページ 4-32 の " タスク 4:ProxyAV スキャンとポリシーを 設定する " に進んでください。 続けて設定をチューニングするには、次のセクションに進んでください。 6 - 54 ProxySG および ProxyAV アプライアンスを統合する 設定をチューニングする 警告を設定する 警告を設定する ProxySG と ProxyAV は検出したウイルスについて、ネットワーク管理者に通知することができます。 検出したウイルスのほか、 ブロックしたファイルやスキャンしていないファイルについて ProxyAV では、 管理者に通知する設定が可能なので、 このセクションでは、ProxyAV での通知の設定を中心に説明します。 電子メールによる通知に加えて、 または通知に代わる手段として、 ProxyAV でのログ記録を有効にするこ とができます。ログ記録を有効にすると、設定した各警告が警告ログに記録されるので、いつでも確認する ことができます。 次のような警告の通知を有効にすることができます。 ProxyAV では、 – ウイルスが見つかりました:ICAP セッションでウイルスが見つかりました。 – スキャンされずにファイルが渡されました:ウイルス対策ページでは、管理者がいくつかの設定に よりファイルをスキャンせずに ProxyAV を通過させることができます。 たとえば、ウイルス対策 ファイル スキャン タイムアウトがあります。 – ファイルがブロックされました ( ウイルスの場合を除きます ):ウイルス感染以外の理由でファイ ルがブロックされました。たとえば、管理者がパスワードで保護された圧縮ファイルをブロックす る場合です。 – サブスクリプションの有効期間満了が近づいています:ウイルス対策ソフトウェアを ProxyAV で 使用するライセンスの年間更新が必要です。ProxyAV はサブスクリプション期間満了が近づくと 通知します。 – ファームウェアの更新が失敗しました:最新イメージの取得またはインストール中にエラーが発 生したため、ファームウェアの更新が失敗しました。 – ファームウェアの更新が成功しました:ProxyAV ファームウェアの新しいバージョンがインストー ルされました。 – ライセンスの更新が失敗しました:ウイルス対策エンジン ライセンスを更新しようとしましたが、 失敗しました。 – ライセンスの更新が成功しました:新しいライセンスが作インストールされました。警告が有効に なっている場合、ライセンスのベンダーおよび有効性に関する情報がログ記録されるか、設定した 電子メール アドレスに送信されます。 – ウイルス対策ファイルの更新が失敗しました:ウイルス対策パターン ファイルの更新が失敗しま した。失敗の原因に関する情報を受信する警告を有効にします。 – ウイルス対策ファイルの更新が成功しました:ウイルス対策パターン ファイルが更新されました。 – オンボード診断:監視している ProxyAV アプライアンスのメトリック状態が変更され、警告または SNMP トラップがトリガするようにこのメトリックが選択されると、警告または SNMP トラップ を送信します。 – Intelligent Connection Traffic Monitoring (ICTM): 指定された最大同時低速接続警告または重大な しきい値に達すると、警告を送信します。 警告を設定するには、次の手順を実行します。 • 通知目的の警告のタイプを選択します。 • 電子メールによる通知を設定します。 ProxySG および ProxyAV アプライアンスを統合する 6 - 55 警告を設定する 設定をチューニングする 警告のタイプを選択する 通知や警告ログ エントリを設定する警告のタイプを選択します。 警告のタイプの選択 手順 1 ProxyAV Management Console にロ グインします。 手順 2 電子メールによる通知や警告ログ エ a. ントリを作成する警告を選択します。 [Alerts] を選択します。警告テーブルが表示されます。 デフォルトでは、すべての警告の電子メールとログ記 録が有効です。 b. 必要に応じて警告を有効 / 無効にします。最初の 3 タイ プはスキャン結果に関するものです。 ウイルスが見つかりました スキャンされずにファイルが渡されました ファイルがブロックされました 手順 3 設定を保存します。 6 - 56 [Save Changes] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する 設定をチューニングする 警告を設定する 警告のタイプの選択 手順 4 ログ記録を有効にすると、 ProxyAV で警告ログを表示するには、次の手順を実行し AlertLogFile.log. に警告が記録されて ます。 いることを検証することができます。 a. [Log Files] を選択します。 b. [Log Files] テーブルで、 [AlertLogFile.log] について [ View log file in browser] を選択します。 ブロックされたファイルのログ エ [AlertLogfile.log] では、 ントリは次のように表示されます。 ATEXT=Cause:Blocked file extension detected (engine error code:None) File has been dropped. 2009-03-06 05:24:05-08:00PST Hardware serial number:2808101126 ProxyAV (Version 3.2.2.1(36678)) http://www.BlueCoat.com/ Machine name:ProxyAV Machine IP address:10.9.16.74 Server: unknown Client: unknown Protocol:ICAP ProxySG および ProxyAV アプライアンスを統合する 6 - 57 警告を設定する 設定をチューニングする 電子メールによる通知を設定する 次の説明にしたがって、電子メールによる通知を設定します。 ProxyAV での通知設定を行う 手順 1 ProxyAV Management Console にロ グインします。 手順 2 電子メール アドレスを指定します。 a. [Alerts] > [Alert Settings] を選択します。 b. [Send e-mail address] フィールドに警告電子メールに 使用するソース メール アドレスを入力します。( このア ドレスは電子メールの [From] フィールドに表示されま す。 ) 例を示します。 [email protected] c. 警告電子メー [Recipient e-mail address] フィールドに、 ルの受信者のアドレスをコンマで区切って入力しま す。 例を示します。 [email protected],[email protected], [email protected] 手順 3 SMTP サーバー設定を入力します。 a. [SMTP server address] フィールドにサーバーの IP ア ドレスを入力します。 b. サーバーが POP 認証を使用する必要がある場合、 [SMTP Authorization (POP-Before-SMTP) Enabled] を選択して から、 認証情報を入力します。 手順 4 設定を保存します。 6 - 58 [Save Changes] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する ICAP サービスを変更する 設定をチューニングする ICAP サービスを変更する ProxyAV を追加すると、応答変更 ICAP サービスが自動的に作成されます。この RESPMOD サービスのデ フォルト設定を編集するには、このセクションで説明する手順を実行します。 ProxySG ICAP サービスの変更 手順 1 ProxySG Management Console にロ グインします。 手順 2 ICAP サービスを編集します。 a. [Configuration] > [External Services] > [ICAP] > [ICAP Services] を選択します。 b. ICAP サービス名として、proxyav1 などを選択します。 c. ProxySG および ProxyAV アプライアンスを統合する [Edit ICAP Service] ダイアログ [Edit] をオンにします。 が表示されます。 6 - 59 ICAP サービスを変更する 設定をチューニングする ProxySG ICAP サービスの変更 手順 3 サービス通信オプションを設定し a. ます。 ProxyAV の URL を入力 [Service URL] フィールドに、 します。 URL には、スキーム、ProxyAV のホスト名または IP アドレス、ICAP サービス名が含まれます。たとえば、 icap://10.10.10.10/avscan です。 b. [Maximum Number of Connections] で ProxySG およ び ProxyAV 間で発生する可能性のある特定の時間での 接続可能な最大数を指定します。 この値は変更せずに、 プラットフォーム [Sense settings] ボタンを使用して、 がサポートする正しい値を自動検出してください。 c. ProxyAV からの [Connection timeout] フィールドに、 応答を ProxySG が待機する秒数を入力します。デフォ ルトの秒数は 70 秒ですが、大きな ( 数 100 MB) アーカイ ブはすぐに 70 秒を超えるので、大きな数値を設定して も構いません。スキャンの設定タイムアウトを超える 大きなファイルを ProxyAV を受信すると、ProxySG は 接続をクローズするので、ユーザーはそのファイルを 受 信 で き ま せ ん。入 力 し た タ イ ム ア ウ ト の 値 は、 ProxyAV で設定した最大ファイル サイズと関係があ り、 ファイル サイズが大きいほどスキャンに長くかか るので、接続タイムアウトの値も大きくする必要があ ります。 ファイル サイズを 100 MB 程度に設定した場 合、 タイムアウトは70秒で十分です。これに対して 2 GB のファイルを許容した場合は、70 秒ではタイムアウト の値として小さすぎます。範囲は 1 ~ 65,535 です。 d. オブジェクト全体を受信していない最も古い ICAP 接 続を ProxySG が保留するしきい値を設定するには、 デフォル [Defer scanning at threshold] を選択します。 トでは、 遅延スキャンのしきい値は、 ICAP サービスが 作成されるときに無効になります。 遅延スキャンのし きい値を有効にした場合のデフォルトは 80% です。 ス キ ャ ン 遅 延 に 関 す る 詳 細 に つ い て は、 「Avoiding Network Outages due to Infinite Streaming Issues」を参 照してください。 6 - 60 e. ICAP スキャンでウイルスが検出された場合に管理者に 電子メールを送信するには、[Notify administrator when また、通知はイベント ロ virus detected ] を選択します。 グおよびイベント ログのメール リストにも送信されま す。 ProxyAV はウイルスを検出したときに管理者に通知 する設定も可能で、 この設定については「Getting Notified about Detected Viruses」で説明します。 f. クライアントに ProxySG の例外ページではなく、 デフォ ルトのベンダ エラーの例外ページを表示するには、 [Use vendor’s“virus found”page] を選択します。 ProxySG および ProxyAV アプライアンスを統合する ICAP サービスを変更する 設定をチューニングする ProxySG ICAP サービスの変更 手順 4 プレーン ICAP や セキュア ICAP の 一方のタイプまたは両方のタイプの ICAP 接続を同時に有 サービス ポートを設定します。セ 効にすることができます。 キュア ICAP の設定についての詳細 は、 「タスク 1:( オプション ) セキュア ICAP のためアプライアンスを準備 する」を参照してください。 プレーン ICAP の場合 a. [This service supports plain ICAP connections] をオ ンにします。プレーン データ (HTTP) をスキャンする場 合は、プレーン ICAP を使用します。この場合、ProxySG で HTTPS プロキシが有効になっていると、データはま ず ProxySG で復号化されてから、ICAP サーバーに送信 されます。 b. [Plain ICAP port] フィールドにポート番号を入力します。 デフォルトのポートは 1344 です。 セキュア ICAP の場合 a. セキュア ICAP を使用するには、 [This service supports secure ICAP connections] をオンにします。 b. [Secure ICAP port] フィールドにポート番号を入力し ます。デフォルトのポートは 11344 です。 c. ProxySG および ProxyAV アプライアンスを統合する [SSL Device Profile] フィールドでセキュア ICAP の有 効な SSL プロファイルを選択します。これにより、SSL デバイス プロファイルがセキュア ICAP サービスに関 連付けられます。 6 - 61 ICAP サービスを変更する 設定をチューニングする ProxySG ICAP サービスの変更 手順 5 プレビュー機能を使用する必要があ るかどうかを判断します。 • ProxyAV 上のファイル拡張子に基づくファイル スキャン • • 手順 6 ProxySG/ProxyAV がサポートでき a. る最大接続数を判定します。 b. c. ポ リ シ ー を 使 用 し て い る 場 合、[Preview size (bytes)] プレ フィールドに 0 を入力して、 [enabled] を選択します。 ビュー サイズが 0 バイトの場合、応答ヘッダーのみが その他のオブジェクト データは ProxyAV に送信され、 ProxyAV によって要求される場合にのみ送信されます。 または ProxyAV の [Kaspersky Apparent Data Types] 機能が有効 になっている場合、[Preview size (bytes)] フィールドに値 ( 推奨値は 512) を入力し、 ProxyAV [enabled] を選択します。 は指定した総バイト数に達するまでオブジェクトを読み 込んでから、トランザクションを継続する ( つまり、オブ ジェクの残りをスキャンするために受信する ) か、トラン ザクションから抜けます。 または 上記の 2 つの状況が該当しない場合は、[enabled] をオフ にします。 この場合、 プレビュー オプションは使用しない でください。 [Sense settings] をクリックします。 [OK] をクリックして決定します。 [OK] をクリックして変更内容を決定します。 [Sense settings] コマンドで ProxyAV から設定を取得できた 場合、次のメッセージが表示されます。 d. [OK] をクリックします。 手順 7 ブラウザを更新して、 「検出」された a. 最大接続数を確認します。 b. 手順 8 変更した内容を保存します。 6 - 62 ブラウザの [refresh] ボタンをクリックします。 作成した応答サービスを編集して、 [Maximum number of connections] に入力された値を見ます。 [OK] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する 設定をチューニングする マルウェア スキャン ポリシーのチューニング マルウェア スキャン ポリシーのチューニング マルウェア スキャンが有効にされると、脅威保護ポリシーが呼び出されます。 脅威保護ポリシー に実 装 さ れた ル ール に は、デフ ォ ルト ま たは [Configuration] > [Threat Protection] > [Malware Scanning] のマルウェア スキャン オプションで設定した選択のいずれかを使用します。 他のポリシー ファイルとは異なり、脅威保護ポリシー ファイルは [Policy] > [Policy Options] > ただし、ローカル ポリ [Policy Options] の [Policy Evaluation Order] リストには表示されません。 シー ファイルまたは VPM ポリシーでルールを作成し、設定されたデフォルトを補足または上書 きすることができます。 ローカルまたは VPM ポリシーで作成されたルールは、ポリシー ファイ ルの評価順序のために、 脅威保護ポリシーでの設定よりも優先されます。ProxySG のデフォルト によって、ポリシー ファイルは、脅威保護、VPM、ローカル、セントラル、 フォワードの順に評価さ れます。 脅威保護ポリシーは VPM、 Local、Central, Forward ポリシーよりも前に評価されるので、このポ リシーをビジネス ニーズに適合させる柔軟性が提供されます。 たとえば、 マルウェア スキャン モードが設定によって [Maximum protection] に設定されている場合でも、VPM でルールを作成 して内部ホスト / サブネットからのすべてのトラフィックが [High performance] モードを使用 してスキャンされるようにすることができます。または、 デフォルトのマルウェア スキャン モー ドが [High performance] の場合は、 ソフトウェア ダウンロードまたはスパイウェア ソースなど のコンテンツ フィルタ カテゴリの選択に属するサイトに対して VPM にルールを追加して [Maximum protection] モードを呼び出すことができます。 次の例では、構成で設定されているマルウェア スキャン オプションを補足するために VPM で ルールを作成する方法を示しています。 次の例では、 設定に最大限のセキュリティを使用してい ます。VPM ルールによって、 脅威保護ポリシーで定義した高度なパフォーマンス ルールを使用 して内部トラフィックのスキャンが可能になります。 マルウェア スキャン ポリシーのチューニング 手順 1 ProxySG Management Console にロ グインします。 手順 2 マルウェアのスキャンが有効にな a. [Configuration] > [Threat protection] > [Malware り、[Maximum protection] に設定さ Scanning] を選択します。 れていることを検証します。 b. [Enable malware scanning] チェックボックスがオン になっていることを検証します。 c. ProxySG および ProxyAV アプライアンスを統合する [Protection level] が [Maximum protection] に設定さ れているのを検証します。これは ProxySG と ProxyAV とのすべての ICAP スキャンに適用されるグローバル 設定です。 6 - 63 マルウェア スキャン ポリシーのチューニング 設定をチューニングする マルウェア スキャン ポリシーのチューニング 手順 3 ポリシーを作成して内部ホストから a. の す べ て の ト ラ フ ィ ッ ク を [High performance] モードを使用してス b. キャンします。この例では 10.0.0.0/8 サブネットが使用されています。 c. [Configuration] > [Policy] > [Visual Policy Manager] を選択します。 Visual Policy Manager が新 [Launch] をクリックします。 しいウィンドウに表示されます。 [Policy] > [Add Web Content Layer] を選択します。 d. [Action] カラムで右クリックし [Set] を選択します。 [Set ダイアログ ボックスが表示されます。 Action Object] e. [Set Action Object] ダイアログ ボックスで [New] > [Set Malware Scanning] を ク リ ッ ク し ま す。[Add Malware Scanning Object] ダイアログが表示されます。 f. [Perform high performance malware scan] を選択します。 g. 開いているすべて [OK] をクリックして変更を保存し、 のダイアログを閉じます。 h. [Action] カラムで右クリックし [Set] を選択します。 [Set Destination Object] ダイアログ ボックスが表示さ れます。 i. [Destination IP Address/Subnet] を選択します。 [Set Destination IP/Subnet Object] ダイアログが表示さ れます。 j. 内部ホストの IP アドレスとサブネットを追加し、 [Close] をクリックします。 k. 開いているすべて [OK] をクリックして変更を保存し、 のダイアログを閉じます。 l. ポリシーをインストールします。 [Apply] をクリックして、 ポリシーのインストールが完了すると、 内部サブネット 10.0.0.0/8 からのすべてのトラフックが [High performance] モードを使用してスキャンされます。 完了したルールを次に示します。 6 - 64 ProxySG および ProxyAV アプライアンスを統合する 設定をチューニングする ユーザー ベースの ICAP ポリシーを作成する ユーザー ベースの ICAP ポリシーを作成する ICAP サービスは ProxySG と ProxyAV との間でトランザクションをセットアップするパラメータを定義 します。また、ICAP ポリシーを使用すると、指定したサービスやサービス グループを対象としたアクショ ンを指定することができます。これらは個々のユーザー、ユーザー グループ、プロトコル等の属性に基づく 詳細ルールで、一般ルールに対する例外を設けることができます。たとえば、ほかのユーザーを対象にブ ロックされたファイル タイプ (EXE ファイルなど ) を管理者がダウンロードすることを許容させたい場合 です。 ユーザー ベースの ICAP ポリシーをセットアップするには、次の手順を実行します。 1. ProxyAV を追加すると、ICAP 応答サービスが自動的に作成されます。すでに ProxyAV を追加してい る場合は、ICAP 追うと鵜サービスが使用可能であるか検証します。 2. マルウェアのスキャンを有効にして、[Action on unsuccessful scan] が [Deny the client request] に 設定されていることを検証します。 3. Web ブラウザが開いたらユーザー資格情報を要求する Web 認証レイヤを作成します。 4. ブロックされたファイルへのアクセスを一定のユーザーに許容し、 それ以外のユーザーについては否 定する認証ルールを内容とする Web アクセス レイヤを作成します。 注意 これらの手順は、 すでに認証対象とするユーザーおよびグループを設定し (RADIUS、 LDAP、 Microsoft これらのサーバーに接続するためのレルムを ProxySG Active Directory その他の認証サーバーを使用 )、 で作成してあることを前提としています。 ICAP 応答サービスを作成する 最初のタスクは ICAP 応答サービスを作成することです。すでに作成済みかもしれません。 ICAP 応答サービスの作成 手順 1 ProxySG Management Console にロ グインします。 手順 2 ICAP 応答サービスを作成します。 「ページ 4-28 の " タスク 2: インパスの脅威を検出するため ProxyAV を追加する "」を参照してください。 手順 3 マルウェア スキャンを有効にします。「ページ 4-30 の " タスク 3: マルウェア スキャンを有効にす る "」を参照してください。 ICAP スキャンが失敗した場合のアクションが、クライア ント要求を拒否するように設定されていること、 つまりス キャンを完了できなければ要求が許容されないことを確 認します。 ここでデフォルト ルールに対する例外を指定するポリ シーを作成します。 ProxySG および ProxyAV アプライアンスを統合する 6 - 65 ユーザー ベースの ICAP ポリシーを作成する 設定をチューニングする Web 認証を有効にする Web ブラウザを開いたときにユーザーに対してユーザー名とパスワードの入力を求めるプロンプトを表 示するには、Web 認証レイヤを作成する必要があります。 Web 認証を求めるルールの作成 手順 1 Visual Policy Manager はまだ開い ている必要があります。 手順 2 Web 認証レイヤを作成します。 手順 3 認証アクションを設定します。 手順 4 認証に使用するレルム名を指定し ます。 a. [Policy] > [Web Authentication Layer] を選択します。 b. 指定された名前を受け入れるか、 レイヤに説明的な名 前を割り当てます。 c. [OK] をクリックします。 a. [Action] カラムを右クリックし、[Set] を選択します。 [Set Action Object] ダイアログが表示されます。 b. [New] をクリックします。 c. [Add Authenticate Object] [Authenticate] を選択します。 ダイアログが表示されます。 a. [Name] フィールドで、指定された名前を受け入れるか、 オブジェクトの説明的な名前を入力します。 b. 以前に設定した [Realm] ドロップダウン リストから、 レルムの名前を選択します。 c. 再度 [OK] をクリックし、オブ [OK] をクリックします。 ジェクトを追加します。 認証ルールを作成する ブロックされたファイル タイプへのアクセスを許容するユーザー/ グループとアクセスを否定するユー ザー/ グループを指定するルールを作成します。 ブロックされたファイル タイプへのアクセスを許可 / 拒否するルールの作成 手順 1 Visual Policy Manager はまだ開い ている必要があります。 手順 2 Web アクセス レイヤを作成します。 a. 6 - 66 [Policy] > [Web Access Layer] を選択します。 b. 指定された名前を受け入れるか、 レイヤに説明的な名 前を割り当てます。 c. [OK] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する ユーザー ベースの ICAP ポリシーを作成する 設定をチューニングする ブロックされたファイル タイプへのアクセスを許可 / 拒否するルールの作成 手順 3 ブロックされたファイル タイプへの a. アクセスを許容するユーザーのユー ザー オブジェクトを作成します。 b. 注意:ユーザー グループを作成済み、 c. 個々のユーザーではなくグループに 基 づ い て ル ー ル を 作 成 す る に は、 d. ユーザー オブジェクトではなくグ ループ オブジェクトを作成します。 グループ情報の指定を除いて、手順 e. を右に進めます。 f. 手順 4 ICAP エラー コードに基づいてサー a. ビス オブジェクトを作成します。 [Source] カラムを右クリックし、 [Set] を選択します。 [Set Source Object] ダイアログが表示されます。 [New] をクリックします。 [Add User Object] ダイアログが [User] を選択します。 表示されます。 [User] フィールドにユーザー名を入力します。 注意 : ローカル レルムでは大文字と小文字を区別します。 以 [Authentication Realm] ドロップダウン リストから、 前に設定したレルムの名前を選択します。 再度 [OK] をクリックし、オブ [OK] をクリックします。 ジェクトを追加します。 [Service] カラムを右クリックし、 [Set] を選択します。 [Set Service Object] ダイアログが表示されます。 b. [New] をクリックします。 c. [Add ICAP Error Code [ICAP Error Code] を選択します。 Object] ダイアログが表示されます。 d. [Selected Errors] を選択します。 e. [Available Errors] のリストから、[File Type Blocked] を 選択します。 f. [Add] をクリックします。 [File Type Blocked] が [Selected Errors] リストに移動します。 g. 名前を [Name] フィールドで、 [ICAPError_FileTypeBlocked] に変えます。 h. [OK] をクリックします。再度 [OK] をクリックし、オブ ジェクトを追加します。 手順 5 このユーザーについては、 ブロック a. されたファイル タイプへのアクセ スを許容することを示します。 ProxySG および ProxyAV アプライアンスを統合する [Action] カラムを右クリックし、[Allow] を選択します。 [Set Service Object] ダイアログが表示されます。次に示 すようなルールが作成されます。 6 - 67 ユーザー ベースの ICAP ポリシーを作成する 設定をチューニングする ブロックされたファイル タイプへのアクセスを許可 / 拒否するルールの作成 手順 6 同じ Web アクセス レイヤで、別の a. ユーザー/ グループのルールを作成 します。このルールはユーザー/ グ b. ループのアクセスを拒否します。 c. 新しいルール行が表示さ [Add Rule] をクリックします。 れます。 [Service] カラムを右クリックし、[Set] を選択します。 [Set Service Object] ダイアログが表示されます。 既存のサービス オブジェクトから [ICAPError_FileTypeBlocked] を選択します。 d. [OK] をクリックして、オブジェクトを追加します。次に 示すようなルールが作成されます。 デフォルトのアクションは [Deny] なので、すでに正しく設 定されています。 手順 7 アクセスを許容または拒否したい別 上の手順にしたがって、Web アクセス レイヤに適切なルー のユーザー/ グループを作成します。 ルを作成します。 手順 8 ポリシー ( すべてのレイヤ ) をイン a. ストールします。 b. c. 手順 9 ポリシーをテストします。 [Install Policy] をクリックします。 [OK] をクリックします。 VPM ウィンドウを閉じます。 「許可」ルールが適用されるユーザーやブロックされたファ イル タイプを含むアーカイブ ファイル (EXE ファイルを含 む ZIP ファイルなど ) をもつユーザーは、ブロックされた ファイル タイプをポイントする URL にアクセスできます。 「拒否」ルールが適用されるユーザーがブロックされたファ イル タイプへのアクセスを試みると、 次のような画面が表 示されます。 6 - 68 ProxySG および ProxyAV アプライアンスを統合する 要求変更 ICAP サービスを実装する 設定をチューニングする 要求変更 ICAP サービスを実装する 受信トラフィックを対象とした ICAP 応答変更は、 ウイルスからの保護に使用します。 発信トラフィック を対象とした ICAP 要求変更は、大部分が データ漏えい対策 (DLP) に使用します。 1. 要求変更するための ICAP サービスを ProxySG で作成します。 2. 発信トラフィックのデータ漏えい対策のため、ICAP 要求サービスのポリシーを作成します。 3. ポリシーをテストします。 注意 同じクライアント要求について、 配信元コンテンツ サーバーに送信される前に要求変更が適用され、 オブジェクト データが返るときに応答変更が適用されることが可能です。 ICAP 応答サービスを作成する 次の一般的手順を実行して、ICAP 要求変更サービスを作成します。 ICAP 要求変更サービスの作成 手順 1 ProxySG Management Console にロ グインします。 手順 2 新しい ICAP サービスを作成します。 a. [Configuration] > [External Services] > [ICAP] > [ICAP Services] を選択します。 b. [New] をクリックします。 c. サービスに説明的な名前を割り当てます。たとえば、 DLP とします。 サーバー リストに新しい ICAP d. [OK] をクリックします。 オブジェクトが表示されます。 手順 3 新しいサービスを編集します。 a. 新しく追加した DLP サービスを選択し、[Edit] をクリッ クしてサービスを編集します。 b. [Service URL] には、 ProxyAV の URL を入力します。 URL には、スキーム、ProxyAV のホスト名または IP ア ドレス、ICAP サービス名が含まれます。たとえば、 icap://10.10.10.10/avscan です。 c. ICAP メソッドとして、[request modification] を選択 します。 サービスのオ d. 必要に応じてほかの設定を変更します。 プション設定についての詳細は、 ページ 6-59 の "ICAP サービスを変更する " を参照してください。 e. ProxySG および ProxyAV アプライアンスを統合する ProxyAV がサポート [Sense settings] をクリックして、 する最大 ICAP 接続数を自動検出します。 6 - 69 要求変更 ICAP サービスを実装する 設定をチューニングする ICAP 要求ポリシーを作成する ICAP 要求のポリシーを設定します。ICAP 要求モードは発信要求のスキャンに使用し、URL のフィルタリ ング、ウイルス スキャンやデータ漏えい対策を実行することができます。次の例では、ICAP 要求はすべて の発信 HTTP、 HTTPS、 FTP 接続をスキャンし、 FTP サーバーにウイルスがアップロードされるのを防ぎます。 ICAP 要求ポリシーの設定 手順 1 Web アクセス レイヤを作成します。 a. [Policy] > [Web Access Layer] を選択します。 b. レイヤに説明的な名前 (DLP など ) を割り当てます。 c. [OK] をクリックします。 手順 2 要求ポリシーの HTTP/HTTPS サー a. ビス オブジェクトを作成します。 [Service] カラムを右クリックし、[Set] を選択します。[Set Service Object] ダイアログが表示されます。 b. [New] をクリックします。 c. [Add Methods Object] [Protocol Methods] を選択します。 ダイアログが表示されます。 d. プロトコル メソッドに [HTTP] と名前を付けて、 [Protocol] リストから [HTTP/HTTPS] を選択します。 e. [Common methods] セクションで、[POST] および [PUT] チェックボックスをオンにして、 [OK] をクリックします。 手順 3 FTP サービス オブジェクトを作成 a. します。 [Set Action Object] ダイアログで、[New] をクリックし ます。 b. [Add Methods] ダイ [Protocol Methods] を選択します。 アログが表示されます。 c. プロトコル メソッドに [FTP] と名前を付けて、 [Protocol] リストから [FTP] を選択します。 d. [Commands that modify data] セクションで、 [STOR] チェッ クボックスをオンにして、 [OK] をクリックします。 6 - 70 ProxySG および ProxyAV アプライアンスを統合する 要求変更 ICAP サービスを実装する 設定をチューニングする ICAP 要求ポリシーの設定 手順 4 組み合わせ (HTTP と FTP) サービ a. ス オブジェクトを作成します。 [Set Action Object] ダイアログで、[New] をクリックし ます。 b. [HTTP] オブジェクトを選択して、[Add] をクリックし ます。 c. [FTP] オブジェクトを選択して、 [Add] をクリックします。 d. [OK] をクリックします。 e. 手順 5 要求ポリシーのアクションを設定 a. します。 [Combined Service] オブ [OK] をもう一度クリックして、 ジェクトを [Web Access Layer] サービスとして設定し ます。 [Action] カラムを右クリックしてから、[Set] を選択し ます。 b. [New] をクリックし、 [Set ICAP Request Service] を選 択します。[Add ICAP Request Service Object] ダイアロ グが表示されます。 c. [DLP ICAP Request] サービスを選択し、[Add] をクリッ クします。 d. [OK] をクリックします。 e. [OK] をもう一度クリックします。 手順 6 ポリシー ( すべてのレイヤ ) をイン a. [Install Policy] をクリックします。 ストールします。 b. [OK] をクリックします。 c. ProxySG および ProxyAV アプライアンスを統合する VPM ウィンドウを閉じます。 6 - 71 要求変更 ICAP サービスを実装する 6 - 72 設定をチューニングする ProxySG および ProxyAV アプライアンスを統合する 7 複数の ProxyAV アプライアンス間の 負荷分散 この章では、複数の ProxyAV アプライアンスを含む展開で、要求をスキャンする際に負荷分散を設定する 方法を説明します。このセクションで説明するトピックは次のとおりです。 S ICAP サービス グループについて — ページ 7-74 S ICAP サービス グループ内での重みを指定する — ページ 7-77 S 負荷分散ポリシーを作成する — ページ 7-78 ProxySG および ProxyAV アプライアンスを統合する 7 - 73 ICAP サービス グループについて 複数の ProxyAV アプライアンス間の負荷分散 ICAP サービス グループについて ProxySG ICAP サービスとは、ProxyAV、 ICAP メソッドおよびサポートされた接続数を識別する名前付き エンティティです。 サービス グループとは、ICAP サービスの名前付きセットです。大量のスキャン要求を処理 する複数の ProxyAV アプライアンスを使用してサービス グループを作成する必要があります ( 負荷分散 )。 凡例 : A:AV1。最大 10 の接続があり、重みが 1 に指定されている ProxyAV。 B:AV2。最大 10 の接続があり、重みが 1 に指定されている ProxyAV。 C:AV3。最大 25 の接続があり、重みが 3 に指定されている ProxyAV。 D:AV_Reponse という名前で AV1、AV2 および AV3 で構成されるサービス グループを持 つ ProxySG。 図 7-1 3 台の ProxyAV ICAP サーバーで構成された ICAP サービス グループ。 複数の ProxyAV アプライアンスの同一の ICAP サービス グループをそれぞれが使用する複数の ProxySG アプライアンスを使用する展開が可能です。 ProxySG がサービス グループ内で複数のサービスに要求を転送している場合に、スキャン要求の負荷を配 分し、分散するため、ProxySG ではインテリジェントな負荷分散アルゴリズムが使用されています。スキャ ン要求を送信するサービス グループ内のサービスを決定する場合、このアルゴリズムでは次の要素が考慮 されます。 • 各サービスで「待機」状態にある要求の数 ( サービスに送信されて応答が受信されていないと、要求は この状態になります ) • 各サービスで使用できるが使用されていない接続の数 ( サーバーの最大接続数からアクティブなトラ ンザクションの数を引いて計算 ) • 各サーバーに対するユーザー指定の重み ( 次の「重み付け」を参照 ) 7 - 74 ProxySG および ProxyAV アプライアンスを統合する 複数の ProxyAV アプライアンス間の負荷分散 ICAP サービス グループについて 重み付け 重み付けとは、ある ProxyAV の負荷とほかのものがの負荷との相対的割合を決定するものです。すべての ProxyAV サーバーの重みがデフォルト (1) であるか、同じ重み付けがされていると、各サーバーは同じ比率 の負荷を共有します。1 つのサーバーの重みが 25 で、 その他すべてのサーバーの重みが 50 の場合、 重みが 25 のサーバーの処理量は、その他のサーバーの半分になります。 重みを設定する前に、各サーバーの容量を考慮してください。次のような要因が、ProxyAV に割り当てられ る重みに影響を及ぼす可能性があります。 • ある ProxyAV が他の ProxyAV アプライアンスとの関係でもつ処理容量、( たとえば、CPU の数とパ フォーマンス、またはネットワーク インターフェース カードの数 )。 • サービスに設定された最大接続数。最大接続数の設定は、サーバーで同時に実行されるスキャン数に関 するものであるのに対して、重み付けは統合状態での処理能力に関するものです。これらの設定値は直 接的な関係はありませんが、重み付け負荷分散を設定する際には、両方とも考慮する必要があります。 注意 外部サービス (ICAP、 Websense off-box) はヘルスチェック用に接続が予約されています。このことは 負荷が増大し、外部サービスへの接続数が最大に達すると、キューに登録される要求が追加されて待 機状態になり、最大同時接続数はほぼ限界に達することを意味します。 サービス グループのすべての ProxyAV サーバーが過負荷になる場合は、サービスに適切な重みを割り当 てることが大変重要です。 要求は重みに従ってキューに並ぶため、 サーバーが容量に達したときに適切な 重み付けがされていることが非常に重要です。 重み付けの割り当てを判断するテクニックの 1 つとして、グループの各サービスに同じ重みを設定し、 数 千回要求を行った後で、各サービスによって処理された要求の数を確認する方法があります。たとえば、グ ループに 2 つのサービスがあるとします。サービス A は 1212 件の要求を処理し、サービス B は 2323 件を 処理しました。これらの数字は、2 番目のサービスは 1 番目のサービスの 2 倍強力だということを示してい ます。この場合、サービス A の重みは 1 で、 サービス B の重みは 2 になるでしょう。 重みの値を 0 ( ゼロ ) に設定すると、ICAP サービスについて、重み付けされた負荷分散が無効になります。 このため、サーバー 2 つで構成されたグループの ProxyAV の 1 つの重みの値が 1 で、2 番目のサーバーの重 みの値が 0 の場合、1 番目の ProxyAV がダウンすると、2 番目の ProxyAV が要求を処理できないため、通信 エラーが発生します。 負荷分散 サービス間で負荷分散が行われている場合、どの ICAP サービスにスキャン要求を送信するかを ProxySG はどのように判断するのでしょうか。各サービスについて、 待機中のトランザクションの数をサーバーの 重みで割ったインデックスが計算されます ( 待機数 / 重みと考えてください )。サービスに使用可能な接続 があると仮定すると、インデックスの値が最も低い ICAP サービスが新しい ICAP アクションを処理しま す。そのサービスに使用できる接続がない場合、空き接続があり、次に低いインデックスの値を持つサービ スに要求が送信されます。 すべてのサービスで最大接続制限に達するまで、設定された重みに従って、 負荷はサービス全体に均等に 分散されます。 ProxySG および ProxyAV アプライアンスを統合する 7 - 75 ICAP サービス グループについて 複数の ProxyAV アプライアンス間の負荷分散 例1 サービス A とサービス B は、同じサービス グループに属しています。 • サービス A は最大 50 の接続を処理でき、割り当てられた重みは 1 で、アクティブなトランザクション が 17、 待機状態のトランザクションが 5 あります。 インデックスは、 待機数を重みで割って計算し、 5/1 = 5 となります。 • サービス B は最大 100 の接続を処理でき、割り当てられた重みは 2 で、アクティブな接続が 17、待機状 態のトランザクションが 15 あります。インデックスは 15/2 = 7.5 となります。 どのサービスでしょうか。 インデックスが低いサー ProxySG が次の ICAP アクションを割り当てるのは、 ビス A に割り当てます。 例2 サービス C とサービス D は、同じサービス グループに属しています。 • サービス C は最大 5 の接続を処理でき、割り当てられた重みは 1 で、アクティブなトランザクションが 5、 待機状態のトランザクションが 1 あります。インデックスは 1/1 = 1 となります。 • サービス D は最大 10 の接続を処理でき、割り当てられた重みは 1 で、アクティブな接続が 7、待機状態 のトランザクションが 5 あります。インデックスは 5/1 = 5 となります。 ProxySG が次の ICAP アクションを割り当てるのは、どのサービスでしょうか。サービス C のインデック スはサービス D より低いですが、使用可能な接続がありません。このため、ProxySG は次の ICAP アクショ ンを複数の空き接続のあるサービス D に割り当てます。 7 - 76 ProxySG および ProxyAV アプライアンスを統合する 複数の ProxyAV アプライアンス間の負荷分散 ICAP サービス グループ内での重みを指定する ICAP サービス グループ内での重みを指定する ProxySG に ProxyAV アプライアンスを追加すると、自動的に ICAP サービス グループが 1 つ作成されま す。たとえば、proxyav サービス グループは ProxySG で設定したすべての応答変更サービスを含みます。 負荷を分散するには、サービス グループ内の各サービスに重みを割り当てなければなりません。この指定 した重みによって、サービス グループ内で各 ProxyAV に向けられる要求の数が決まります。 ICAP サービス グループに重みを割り当てる 手順 1 ProxySG Management Console にロ グインします。 手順 2 サービス グループを編集して、グ a. [Configuration]> [External Services] > [Service Groups] ループの各サービスに重みを割り当 を選択します。 てます。 b. サービス グループを選択して、 [Edit] をクリックします。 [Edit Service Group] ダイアログが表示されます。 c. サービスを選択して、 [Edit [Edit] をクリックします。 Service Group Member] ダイアログが表示されます。 d. [Entry Weight] フィールドに割り当てる重みの値を入 力します。値の範囲は 0 ~ 255 です。 e. グループの各サービスについて、手順 a と手順 b を繰り 返します。 f. ダイアログを閉じます。 [OK] をクリックして、 g. 再度 [OK] をクリックして、[Edit Service Group Entry] ダイアログを閉じます。 h. [Apply] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する 7 - 77 複数の ProxyAV アプライアンス間の負荷分散 負荷分散ポリシーを作成する 負荷分散ポリシーを作成する ICAP 応答負荷分散ポリシーは、基本的には標準的な ICAP 応答ポリシーと同じです。唯一の違いは、応答 サービス オブジェクトとして、サービスではなく、サービス グループを指定する点です。 ProxySG は、ICAP 負荷分散ポリシーを使用して、サービス グループの ProxyAV アプライアンスに ICAP 応答変更要求を送信します。グループ内の各 ProxyAV が負担する負荷は、 前のタスクで割り当てた 重み付けの値によって決まります。 負荷分散ポリシーを設定する 手順 1 ProxySG Management Console にロ グインします。 手順 2 VPM を立ち上げます。 手順 3 Web コンテンツ レイヤを作成し ます。 a. [Configuration] > [Policy] > [Visual Policy Manager] を選択します。 b. [Launch] をクリックします。 a. [Policy] > [Web Content Layer] を選択します。 b. レイヤに説明的な名前 (avcluster など ) を割り当てます。 c. [OK] をクリックします。 手順 4 ルールのアクションを作成します。 a. [Action] カラムを右クリックし、[Set] を選択します。 [Set Action Object] ダイアログが表示されます。 b. [New] をクリックします。 c. [Add ICAP [Set ICAP Response Service] を選択します。 ダイアログが表示されます。 Response Service Object] 手順 5 応答サービス グループ オブジェク a. トを設定します。 b. c. サービス グループの [Secure ICAP mode] を選択します。 [Use ICAP response service] を選択します。 [Available services] リストで、応答サービス グループを 選択して、[Add] をクリックします。 d. [Deny the client request] を選択します。 手順 6 ポリシーをインストールします。 7 - 78 e. 再度 [OK] をクリックし、オブ [OK] をクリックします。 ジェクトを追加します。 a. [Install Policy] をクリックします。 b. [OK] をクリックします。 c. VPM ウィンドウを閉じます。 ProxySG および ProxyAV アプライアンスを統合する 8 ProxyAV フェールオーバーを設定する この章では、2 つの ProxyAV アプライアンスを使用して、プライマリ ProxyAV がフェールした場合に冗長 性を提供する方法を説明します。このセクションで説明するトピックは次のとおりです。 S ProxyAV フェールオーバーについて — ページ 8-80 S ProxyAV フェイルオーバー ポリシーを作成する — ページ 8-81 ProxySG および ProxyAV アプライアンスを統合する 8 - 79 ProxyAV フェールオーバーについて ProxyAV フェールオーバーを設定する ProxyAV フェールオーバーについて フェールオーバーとは、プライマリ アプライアンスがフェールした際に、冗長またはセコンダリ アプライ アンスに自動的に切り替える機能です。 ネットワークをマルウェアの脅威からつねに保護するために、 同 じサブネットに 2 つの ProxyAV アプライアンスを展開して、プライマリ ProxyAV がフェールした際に ICAP の処理を第 2 のアプライアンスにフェールオーバーさせることができます。 ICAP ポリシーを作成する場合、使用する ICAP サーバーのリストを優先順に並べて指定できます。リスト 中の最初のサービスがヘルスチェックに合格しない場合、ProxySG はリストにある次のヘルシーなサービ スを使用してスキャンを実行します。この代替 ProxyAV を スタンバイ サーバーといいます。 次のヘルス チェックに成功すると、プライマリ ProxyAV によって ICAP の処理が再開されます。スタンバ イ ProxyAV はプライマリの役割を保持しません。 注意 • フェールオーバーは、ICAP ポリシー定義の一部として設定されます。 • ProxySG に ICAP サービスが設定されるまで、フェールオーバー ポリシーを設定することはできません。 • エラーを回避するために、ICAP サービス名を fail_open または fail_closed にすることはできません (CLI コマンドによってこれらの名前が作成できないようになっています )。 8 - 80 ProxySG および ProxyAV アプライアンスを統合する ProxyAV フェールオーバーを設定する ProxyAV フェイルオーバー ポリシーを作成する ProxyAV フェイルオーバー ポリシーを作成する ProxyAV フェールオーバー ポリシーは、2 つのサービスをポリシーに追加する ( 各 ProxyAV に 1 つずつ ) 点を除いて、標準 ICAP 応答ポリシーと似ています。どちらの ProxyAV をプライマリ サーバーとし、 どち らをスタンバイ サーバーとするかは、サービスを選択する順で決まるので、 プライマリを先に選択してく ださい。ICAP フェールオーバー ポリシーが、すべての ICAP スキャンにプライマリ ProxyAV を使用する ように ProxySG に指示します。プライマリ サーバーがフェールすると、そのサーバーが再びヘルシーにな るまで ProxySG はスタンバイ ProxyAV をスキャンに使用します。 次の手順では、 各 ProxyAV にすでに ICAP サービスを作成してあることを前提としています。 ページ 4-28 の " タスク 2: インパスの脅威を検出するため ProxyAV を追加する " を参照してください。サービスは同じタイ プ ( 応答変更など ) でなければなりません。 ProxyAV フェールオーバー ポリシーの設定 手順 1 ProxySG Management Console にロ グインします。 手順 2 VPM を立ち上げます。 a. [Configuration] > [Policy] > [Visual Policy Manager] を選択します。 b. [Launch] をクリックします。 手順 3 Web コンテンツ レイヤを作成し ます。 a. [Policy] > [Web Content Layer] を選択します。 b. レイヤに説明的な名前 (avfailover など ) を割り当てます。 c. [OK] をクリックします。 手順 4 ルールのアクションを作成します。 a. [Action] カラムを右クリックし、[Set] を選択します。 [Set Action Object] ダイアログが表示されます。 b. [New] をクリックします。 c. [Add ICAP [Set ICAP Response Service] を選択します。 ダイアログが表示されます。 Response Service Object] 手順 5 応答サービス グループ オブジェク a. [Use ICAP response service] を選択します。 トを設定します。 プライマリ ProxyAV サー b. [Available services] リストで、 ビスを選択して、[Add] をクリックします。 c. [Available services] リストで、セコンダリ ( スタンバイ ) ProxyAV サービスを選択して、 [Add] をクリックします。 d. [Deny the client request] を選択します。 手順 6 ポリシーをインストールします。 e. 再度 [OK] をクリックし、オブ [OK] をクリックします。 ジェクトを追加します。 a. [Install Policy] をクリックします。 b. [OK] をクリックします。 c. ProxySG および ProxyAV アプライアンスを統合する VPM ウィンドウを閉じます。 8 - 81 ProxyAV フェイルオーバー ポリシーを作成する 8 - 82 ProxyAV フェールオーバーを設定する ProxySG および ProxyAV アプライアンスを統合する 9 ベスト プラクティスの設定 この章では、 スキャン性能を向上するための戦略を説明します。 このセクションで説明するトピックは次 のとおりです。 S スキャン リソースを節約する — ページ 9-84 – ソリューション A:ノースキャン ポリシー—ページ 9-84 (遅延スキャンが有効になっていない場合 にのみ必要です ) – ソリューション B: エラー発見までスキャン ポリシー— ページ 9-87 S PDF ドキュメントのベスト プラクティス — ページ 9-89 S 取り消された接続の処理を避ける — ページ 9-89 ProxySG および ProxyAV アプライアンスを統合する 9 - 83 スキャン リソースを節約する ベスト プラクティスの設定 スキャン リソースを節約する HTTP Web オブジェクトは非常に小さなサイズから大きなサイズまであり、スキャンした各オブジェクト について、ProxyAV でスキャン リソース ( 接続 ) が使用されます。無限ストリームや低速ダウンロードと呼 ばれる一部のオブジェクトには、オブジェクトの終点がありません。たとえば、ストック ティッカー( 証券 コード掲示板 ) は Web ブラウザを使用して HTTP で転送される無限データ ストリームです。 ProxyAV が一定時間に使用できる ICAP 接続数は限られているので、このタイプのデータをスキャンしよ うとすると、エラーが返されるまで長い時間とかなりの ProxyAV リソースを消費する ( ほかのスキャンを 低速化させる可能性がある)可能性があります。継続が認められると、これらの転送は次の ICAP エラー コードのどちらかで失敗します。 • 最大ファイル サイズを超過 • スキャン タイムアウト ProxyAV のデフォルト設定では、ファイル サイズが 100MB を超えるか、スキャン時間が 800 秒を超える と、このようなエラーをトリガします。これらの設定はほかのタイプの Web オブジェクトには適していま すが、Web カメラやストック ティッカーのような無限ストリームには効果がありません。システム リソー スを節約し、無限ストリームをスキャンするのを防ぐには、次に示すソリューション A または B のどちら かを選択します。 それぞれのソリューションはアプローチが異なるので、 一緒に使用することはできません。 ソリューション A: ノースキャン ポリシー ユーザーの満足度を高め、 問題を起こすことがわ ProxyAV のパフォーマンスを最大限に発揮するために、 かっているデータ ストリームについてはスキャンをしないユーザーもいます。このポリシーには、 リスクは例外処理によって、 悪意あるコンテンツがス ProxyAV の負荷が軽減するという利点があります。 キャンされないままウイルスが通り抜けるおそれがある点です。 注意「ページ 4-30 の“タスク 3: マルウェア スキャンを有効にする” 」で勧めたように、遅延スキャンを有効 にしてあれば、このポリシーは必要ありません。ProxyAV の遅延スキャン機能は、極端に大きなデー タや低速ダウンロードのスキャンを防止します。 このポリシーは、過度に大きいか低速のダウンロードであることを示す要求 / 応答パターンに基づいてい ます。このポリシーは ICAP 応答ルールが定義済みであることを前提としています。ストリーミング オブ ジェクトや、スキャンすべきでないオブジェクトをスキャンしようとすると、 このポリシーのアクション により (no) にリセットします。ポリシーはコンテンツの長さが示されていない非常に長いコンテンツやオ ブジェクトを探します。 これらはこのオブジェクトが ProxyAV のリソースを独占する可能性があるサイ ンです。ポリシーは一般的な無限ストリーミング メディア タイプのほか、スキャンに問題を引き起こすこ とがわかっているユーザー エージェントも探します。ポリシーはさらに、無限ストリームを含むことがわ かっているためスキャンすべきでない URL ドメイン (finance.google.com や youtube.com) も定義します。 9 - 84 ProxySG および ProxyAV アプライアンスを統合する ベスト プラクティスの設定 スキャン リソースを節約する Blue Coat はこのポリシー向け Content Policy Language (CPL) を書いており、ファイルをダウンロードし て、必要に応じてカスタマイズし、ProxySG にインストールすることができます。 低速ダウンロードを対象としたノースキャン ポリシーのインストール 手順 1 CPL テキスト ファイルをダウンロー a. ドします。 次のサイトに進みます。 http://techlabs.bluecoat.com/policy/icap_noscan.txt またはこの手順を実行した後のテキストを参照します。 b. ファイルをデスクトップなどの使いやすい場所に保存 します。 c. 条件に合わせてポリシーを変更します。 たとえば、 無限 ストリームが含まれることがわかっている URL ドメ インを追加することができます。 手順 2 ProxySG Management Console にロ グインします。 手順 3 ポリシー ファイルをインストールし a. ます。 b. c. [Configuration] > [Policy] > [Policy Files] を選択します。 [Install Local File] ドロップダウンリストから、 [Text Editor] を選択します。 ブラウザのウィンドウが [Install] をクリックします。 「ローカル ポリシー ファイルの編集とインストール」 ページを表示します。 d. CPL ファイルを開いて、テキストをコピーします。 e. 「ローカル ポリシー ファイルの変更とインストール」 ページに戻り、 ファイルのコンテンツを ProxySG の ローカル ポリシー ファイルの最後にペーストします。 f. インストレーションが成功 [Install] をクリックします。 したかどうかを示すダイアログが表示されます。ファ イルにエラーがあるときは必要に応じて修正してか ら、再インストールします。 ノースキャン ポリシー用 CPL ; -------------ICAP Best Practices---------------------------------------------;;; The actual ICAP respmod rule should already be defined, these actions will ;;; reset it back to (no) upon an attempt to scan a streaming object or an object ;;; that shouldn't be scanned <cache> delete_on_abandonment(yes) <cache> url.scheme=http condition=NOICAP response.icap_service(no) <Proxy> request.header.User-Agent="ProxyAV" patience_page(no) ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;; ;; This condition will match if the content length is greater than ;; 99,999,999 bytes, or no content length is provided.Both of ;; these are signs that this may tie up a thread on the AV for too long. ProxySG および ProxyAV アプライアンスを統合する 9 - 85 スキャン リソースを節約する ベスト プラクティスの設定 define condition NO_or_LARGE_CONTENT_LENGTH response.header.Content-Length=!"" response.header.Content-Length=!"^[0-9]{1,8}$" end condition NO_or_LARGE_CONTENT_LENGTH ;; Here are some common infinite stream media types, these will ;; also block some threads on the AV. define condition MEDIA_MIME_TYPES response.header.Content-Type="video/" response.header.Content-Type="application/streamingmedia" response.header.Content-Type="application/x-streamingmedia" response.header.Content-Type="application/vnd.rn" response.header.Content-Type="application/ogg" response.header.Content-Type="application/x-ogg" response.header.Content-Type="audio/" response.header.Content-Type="multipart/x-mixed-replace" end condition MEDIA_MIME_TYPES ;; None of these exist right now define condition Missbehaving_Modern_UserAgents ; Add modern user-agents known to missbehave to this condition ; and remove the comment character (semicolon) before Rule 3 above. ;request.header.User-Agent="" end condition Missbehaving_Modern_UserAgents define condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH condition=NO_or_LARGE_CONTENT_LENGTH condition=MEDIA_MIME_TYPES end condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH define condition UserAgents_with_NO_or_LARGE_CONTENT_LENGTH condition=Missbehaving_Modern_UserAgents condition=NO_or_LARGE_CONTENT_LENGTH end condition UserAgents_with_NO_or_LARGE_CONTENT_LENGTH define condition MissBehaving_Old_UserAgents request.header.User-Agent="Winamp" request.header.User-Agent="NSPlayer" request.header.User-Agent="RMA" request.header.User-Agent="ultravox" request.header.User-Agent="itunes" request.header.User-Agent="forest" request.header.User-Agent="Scottrader" request.header.User-Agent="SVN" end condition MissBehaving_Old_UserAgents define condition HTTPv0.9_UserAgents http.response.version=0.9 condition=MissBehaving_Old_UserAgents end condition HTTPv0.9_UserAgents define condition NOICAP condition=VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH condition=HTTPv0.9_UserAgents condition=UserAgents_with_NO_or_LARGE_CONTENT_LENGTH ; Yahoos stock ticker problem -15sep06 url.domain=//streamerapi.finance.yahoo.com url.domain=//stream.aol.com url.domain=//finance.google.com ; Other streaming media exceptions url.domain=//youtube.com url.domain=//pandora.com end condition NOICAP ; -------------End ICAP Best Practices------------------------- 9 - 86 ProxySG および ProxyAV アプライアンスを統合する ベスト プラクティスの設定 スキャン リソースを節約する ソリューション B: エラー発見までスキャン ポリシー 兆候を示すエラー ([Maximum file size exceeded] または [Scan timeout]) が発生するのを待ってから、デー タ ストリームをスキャンせずに配信するのを待つ管理者もいます。 このアプローチでは、すべてのデータ が確実に ProxyAV に送信されるので、スキャン量が最大となる可能性があります。 このアプローチの欠点は、無限データ ストリームに対するすべての要求が、ProxyAV で設定した最大ファ イル サイズかスキャン タイムアウトに達しなければならない点です。このようなデータ ストリームに対 する同時要求が十分な数になると、要求キューはほかのトラフィックの速度を低下させるか遅延します。 このポリシー例は、エラーが [Maximum file size exceeded] または [Scan timeout] であればデータ ストリー ムにとって有用ですが、 このほかのエラーは拒否します。 Blue Coat はこのポリシー向け CPL を書いており、 ファイルをダウンロードして、 必要に応じてカスタマイズし、 ProxySG にインストールすることができます。 低速ダウンロードを対象としたノースキャン ポリシーのインストール 手順 1 CPL テキスト ファイルをダウンロー a. ドします。 次のサイトに進みます。 http://techlabs.bluecoat.com/policy/icap_scan.txt またはこの手順を実行した後のテキストを参照します。 b. ファイルをデスクトップなどの使いやすい場所に保存 します。 c. [<resp_service>] を ICAP 応答サービス名に置き換え ます。 d. 条件に合わせてポリシーを変更します。 手順 2 ProxySG Management Console にロ グインします。 手順 3 ポリシー ファイルをインストールし a. [Configuration] > [Policy] > [Policy Files] を選択します。 ます。 b. [Install Local File] ドロップダウンリストから、[Text Editor] を選択します。 c. ブラウザのウィンドウが [Install] をクリックします。 「ローカル ポリシー ファイルの編集とインストール」 ページを表示します。 d. CPL ファイルを開いて、テキストをコピーします。 e. 「ローカル ポリシー ファイルの変更とインストール」 ページに戻り、 ファイルのコンテンツを ProxySG の ローカル ポリシー ファイルの最後にペーストします。 f. ProxySG および ProxyAV アプライアンスを統合する インストレーションが成功 [Install] をクリックします。 したかどうかを示すダイアログが表示されます。ファ イルにエラーがあるときは必要に応じて修正してか ら、再インストールします。 9 - 87 スキャン リソースを節約する ベスト プラクティスの設定 エラー発見までスキャン ポリシーのコード ; edit the <resp_service> below to be the name of your ICAP respmod service name <cache> response.icap_service(<resp_service>, fail_open) <proxy> condition=!maxfilesizeexceeded_or_scantimeout_errors exception(icap_error) define condition maxfilesizeexceeded_or_scantimeout_errors_or_none icap_error_code=max_file_size_exceeded icap_error_code=scan_timeout icap_error_code=none end condition maxfilesizeexceeded_or_scantimeout_errors_or_none 9 - 88 ProxySG および ProxyAV アプライアンスを統合する ベスト プラクティスの設定 PDF ドキュメントのベスト プラクティス PDF ドキュメントのベスト プラクティス Adobe Acrobat ブラウザ プラグインの一部バージョンでは、一定の PDF ドキュメントとやり取りする際 に、バイト範囲グループ数が非常に多い要求を行います。HTTP バイト範囲要求とは、オブジェクト内の データの一部のみ要求する方法です。1 つの HTTP 要求でスタート バイトとストップ バイトのオフセット を使用して、リスト中の複数のバイト範囲を指定できます。 ProxyAV は 1 請求あたり最大 70 バイトの範囲までサポートします。範囲が 70 バイトより少ない要求の場 合、オブジェクト データは配信元サーバーから取得して、通常通りスキャンします。オブジェクト全体がす でにキャッシュに格納されている場合、 各バイト範囲をキャッシュに格納されたデータから抜き出して、 配信します。ただし、要求の範囲が 70 バイトを超える場合、 ProxySG はキャッシュからはデータを提供で きず、 配信元サーバーからデータを取得して再スキャンしなければなりません。 一部の Acrobat プラグインでは、このような 70+ バイト範囲の取得中に ProxySG のお詫びページの動作を ハンドルできず、空の画面を表示します。このような Acrobat プラグインは、お詫びページの操作も含め て、これ以外のすべての要求に対して正常に動作します。 通常、 この問題は Acrobat プラグインをアップグレードすることで解決します。ただし、アップグレードで きない場合や特定の PDF ファイルでこの動作が続けてトリガされる場合は、お詫びページではなく、タイ プが異なる ICAP フィードバック、 つまりデータ トリックルを使用することができます。デフォルトの 特定のドメインから PDF オブジェクトのデータ ト ICAP フィードバックを変更する必要はありません。 リックルを指定できます。次のポリシー例では、Blue Coat のサイトからの PDF オブジェクトのデータ ト リックルを有効にします。 <proxy> url.domain=bluecoat.com url.extension=(pdf) response.icap_feedback.interactive(trickle_start,5) ダウンロードの終わりにデータ トリックルする場合は、 「trickle_end」を使用します。 取り消された接続の処理を避ける 注意 次のポリシーは「ページ 84 の " ソリューション A: ノースキャン ポリシー"」に記載しています。 ノー スキャン ポリシーをインストールしている場合は、この手順をスキップします。 HTTP 要求がキャッシュに格納できると見られる場合、ProxySG は要求しているクライアントが接続を中 止してもダウンロードを完了します。これで ProxySG はオブジェクトのキャッシュに格納されている方 を、将来の要求のために保存することができます。ただし、低速ダウンロードの場合、この動作によって各 クライアント要求がスキャンのため別のインスタンスをキューに追加する可能性があります。 一定のクライアント側アプリケーションについては、 CPL プロパティの「delete_on_abandonment」を有 効にして、アプリケーションが切断された後も要求の処理を継続するのを避けることができます。 注意 お詫びページが有効になっている場合、 「Delete_on_abandonment」は働きません。データ トリックル か、ICAP フィードバックなしの場合のみ使用することができます。 次のポリシー例では、既知の積極的なクライアントについて、 重複する要求がキューに追加されるのを防 ぎます。 <cache> request.header.User-Agent="Winamp" delete_on_abandonment(yes) 次のコードを使用して、 すべてのクライアントを対象に「enable delete_on_abandonment」を有効にする こともできます。 <proxy> delete_on_abandonment(yes) ProxySG および ProxyAV アプライアンスを統合する 9 - 89 PDF ドキュメントのベスト プラクティス 9 - 90 ベスト プラクティスの設定 ProxySG および ProxyAV アプライアンスを統合する 10 トラブルシューティング この章では、ProxySG と ProxyAV を統合する際に生ずる可能性がある問題のソリューションを示します。 このセクションで説明するトピックは次のとおりです。 S ProxyAV が Web トラフィックをスキャンしていない — ページ 10-92 S ユーザーが Web サイトにまったくアクセスできない — ページ 10-93 S トラフィック負荷が大きいとき、ProxySG がメモリを使い切る — ページ 10-96 S スキャンが長くかかりすぎる — ページ 10-96 S ProxyAV がウイルスの更新をしない — ページ 10-97 ProxySG および ProxyAV アプライアンスを統合する 10 - 91 ProxyAV が Web トラフィックをスキャンしていない トラブルシューティング ProxyAV が Web トラフィックをスキャンしていない 現象:ProxyAV のホームページに、スキャンしているファイルが一切表示されない。[Advanced> History 接続、バイトを一切表示しない。 Stats] ページがこの 1 時間 ( その他の直近の時間 ) の ICAP オブジェクト、 ProxySG の [Statistics > ICAP] ページがこの 1 時間 ( その他の直近の時間 ) の 要求、接続、バイトを一切表 示しない。 解決策 :ProxyAV が Web トラフィックをスキャンしていない場合、設定エラーが原因で ProxySG が ProxyAV にトラフィックを送信できない可能性があります。再確認が必要な項目をいくつか示します。 • ICAP サービスを ProxySG で作成しましか?(ページ 4-28 の "タスク 2:インパスの脅威を検出するため ProxyAV を追加する " を参照してください。) • ICAP サービスでは ProxyAV の正しい URL を指定していますか?URL は ProxyAV で指定したもの と同じウイルス対策サービス名を含んでいますか?ウイルス対策サービス名をデフォルト ([avscan]) から変更した場合、これと同じ名前を ProxySG の ICAP サービスでも Service URL の一部として含め なければなりません。Service URL は次のようになるはずです。 • ICAP サービスのポリシーを作成しましたか?(ページ 4-30 の "タスク 3:マルウェア スキャンを有効に する " を参照してください。) 10 - 92 ProxySG および ProxyAV アプライアンスを統合する トラブルシューティング ユーザーが Web サイトにまったくアクセスできない ユーザーが Web サイトにまったくアクセスできない 現象:ユーザー全員が目的の Web サイトにアクセスしようとすると、Web ブラウザが拒否メッセージを表 示する。 解決策 1:ProxyAV がダウンし、ICAP ポリシーが [Deny the client request] に設定されている場合、ICAP 処理中にエラーが発生するとユーザーはインターネットをブラウズすることができなくなり、すべての要 求が拒否されます。したがって、ProxyAV をセットアップする前に、ProxySG で ICAP ポリシーを作成する と、ユーザーは Web アクセスができなくなります。したがって、ICAP ポリシーをインストールする前に、 ProxyAV を起動して実行状態にすることが大切です。 ProxyAV がダウンした場合に Web アクセスができずサポートに連絡するのを避けるため、ICAP ポリシー を [Continue without further ICAP response processing] に変更することが可能です。 この設定では、 がダウンしてもユーザーはインターネットをブラウズすることができます。 ただし、 ProxyAV ProxyAV の ダウンタイム中、ネットワークが開放してウイルスがダウンロードされる可能性があります。( ただしデス クトップのウイルス スキャナがマルウェアに対して多少保護してくれる可能性もあります。) ProxySG および ProxyAV アプライアンスを統合する 10 - 93 ユーザーが Web サイトにまったくアクセスできない トラブルシューティング 解決策 2: この問題は、ICAP サービス、ProxyAV、ICAP ポリシーの間でセキュア ICAP 設定に一貫性がない ことが原因で発生する可能性もあります。HTTPS にセキュア ICAP を使用するには、これら 3 つのすべて で有効にする必要があります。次の一連のスクリーンショットに、ユーザーがセキュアな Web サイト ( セ キュア ICAP でスキャン ) とセキュアでない Web サイト ( プレーン ICAP でスキャン ) をブラウズできる ようにする適切な設定を示します。 図 10-1 ProxyAV で有効にしたセキュアな ICAP 図 10-2 ICAP サービスで有効化したセキュア ICAP (ProxySG で設定 ) 図 10-3 ICAP 応答サービス向けポリシーで有効化したセキュア ICAP (VPM で設定 ) 解決策 3: この問題はセキュア ICAP の SSL 設定が誤っているため発生する可能性があります。次の手順を 実行します。 1. ProxyAV アプライアンス証明書 ([Advanced > SSL Certificates]) をコピーします。 2. ProxyAV アプライアンス証明書を CA 証明書として ProxySG にインポートします ([Configuration] > [SSL] >[CA Certificates] > [Import])。 3. セキュア ICAP だけを対象として新しい CA 証明書リストを作成し、手順 2 で作成した ProxyAV CA 証明書を追加します ([Configuration] > [SSL] > [CA Certificates] > [CA Certificate Lists] > [New])。 10 - 94 ProxySG および ProxyAV アプライアンスを統合する トラブルシューティング ユーザーが Web サイトにまったくアクセスできない 4. セキュア ICAP の新しい SSL デバイス プロファイルを作成します。手順 3 で作成したデフォルト キー リングと CCL を選択します ([Configuration] > [SSL] > [Device Profiles] > [New])。 5. 手順 4 で作成した SSL デバイス プロファイルを使用するように ICAP サービスを設定します ([Configuration] > [External Services] > [ICAP] > [Edit])。 解決策 4: ウイルス対策ライセンスが無効か有効期間を経過しています。ProxyAV でのウイルス対策ライセ ンスの状態を確認するには、[Antivirus] をクリックします。 ProxySG および ProxyAV アプライアンスを統合する 10 - 95 トラフィック負荷が大きいとき、 ProxySG がメモリを使い切る トラブルシューティング トラフィック負荷が大きいとき、ProxySG がメモリを使 い切る 現象:ProxySG が応答しなくなり、再起動が必要になる。 解決策:この問題のもっとも一般的な原因は、 ICAP サービスについて、 [Maximum number of connections] の 設定値が大きすぎることです。 値が大きすぎる場合、ICAP 接続がキューに追加され始め、最終的には ProxySG がメモリを使い切ってしまうため再起動が必要になります。ICAP サービスを編集する際には、 ProxySG に ProxyAV から適切な設定を取得させます。 Blue Coat は [Sense settings] ボタンを使用して、 [Maximum number of connections] の値を手動では編集しないことをお勧めします。 [Sense settings] 機 能が決める適切な値を使用します。 1 つの ProxyAV に ICAP 要求を送信する ProxySG が 2 つある場合、[Maximum number of connections] にあまり大きな値を設定しないように注意することも必要です。[Sense settings] ボタンで最大接続数が 10 となった場合は、この値を 2 で割って、それぞれの ProxySG に設定値として入力します。 スキャンが長くかかりすぎる 現象:ユーザーから Web のブラウズが遅いと苦情がある 解決策 : 遅延スキャンの最大の原因は、ProxyAV が無限ストリームのウイルス スキャンを試みていること です。 この問題を避けるため、Blue Coat は「ベスト プラクティス」の章で説明するポリシーを実装するこ とをお勧めします。詳細は、 「ページ 9-84 の " スキャン リソースを節約する "」を参照してください。 10 - 96 ProxySG および ProxyAV アプライアンスを統合する トラブルシューティング ProxyAV がウイルスの更新をしない ProxyAV がウイルスの更新をしない 現象:ネットワーク管理者がウイルス対策の更新に失敗したという電子メール通知を受け取る。 解決策 1:DNS サーバーが一時的にダウンしたなどのネットワーク上の問題で、 ウイルスの更新ができな かった可能性があります。強制更新を試してください: 解決策 2: 各ウイルス対策ベンダーは、ウイルスの一部 ( または説明 ) をかならず含むパターン ファイル の 更新を行います。一般にウイルスのこれらの部分はエンコードされ、非常に小さいため、ほかの AV ベン ダーに真正のウイルスであると誤解されることはありません。ただし、偽陽性が発生することがあります。 これは次のポリシー例が示すように ( このポリシーは ProxySG にあるほかのすべての ICAP ポリシーの後 に置きます ) ウイルス パターン更新場所を、スキャン対象から除外することで防止できます。 <cache> url.host=download.bluecoat.com response.icap_service(no) url.host=av-download.bluecoat.com response.icap_service(no) ProxySG および ProxyAV アプライアンスを統合する 10 - 97 ProxyAV がウイルスの更新をしない 10 - 98 トラブルシューティング ProxySG および ProxyAV アプライアンスを統合する
© Copyright 2024 Paperzz