製品ガイド
改訂 A
McAfee Web Gateway 7.2
著作権
Copyright © 2012 McAfee, Inc. 無断複製を禁じます。
商標
McAfee、McAfee のロゴ、McAfee Active Protection、McAfee AppPrism、McAfee Artemis、McAfee CleanBoot、McAfee DeepSAFE、ePolicy Orchestrator、
McAfee ePO、McAfee EMM、McAfee Enterprise Mobility Management、Foundscore、Foundstone、McAfee NetPrism、McAfee Policy Enforcer、Policy Lab、
McAfee QuickClean、Safe Eyes、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、SmartFilter、McAfee Stinger、McAfee Total Protection、
TrustedSource、VirusScan、WaveSecure、WormTraq は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標です。その他
すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ: お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいま
す) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する
注文書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約
の規定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購
入額全額をお返しいたします。
2
McAfee Web Gateway 7.2
製品ガイド
目次
11
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
このガイドの内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1
13
はじめに
Web トラフィックのフィルター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
アプライアンスの主要機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
アプライアンスの主要コンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
アプライアンスの配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
高レベルの管理アクティビティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2
19
セットアップ
操作を始める前に . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
アプライアンスのセットアップに関する高レベル手順 . . . . . . . . . . . . . . . . . . . . . 21
デフォルトの初期構成設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
ハードウェアベースのアプライアンスをプリインストール版ソフトウェアでセットアップする . . . . . .
22
アプライアンスを接続して電源を入れる . . . . . . . . . . . . . . . . . . . . . . . 22
インストール メニューを使用したアプライアンス ソフトウェアのインストール . . . . . . . . . 22
インストール メニューのオプション . . . . . . . . . . . . . . . . . . . . . . . . 23
独自の初期設定の実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
ハードウェアベースのアプライアンスをダウンロードした USB ソフトウェアでセットアップする .
.
.
.
. 25
USB ソフトウェアのダウンロード . . . . . . . . . . . . . . . . . . . . . . . . . 25
ダウンロードしたソフトウェアのインストール . . . . . . . . . . . . . . . . . . . .
26
仮想アプライアンスのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
ISO イメージのダウンロード . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
ダウンロードされた ISO イメージのインストール . . . . . . . . . . . . . . . . . . . 27
仮想マシンの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28
ユーザー インターフェースへのログオン . . . . . . . . . . . . . . . . . . . . . . . . . . 28
Web セキュリティ ルールの初期システムの実装 . . . . . . . . . . . . . . . . . . . . . . . 29
ライセンスのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
ポートの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30
ユーザー インターフェース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
変更の破棄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
データをリロードして変更を破棄する . . . . . . . . . . . . . . . . . . . . . . . . 35
3
Blade サーバー
37
McAfee Blade と Blade システム格納装置モデル . . . . . . . . . . . . . . . . . . . . . . 37
Blade サーバー システムの設置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
Blade サーバーのインストール . . . . . . . . . . . . . . . . . . . . . . . . . . 38
McAfee Blade での McAfee Web Gateway のインストール . . . . . . . . . . . . . . . . . . 40
内蔵 CD/DVD-ROM ドライブを使用した McAfee Web Gateway のインストール . . . . . . .
McAfee Web Gateway 7.2
40
製品ガイド
3
目次
外付け CD/DVD-ROM ドライブを使用した McAfee Web Gateway のインストール . . . . . . . 41
USB ドライブを使用した McAfee Web Gateway のインストール . . . . . . . . . . . . . 41
仮想メディアを使用した McAfee Web Gateway のインストール . . . . . . . . . . . . . . 42
ネットワーク設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
プロキシ HA（高可用性） . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
外部ロード バランシングをもつプロキシ . . . . . . . . . . . . . . . . . . . . . . . 44
透過型ルーター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
透過型ブリッジ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
ポート ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4
49
ルール
フィルタリングについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
フィルタリング サイクル . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
プロセス フロー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
ルール要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52
ユーザー インターフェースでのルールの形式 . . . . . . . . . . . . . . . . . . . . . 53
複雑な条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
ルール セット システム . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
ルール セット ライブラリ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
ルール セット タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
60
ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
ルールに名前を付けて有効にする . . . . . . . . . . . . . . . . . . . . . . . . . 62
［条件の追加］ウィンドウの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . 63
ルール条件の追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
ルール アクションを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66
ルール イベントを追加する . . . . . . . . . . . . . . . . . . . . . . . . . . .
67
ルール セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
ルール セットのインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
69
構成項目へのアクセス制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
5
71
リスト
リスト タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
リスト タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
リストへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
リスト タブのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . 74
ルールのリストにアクセスする . . . . . . . . . . . . . . . . . . . . . . . . . . 74
リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
74
新しいリストの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
リストのエントリーの入力 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
さまざまなタイプのリストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
ワイルドカード式を URL のグローバル ホワイトリストに追加 . . . . . . . . . . . . . . . 76
URL カテゴリをブロック リストに追加する . . . . . . . . . . . . . . . . . . . . .
77
メディア タイプ フィルター リストにメディア タイプを追加する . . . . . . . . . . . . . . 77
外部リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
ルールでの外部リスト データの使用 . . . . . . . . . . . . . . . . . . . . . . . . 79
置換とプレースホルダー . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
外部リスト モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
外部リスト モジュール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . .
81
外部リストの全般設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
外部リスト システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
購読リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
購読リストの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88
購読リストの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
購読リスト コンテンツの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 90
4
McAfee Web Gateway 7.2
製品ガイド
目次
共通カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
90
共通カタログ リストのユーザー アカウントのセットアップ . . . . . . . . . . . . . . . . 91
6
93
設定
設定のタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
設定タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
アクセスの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
設定タブのアクションおよびモジュール設定にアクセスする . . . . . . . . . . . . . . . . 95
ルールのアクションおよびモジュール設定へのアクセス . . . . . . . . . . . . . . . . . 96
システム設定へのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
アクションおよびモジュール設定の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 96
7
プロキシ
99
プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
明示的プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
明示的プロキシ モードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 101
透過型プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102
プロキシ HA 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
透過型ルーター モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106
透過型ルーター モードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 107
透過型ルーター モードでのノードの構成 . . . . . . . . . . . . . . . . . . . . . . 107
透過型ルーターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109
透過型ブリッジ モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110
透過型ブリッジ モードの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 110
透過型ブリッジ モードでのノードの構成 . . . . . . . . . . . . . . . . . . . . . . 111
透過型ブリッジの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
インスタント メッセージング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114
共通のプロキシ設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
プロキシ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118
リバース HTTPS プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト . . . . . . . . 123
アプライアンスに、DNS エントリーによりリダイレクトされたリクエストをリスンさせる . . . . 124
リバース HTTPS プロキシ構成の SSL 証明書 . . . . . . . . . . . . . . . . . . . . 125
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ . . . . . . . . . . 129
プロキシ自動構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
.pac ファイルを使用可能にする . . . . . . . . . . . . . . . . . . . . . . . . . 136
wpad.dat ファイルをダウンロードするルールの作成 . . . . . . . . . . . . . . . . . 136
wpad ホストの自動検出の構成 . . . . . . . . . . . . . . . . . . . . . . . . . 137
Helix プロキシの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137
Helix プロキシの使用の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 137
セキュア ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
XMPP プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
8
139
認証
認証プロセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140
認証モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141
異なる認証方法の実装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148
認証を構成するためのシステム設定の使用 . . . . . . . . . . . . . . . . . . . . . . . . 149
Kerberos 管理システムの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . 149
アプライアンスを Windows ドメインに参加させる . . . . . . . . . . . . . . . . . . 150
Windows ドメイン メンバーシップの設定 . . . . . . . . . . . . . . . . . . . . . 150
認証と許可のルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151
インスタント メッセージング認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
McAfee Web Gateway 7.2
製品ガイド
5
目次
インスタント メッセージ認証の構成 . . . . . . . . . . . . . . . . . . . . . . . . 153
インスタント メッセージ認証の認証モジュールの構成 . . . . . . . . . . . . . . . . . 154
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成 . . . . . . . . 154
IM 認証ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155
クライアント証明書認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157
クライアント証明書認証のための証明書の使用 . . . . . . . . . . . . . . . . . . . . 157
クライアント証明書認証のためのルール セット . . . . . . . . . . . . . . . . . . . . 158
認証サーバーへのリクエストのリダイレクト . . . . . . . . . . . . . . . . . . . . . 159
クライアント証明書の認証の実施 . . . . . . . . . . . . . . . . . . . . . . . . . 160
認証サーバー（X509 認証の場合）ルール セットのインポート . . . . . . . . . . . . . . 160
サーバー証明書の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . 161
証明機関の使用を設定するためのルール セットの変更 . . . . . . . . . . . . . . . . . 162
アプライアンスのリクエストを受信するリスナー ポートの構成 . . . . . . . . . . . . . . 162
Cookie 認証（X509 認証の場合）ルール セットのインポート . . . . . . . . . . . . . . 163
受信リクエストのリスナー ポートを変更するためのルール セットの変更 . . . . . . . . . . 164
クライアント証明書のブラウザーへのインポート . . . . . . . . . . . . . . . . . . . 164
管理者アカウント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
管理者アカウントの追加 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166
管理者アカウントの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
管理者アカウントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
管理者アカウントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167
管理者のロールの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
管理者のロールの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169
外部アカウントの管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 169
9
クォータの管理
171
Web ページ上でクォータおよびその他の制限を課す . . . . . . . . . . . . . . . . . . . . . 171
時間のクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173
時間のクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
時間のクォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174
時間のクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 175
ボリュームのクォータ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177
ボリュームのクォータの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 177
ボリューム クォータの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 178
ボリュームのクォータ ルール セット . . . . . . . . . . . . . . . . . . . . . . . 179
警告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181
警告の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
警告設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182
警告ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183
許可オーバーライド . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184
許可オーバーライドの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
許可オーバーライド設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185
許可オーバーライド ルール セット . . . . . . . . . . . . . . . . . . . . . . . . 186
セッションのブロック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
ブロック セクションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 187
ブロック セッションの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 188
セッションのブロック ルール セット . . . . . . . . . . . . . . . . . . . . . . . 188
クォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189
10
Web フィルタリング
191
ウイルスおよびマルウェアのフィルタリング . . . . . . . . . . . . . . . . . . . . . . . . 191
ウイルスおよびマルウェアのフィルタリングの構成 . . . . . . . . . . . . . . . . . . 192
マルウェア対策モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 193
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更 . . . . . . . . . . . 194
マルウェア対策設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 195
6
McAfee Web Gateway 7.2
製品ガイド
目次
マルウェア対策キュー . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Gateway Antimalware ルール セット . . . . . . . . . . . . . . . . . . . . . . . 201
URL フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
URL フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 204
URL フィルター モジュールの設定 . . . . . . . . . . . . . . . . . . . . . . . . 204
URL フィルターー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205
URL フィルタリング ルール セット . . . . . . . . . . . . . . . . . . . . . . . . 208
メディア タイプ フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209
メディア タイプ フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . . . 210
メディア タイプ フィルタリングのプロパティ . . . . . . . . . . . . . . . . . . . . 210
メディア タイプ フィルタリング ルールの変更 . . . . . . . . . . . . . . . . . . . . 211
メディア タイプ フィルタリングのルール セット . . . . . . . . . . . . . . . . . . . 212
アプリケーション フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 214
アプリケーション フィルタリングの構成 . . . . . . . . . . . . . . . . . . . . . . 215
アプリケーション コントロール ルール セット . . . . . . . . . . . . . . . . . . . . 216
ストリーミング メディア フィルタリング . . . . . . . . . . . . . . . . . . . . . . . . . 217
ストリーミング メディア フィルタリングの構成 . . . . . . . . . . . . . . . . . . . 218
ストリーミング 検出モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . 219
ストリーム ディテクターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 219
グローバル ホワイトリスト登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
グローバル ホワイトリストの構成 . . . . . . . . . . . . . . . . . . . . . . . . 220
グローバル ホワイトリストのルール セット . . . . . . . . . . . . . . . . . . . . . 221
SSL スキャン . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
SSL スキャンの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
SSL スキャン モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 223
デフォルトのルート証明書権限の置換 . . . . . . . . . . . . . . . . . . . . . . . 224
クライアント証明書リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 226
SSL スキャナー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
SSL クライアント コンテキストの設定 . . . . . . . . . . . . . . . . . . . . . . . 229
証明書チェーン設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230
SSL スキャナー ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . 231
Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Data Loss Prevention の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . 239
デフォルトの分類を使用して Data Loss Prevention を構成する . . . . . . . . . . . . . 240
ディクショナリ エントリを使用して data loss prevention を構成する . . . . . . . . . . . 240
Data Loss Prevention（分類）の設定 . . . . . . . . . . . . . . . . . . . . . . . 242
Data Loss Prevention（ディクショナリ）の設定 . . . . . . . . . . . . . . . . . . . 242
Data Loss Prevention ルール セット . . . . . . . . . . . . . . . . . . . . . . . 243
ICAP サーバーを使用した Data Loss Prevention . . . . . . . . . . . . . . . . . . 245
11
サポート機能
249
進行状況の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
進行状況の表示の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
進行状況の表示モジュールの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 251
進行状況ページ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
データ トリックル設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
進行状況の表示（ルール セット） . . . . . . . . . . . . . . . . . . . . . . . . 253
帯域幅スロットル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
帯域幅スロットル ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254
帯域幅スロットルの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255
Web キャッシング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256
Web キャッシュの有効化の検証 . . . . . . . . . . . . . . . . . . . . . . . . . 256
Web キャッシュ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . 256
ネクスト ホップ プロキシ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258
ネクスト ホップ プロキシ モード . . . . . . . . . . . . . . . . . . . . . . . . . 258
McAfee Web Gateway 7.2
製品ガイド
7
目次
ネクスト ホップ プロキシの構成 . . . . . . . . . . . . . . . . . . . . . . . . . 259
ネクスト ホップ プロキシ モジュールの構成 . . . . . . . . . . . . . . . . . . . . . 260
ネクスト ホップ プロキシの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 260
ネクスト ホップ プロキシ ルール セット . . . . . . . . . . . . . . . . . . . . . . 261
12
ユーザー メッセージ
263
ユーザーへのメッセージの送信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263
ユーザー メッセージのテキストを編集する . . . . . . . . . . . . . . . . . . . . . . . . 265
認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
ブロック設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 266
リダイレクト設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267
テンプレート エディター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268
13
システム構成
273
初期セットアップのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273
初期セットアップ後のシステム構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
一般的な機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 274
ネットワーク システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 274
認証およびクォータのシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . 274
Web フィルタリング システム設定 . . . . . . . . . . . . . . . . . . . . . . . . 275
集中管理システム設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
ログおよびトラブルシューティングに対するシステム設定 . . . . . . . . . . . . . . . . 275
システム設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 275
アプライアンス タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276
一般的なアプライアンス機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . 277
ライセンス設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277
日時設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
ファイル サーバー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
ユーザー インターフェース設定 . . . . . . . . . . . . . . . . . . . . . . . . . 280
ネットワーク機能に対するシステム設定 . . . . . . . . . . . . . . . . . . . . . . . . . 283
ネットワーク設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283
DNS 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
ネットワーク保護設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285
ポート転送設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
静的ルート設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286
システム ファイル . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287
ファイル エディター タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
データベースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289
データベース情報の手動更新 . . . . . . . . . . . . . . . . . . . . . . . . . . 289
自動エンジン更新のスケジュール . . . . . . . . . . . . . . . . . . . . . . . . . 290
14
一元管理
291
一元管理構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
一元管理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
一元管理構成にアプライアンスを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . 293
ノード グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . . . 294
ランタイム グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . 294
更新グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . . . . . 295
ネットワーク グループにノードを割り当てる . . . . . . . . . . . . . . . . . . . . 295
一元管理設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 296
スケジュール設定されたジョブを追加 . . . . . . . . . . . . . . . . . . . . . . . . . . 296
一元管理構成でのアプライアンス ソフトウェアの更新 . . . . . . . . . . . . . . . . . . . . 297
一元管理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298
8
McAfee Web Gateway 7.2
製品ガイド
目次
15
Web Hybrid
307
Web Hybrid Security ソリューションの設定の同期 . . . . . . . . . . . . . . . . . . . . . 307
同期のための Web フィルタリングの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 308
同期設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308
Web Hybrid 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309
16
REST インターフェース
311
REST インターフェースの使用の準備 . . . . . . . . . . . . . . . . . . . . . . . . . . 311
インターフェースの使用の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . 312
インターフェースにアクセスする権限を与える . . . . . . . . . . . . . . . . . . . . 312
REST インターフェースの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312
データ転送ツールとしての curl の使用 . . . . . . . . . . . . . . . . . . . . . . . 313
インターフェースへの認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . 315
リソースの要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 316
基本アクティビティの実行 . . . . . . . . . . . . . . . . . . . . . . . . . . . 317
個々のアプライアンスでの作業 . . . . . . . . . . . . . . . . . . . . . . . . . 319
システム ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320
ログ ファイルの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 321
トラブルシューティング用にアップロードされたファイルの操作 . . . . . . . . . . . . . 322
リストの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323
REST インターフェースを操作するためのサンプル スクリプト . . . . . . . . . . . . . . . . . 327
17
システム ツール
331
アプライアンス ハードウェアを管理するためのシステム ツール . . . . . . . . . . . . . . . . . 331
Platform Confidence Test ツールのセットアップ . . . . . . . . . . . . . . . . . . . . . 332
Platform Confidence Test ツールを使用したハードウェア テストの実行 . . . . . . . . . . . . . 332
Remote Management Module のセットアップ . . . . . . . . . . . . . . . . . . . . . . 333
Active System Console のセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . 334
18
モニタリング
335
ダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335
ダッシュボードへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . 336
アラート タブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336
グラフおよび表のタブ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 339
ログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343
ロギングの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
ログ ファイルの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
ログ ファイル タイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345
ログ ファイル設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347
ログ ファイル マネージャー設定 . . . . . . . . . . . . . . . . . . . . . . . . . 348
ファイル システム ログ設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 350
ログの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351
ログ ハンドラーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
ログ ルールの要素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352
ログ ルール セットへのアクセス . . . . . . . . . . . . . . . . . . . . . . . . . 353
ウイルス検出ログ ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . 354
エラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355
エラー ID を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . . . . . 355
インシデント情報を使用するエラー処理 . . . . . . . . . . . . . . . . . . . . . . 355
エラー処理の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356
エラー処理ルール セットの表示 . . . . . . . . . . . . . . . . . . . . . . . . . 357
デフォルト エラー ハンドラー ルール セット . . . . . . . . . . . . . . . . . . . . 357
パフォーマンス測定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 364
パフォーマンス情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
パフォーマンス測定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 365
McAfee Web Gateway 7.2
製品ガイド
9
目次
パフォーマンス情報をログするためのプロパティのルール内での使用 . . . . . . . . . . . . 366
ルール セット処理時間を測定するためのイベントのルール内での使用 . . . . . . . . . . . . 367
マカフィー ePO を監視するためのデータの転送 . . . . . . . . . . . . . . . . . . . . . . 368
ePolicy Orchestrator 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . 369
ePolicy Orchestrator 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 369
ePO リクエストのバイパス ルール セット . . . . . . . . . . . . . . . . . . . . . 369
SNMP でのイベント モニタリング . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
SNMP 設定の構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
SNMP 設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 370
19
トラブルシューティング
373
トラブルシューティング方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 373
フィードバック ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
コア ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374
接続追跡ファイルの作成の有効化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
パケット追跡ファイルの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375
ネットワーク ツールの操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376
アプライアンスの構成のバックアップおよび復元 . . . . . . . . . . . . . . . . . . . . . . 376
A
構成リスト
379
アクションのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379
エラー ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380
イベントのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 382
インシデント ID のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 389
プロパティーのリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392
ワイルドカード式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
ワイルドカード式のテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 447
重要な特殊 glob 文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . . 448
重要な特殊正規表現文字のリスト . . . . . . . . . . . . . . . . . . . . . . . . . 449
B
サードパーティ ソフトウェア
453
主要リスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453
ユーザー インターフェース: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 455
索引
10
McAfee Web Gateway 7.2
459
製品ガイド
まえがき
このガイドでは McAfee® Web Gateway バージョン 7.2 の特徴と機能、製品の概要、および製品のセットアップ、
設定、保守の手順について詳しく説明します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
マカフィー では、対象読者に合わせてドキュメントを作成し、提供しています。
このガイドは、主に以下の方を対象としています。
•
管理者 — 会社のセキュリティ プログラムを実装し、管理する担当者。
•
ユーザ － このソフトウェアが実行されているコンピュータを使用し、ソフトウェアの一部またはすべての機能に
アクセスできるユーザ。
表記法則
このガイドでは、以下の表記規則とアイコンを使用します。
『マニュアルのタイトル』 ドキュメント、章またはトピックのタイトル、新しい用語の紹介。
または強調
太字
特に強調するテキスト
ユーザー入力またはパス
ユーザーが入力するコマンドやその他のテキスト。フォルダーまたはプログラムのパ
ス。
コード
コードのサンプル
[ユーザー インターフェー オプション、メニュー、ボタン、ダイアログ ボックスなどのユーザー インターフェー
ス。
ス]
青色のハイパーテキスト
トピックや Web サイトのライブリンク
注意: 補足情報 (オプションを実行する別の方法など)
ヒント: 提案や推奨事項
McAfee Web Gateway 7.2
製品ガイド
11
まえがき
製品マニュアルの検索
重要/注意: コンピューター システム、インストールされているソフトウェア、ネット
ワーク、ビジネスまたはデータの保護に役立つ情報。
警告: ハードウェア製品の使用時に危害を防ぐための重要なアドバイス
このガイドの内容
このガイドは、分かりやすい構成になっています。必要な情報を簡単に探すことができます。
McAfee Web Gateway アプライアンスが、主要機能、管理者の活動、配備オプション、およびシステム アーキテ
クチャ、管理アクティビティと共に概説されて紹介されています。
その後に、アプライアンスのアプライアンスの設定方法、およびプロキシ、認証、フィルタリング機能の設定まで最
初に行う必要のある手順の実行方法を説明します。
これらの主要機能の構成は、別の章で説明します。
ドメイン名サービス、ポート転送、またはスタティック ルートなどのアプライアンス システムの機能を構成する方
法や一元管理構成でノードとしてアプライアンスをセットアップする方法も説明します。
モニタリングとトラブルシューティングに関する章は、ガイドの巻末に提供されています。
付録には、アクション、イベント、プロパティなど、重要な設定要素のリストが含まれます。
製品マニュアルの検索
マカフィー では、インストールから日常の利用やトラブルシューティングまで、製品利用の各フェーズで必要になる
情報を提供しています。製品のリリース後は、マカフィー のオンライン KnowledgeBase で製品情報を提供します。
タスク
1
マカフィー テクニカル サポートの ServicePortal (http://mysupport.mcafee.com) にアクセスします。
2
[Self Service] で、必要な種類の情報にアクセスします。
情報
手順
ユーザ マニュアル 1 [Product Documentation] をクリックします。
2 製品を選択し、次にバージョンを選択します。
3 製品マニュアルを選択します。
KnowledgeBase
• 製品に関する質問の回答を検索するには、[Search the KnowledgeBase] をクリックし
ます。
• 製品とバージョン別に表示される記事を参照するには、[Browse the
KnowledgeBase] をクリックします。
12
McAfee Web Gateway 7.2
製品ガイド
1
はじめに
McAfee® Web Gateway アプライアンスは、ネットワークの包括的な Web セキュリティを保証します。
これは、ウイルスやその他のマルウェア、不適切なコンテンツ、データ漏えいおよび関連の問題など、Web から発
生する脅威に対してネットワークを保護します。また、法令順守や生産的な作業環境も保証します。
目次
Web トラフィックのフィルター
アプライアンスの主要機能
アプライアンスの主要コンポーネント
アプライアンスの配備
高レベルの管理アクティビティ
Web トラフィックのフィルター
アプライアンスは、ネットワークを Web に接続し、そのネットワークを出入りする Web トラフィックをフィルタ
ーするゲートウェイとしてインストールされます。
実装された Web セキュリティ ルールに従って、それはネットワーク内から Web にユーザーが送信する要求と、
Web から返される応答をフィルターします。
要求または応答とともに送信される埋め込みオブジェクトもフィルターされます。
不正なコンテンツや不適切なコンテンツはブロックされ、有効なコンテンツは通過が許可されます。
図 1-1 Web トラフィックのフィルター
McAfee Web Gateway 7.2
製品ガイド
13
1
はじめに
アプライアンスの主要機能
アプライアンスの主要機能
Web トラフィックのフィルターは複雑なプロセスです。アプライアンスの主要機能は、以下のようないくつかの方
法で利用されます。
Web オブジェクトのフィルタリング
アプライアンスの特殊なウイルス対策機能とマルウェア対策機能によって Web トラフィックがスキャンおよびフィ
ルターされ、オブジェクトが感染していた場合、その Web オブジェクトはブロックされます。
™
その他の機能は、Global Threat Intelligence システムからの情報を使用するか、メディア タイプおよび HTML フ
ィルタリングを行って要求された URL をフィルタリングします。
それらはそれら自体をフィルタリングしない機能によりサポートされますが、ユーザーのリクエストを数えたり、
Web オブジェクトのダウンロードの進行状況を示すなどのジョブを行います。
ユーザーのフィルタリング
内部および外部データベースと NTLM、LDAP、RADIUS、Kerboros、その他などの方法から情報を使用して、アプ
ライアンスの認証機能によりユーザーをフィルタリングします。
通常のユーザーをフィルタリングするのに加えて、このアプライアンスは管理権限と責任をコントロールできるよう
にします。
Web トラフィックのインターセプト
これは、Web オブジェクトまたはユーザーのフィルタリングを行うための前提条件です。HTTP、HTTPS、FTP、
Yahoo、ICQ、Windows Live Messenger などのさまざまなネットワーク プロトコルを使用して、アプライアンス
のプロキシ機能により実行されます。
アプライアンスは明示的プロキシ モード、あるいは透過的なブリッジまたはルーター モードで実行できます。
フィルター処理のモニタリング
アプライアンスのモニタリング機能は、フィルタリング プロセスの継続的な概要を示します。
Web 使用、フィルタリング アクティビティ、およびシステム動作の情報を表示するダッシュボードを含みます。ロ
グ記録とトレーシング機能のみならず、マカフィー ePO サーバーへのデータの転送や SNMP エージェントでイベン
トをモニタリングするオプションも使用できます。
14
McAfee Web Gateway 7.2
製品ガイド
はじめに
アプライアンスの主要コンポーネント
1
アプライアンスの主要コンポーネント
McAfee Web Gateway アプライアンスではいくつかのサブシステムを使用して、そのオペレーティング システム
に基づいてフィルターおよびその他の機能を実行します。
アプライアンス サブシステム
アプライアンスおよびそのモジュールのサブシステムは次を実行します。
•
Core サブシステム — Web トラフィックを傍受するためのプロキシ モジュールと、Web セキュリティ ポリシ
ーを構成しているフィルタリング ルールを処理するためのルール モジュールを提供します。
このサブシステムはさらに、フィルタリング ルールのための特別なジョブを完了するモジュール
（エンジンとも呼
ばれる）を備えており、たとえば、マルウエア対策エンジン、URL フィルター エンジン、または認証エンジンな
ど、自分で構成することができます。
フロー マネージャー モジュールは、モジュール間の効率的な協力関係を保証します。
•
コーディネーター サブシステム — アプライアンスで処理されるすべての構成データを保管します
このシステムはまた、更新と集中管理機能も備えています。
•
コンフィギュレーター サブシステム — ユーザー インターフェースを提供します（内部サブシステムは
Konfigurator です）。
図 1-2 アプライアンス サブシステムおよびモジュール
オペレーティング システム
アプライアンスのサブシステムは、そのオペレーティング システムである MLOS
（McAfee Linux Operating
System）バージョン 1.0 に依存します。
オペレーティング システムは、フィルタリング ルールがトリガーするアクション、ファイルとネットワークの読み
取り、書き込み、およびアクセス制御を実行する機能を備えています。
McAfee Web Gateway 7.2
製品ガイド
15
1
はじめに
アプライアンスの配備
構成デーモン（sysconfd daemon）は、オペレーティング システムで変更された構成設定を実装します。
アプライアンスの配備
McAfee Web Gateway アプライアンスを設定する前に、その使用方法を検討します。異なるプラットフォームで実
行し、ネットワーク統合の異なるモードを構成できます。一元管理構成のノードとして、複数のアプライアンスをセ
ットアップおよび管理もできます。
プラットフォーム
アプライアンスを異なるプラットフォームで実行できます。
•
ハードウェアベースのアプライアンス— 物理ハードウェア プラットフォーム上
•
仮想アプライアンス — 仮想マシン上
ネットワーク統合
ネットワークで、アプライアンスは異なるモードで Web トラフィックをインターセプト、フィルタリング、および
送信できます。
•
•
明示的プロキシ モード — アプライアンスが通信するクライアントがそれを認識しています。「明示的に」それら
を構成して、トラフィックをアプライアンスに仕向けます。
透過的モード — クライアントはアプライアンスを認識していません。
•
透過型ブリッジ — アプライアンスは、クライアントと Web の間で「見えない」ブリッジとして動作します。
これに対してクライアントを構成する必要があります。
•
透過的ルーター — アプライアンスは、ユーザーが記入する必要があるルーティング テーブルに従ってトラフ
ィックを仕向けます。
管理と更新
アプライアンスを管理し、種々の方法で更新を配布することができます。
•
スタンドアロン — アプライアンスを個別に、アプライアンスが他のアプライアンスから更新を受信しないように
管理します。
•
一元管理 — アプライアンスを複雑な構成のノードとしてセットアップし、そのユーザー インターフェースでほ
かのノードを、更新の配布を含めて管理します。
また、他のノードでアプライアンスを管理し、アプライアンスが他のノードから更新を受信するように設定する
ことができます。
高レベルの管理アクティビティ
アプライアンスの管理には、ネットワークの要件に応じて、異なるアクティビティが含まれます。
以下は推奨される高レベルの管理アクティビティです。
16
McAfee Web Gateway 7.2
製品ガイド
はじめに
高レベルの管理アクティビティ
1
タスク
1
初期設定を実行します。
セットアップ手順には、ホスト名や IP アドレスなどのシステム パラメーターの設定、フィルタリング規則の初
期システムの実装およびライセンス付与などが含まれます。
この段階では、2 つのウィザードが利用可能です。1 つは初期構成用のものであり、もう 1 つはフィルタリング
規則用のものです。
2
プロキシ機能を設定します。
初期セットアップ後に、アプライアンスに明示的プロキシ モードと HTTP プロトコルが事前設定されます。
この設定を変更し、アプライアンスが通信するその他のネットワーク コンポーネントを構成することもできます。
3
認証の実施を検討します。
デフォルトでは、アプライアンスに認証は実施されません。
実施する場合、NTML、LDAP、Kerberos、およびその他の数多くの異なる認証方法から選択できます。
4
Web フィルタリングを設定します。
ウイルスとマルウェア フィルタリング、URL フィルタリング、メディア タイプ フィルタリング、その他のフィ
ルタリング関連プロセスを初期設定する間に実施するルールを見直すことができます。
これらのルールを微調整して、ネットワークの要件に対応するように適応させることができます。
フィルタリング規則の操作には、これらの規則が使用するリストの維持とルール アクションとフィルタリング プ
ロセスに含まれるモジュールの設定の構成が含まれます。
5
アプライアンスの振る舞いを監視します。
要件に従ってアプライアンスを設定したときに、フィルタリング プロセスを実行する方法を監視できます。
また、CPU とメモリ使用量、アクティブな接続数、その他のシステム関数をモニタリングすることもできます。
これらのアクティビティに関する詳細は、セットアップ、認証、または Web フィルタリング の下のそれらを取り
上げているセクションを参照してください。
McAfee Web Gateway 7.2
製品ガイド
17
1
はじめに
高レベルの管理アクティビティ
18
McAfee Web Gateway 7.2
製品ガイド
2
セットアップ
アプライアンスをセットアップするためには、たとえば、インストール マテリアルのチェック、インストール メニ
ューの操作、ユーザー インターフェースへのログオンなど、いくつかのアクティビティを完了させる必要がありま
す。
セットアップ手順は、アプライアンス ソフトウェアをインストールするプラットフォームとソフトウェアが提供され
る方法によって異なります。
インストールが完了し、初めてユーザー インターフェースにログオンするときには、Web セキュリティ ルールの初
期システムを実装し、ライセンスをインストールします。
目次
操作を始める前に
アプライアンスのセットアップに関する高レベル手順
デフォルトの初期構成設定
ハードウェアベースのアプライアンスをプリインストール版ソフトウェアでセットアップする
ハードウェアベースのアプライアンスをダウンロードした USB ソフトウェアでセットアップする
仮想アプライアンスのセットアップ
ユーザー インターフェースへのログオン
Web セキュリティ ルールの初期システムの実装
ライセンスのインポート
ポートの割り当て
ユーザー インターフェース
操作を始める前に
アプライアンスのセット アップを始める前に、このタスクの要件を満たしていることを確認します。
要件は、アプライアンスのセットアップ方法によります。以下をセットアップできます。
•
ハードウェアベースのアプライアンス
アプライアンス ソフトウェアはそれから、以下の方法で利用可能になります。
•
•
事前インストールされたソフトウェア — McAfee Web Gateway の新しいハードウェア プラットフォームが
事前インストールされます。
•
ダウンロードしたソフトウェア — 事前インストールされたソフトウェアを使用しない場合、McAfee
Content & Cloud Security Portal からソフトウェアの USB バージョンをダウンロードし、ハードウェア
プラットフォームにインストールできます。
仮想アプライアンス
仮想アプライアンスをセットアップするには、アプライアンス ソフトウェアの ISO イメージをダウンロードし、
仮想マシンにインストールする必要があります。
McAfee Web Gateway 7.2
製品ガイド
19
2
セットアップ
操作を始める前に
ハードウェアベース アプライアンスのセットアップの要件
ハードウェア プラットフォームを購入したとき、以下がセットアップの要件です。
•
•
提供される物
•
アプライアンス ソフトウェアのハードウェア プラットフォーム（モデルは異なります）
•
電源コード
•
ネットワーク ケーブル
•
USB-PS/2 アダプター ケーブル（初期の設定に PS/2 キーボードを使用している場合）
用意が必要な物。
•
標準 VGA モニター および PS/2 キーボード
または シリアル コンソール
•
次がインストールされている管理システム
•
Windows または Linux オペレーティング システム
•
JRE（Java Runtime Environment）1.6 以降
•
Microsoft Internet Explorer バージョン 6.0 またはそれ以降
または Mozilla Firefox バージョン 2.0 またはそれ以降
•
ネットワーク ケーブル
仮想アプライアンスのセットアップの要件
仮想アプライアンスをセットアップするには、以下が要件です。
•
以下の VMware タイプから 1 つ
•
VMware ESX
•
VMware ESXi
VMware ワークステーション バージョン 5.5 またはそれ以降はサポートされていませんが、テスト目的で使用
できます。
•
•
20
以下の仕様での仮想マシン ホスト システム
•
CPU:64 ビット対応
•
仮想化拡張:VT-x/AMD-V
以下の仕様を満たす仮想マシン
•
メモリ:4 GB
•
ハード ディスクの空き容量:200 GB
•
CPU コア:2
（最小）
McAfee Web Gateway 7.2
製品ガイド
セットアップ
アプライアンスのセットアップに関する高レベル手順
2
アプライアンスのセットアップに関する高レベル手順
アプライアンスのセットアップを行うためには、以下の高レベル手順を実行します。
タスク
1
セットアップの要件が満たされていることを確認してください。
•
•
2
新しいハードウェアベースのアプライアンスをセットアップする場合は、以下の手順を実行してください。
•
納品されたハードウェア プラットフォームとアクセサリをチェックします。
•
モニター、キーボード、その他の品目など、セットアップを行うために必要な資材が利用できるかどうか
をチェックしてください。
仮想アプライアンスをセットアップする場合は、適切な VM 機器があるかどうかをチェックしてください。
デフォルトの初期設定を確認します。
これらの設定がネットワークの要件に適合しない場合、インストール メニューのオプションを使用して固有の設
定を構成できます。
3
アプライアンス ソフトウェアをインストールします。
•
•
•
ハードウェアベースのアプライアンスを事前インストールされたソフトウェアでセットアップする場合は、以
下の手順を実行してください。
•
アプライアンスを接続して電源を入れます。
•
インストール メニューのオプションの 1 つを使用して、インストールを完了します。
ハードウェアベースのアプライアンスをダウンロードした USB ソフトウェアでセットアップする場合は、以
下の手順を実行してください。
•
USB ソフトウェアをダウンロードし、それを USB ドライブにコピーします。
•
アプライアンスを接続し、USB ドライブを挿入し、アプライアンスの電源をオンにします。
•
ブート マネージャーを使用して、ソフトウェアをインストールします。
仮想アプライアンスをセットアップする場合は、以下の手順を実行してください。
•
ISO イメージをダウンロードし、それを仮想マシンのホスト システムに挿入します。
•
新しい仮想マシンをセットアップし、オンにします。
•
インストール メニューのオプションの 1 つを使用して、ソフトウェアをインストールします。
4
ユーザー インターフェースにログオンします。
5
Web セキュリティ ルールの初期システムを実施します。
6
ライセンスをインポートします。
デフォルトの初期構成設定
初期構成のデフォルト設定を使用するアプライアンスを設定、または独自の初期設定を実行できます。
以下の表は、デフォルトで使用される設定を表示します。
表 2-1
デフォルトの初期構成設定
パラメーター
値
プライマリ ネットワーク インターフェース
eth0
DHCP での自動構成
はい
McAfee Web Gateway 7.2
製品ガイド
21
2
セットアップ
ハードウェアベースのアプライアンスをプリインストール版ソフトウェアでセットアップする
表 2-1
デフォルトの初期構成設定 (続き)
パラメーター
値
ホスト名
mwgappl
ルート パスワード
<なし>
SSH でのリモート ルート ログオン
時間
デフォルト ゲートウェイ
<DHCP で構成>
DNS サーバー
<DHCP で構成>
ハードウェアベースのアプライアンスをプリインストール版ソフトウェアでセッ
トアップする
新しく購入したハードウェア プラットフォームにアプライアンス ソフトウェアがプリインストールされています。
アプライアンスを接続してインストール メニューを操作して、アプライアンス ソフトウェアのインストールを完了
する必要があります。
タスク
•
22 ページの「アプライアンスを接続して電源を入れる 」
事前インストールされたソフトウェアを持つハードウェアベースのアプライアンスを使用するとき、ア
プライアンスを接続して電源を入れてインストールを開始します。
•
22 ページの「インストール メニューを使用したアプライアンス ソフトウェアのインストール 」
ハードウェア プラットフォームにあらかじめインストールされているソフトウェアのインストールを完
了するためには、インストール メニューを操作します。
•
24 ページの「独自の初期設定の実装 」
ウィザードを使用して、デフォルト設定の代わりに、初期設定を実装できます。
アプライアンスを接続して電源を入れる
事前インストールされたソフトウェアを持つハードウェアベースのアプライアンスを使用するとき、アプライアンス
を接続して電源を入れてインストールを開始します。
タスク
1
アプライアンスを電源とネットワークに接続します。
2
モニターとキーボード、またはシリアル コンソールをアプライアンスに接続します。
3
アプライアンスの電源を入れます。
［インストール］メニューが表示されます。
インストール メニューで作業し、アプライアンス ソフトウェアのインストールを完了できます。
インストール メニューを使用したアプライアンス ソフトウェアのインストール
ハードウェア プラットフォームにあらかじめインストールされているソフトウェアのインストールを完了するために
は、インストール メニューを操作します。
インストール メニューでは、初期設定を実装するための構成ウィザードをコールできます。FIPS 互換モードでアプ
ライアンスをセットアップすることも選択できます。
22
McAfee Web Gateway 7.2
製品ガイド
セットアップ
ハードウェアベースのアプライアンスをプリインストール版ソフトウェアでセットアップする
2
タスク
1
インストール モードからオプションを選択し、[Enter]を押します。
2
インストールの手順に進みます。
•
ウィザードを使用せずオプションを選択し、FIPS 互換サブメニューを入力した場合、指示されたときに確認
します。
インストールが完了します。アプライアンスは非 FIPS 互換モードでデフォルトの初期設定で実行します。
ユーザー インターフェースにログオンできるようになります。
•
FIPS 互換サブメニューを入力するためのオプションを選択した場合、
•
このメニューからオプションを選択し、[Enter]を押します。
•
指示メッセージを確認します。
インストールが完了します。アプライアンスは FIPS 互換モードでデフォルトの初期設定で実行します。
ユーザー インターフェースにログオンできるようになります。
•
メイン メニューまたはサブメニューからウィザード モードを選択した場合、初期設定を実装するためにウィ
ザードを操作します。
インストール メニューのオプション
インストール メニューには、別のモードでアプライアンス ソフトウェアをインストールするオプションがあります。
以下のテーブルは、これらのオプションを示します。
表 2-2 インストール メニューのオプション
オプション
定義
[1 – シリアル コンソー
ル]
システム出力はシリアル コンソールに表示されます。
[（設定ウィザード使
用）]
インストールの最初の部分が終了すると、アプライアンスが再起動し、初期構成設定を
実装するためのウィザードを表示します。
[2 – ビデオ コンソール] システム出力はビデオ コンソールに表示されます。
インストールの最初の部分が終了すると、アプライアンスが再起動し、初期構成設定を
[（設定ウィザード使
実装するためのウィザードを表示します。
用）]
[3 – シリアル コンソー
ル]
システム出力はシリアル コンソールに表示されます。
インストールの最初の部分が終了すると、アプライアンスが再起動し、インストールの
完了の確認を待ちます。
[4 – ビデオ コンソール] システム出力はビデオ コンソールに表示されます。
インストールの最初の部分が終了すると、アプライアンスが再起動し、インストールの
完了の確認を待ちます。
McAfee Web Gateway 7.2
製品ガイド
23
2
セットアップ
ハードウェアベースのアプライアンスをプリインストール版ソフトウェアでセットアップする
表 2-2 インストール メニューのオプション (続き)
オプション
定義
[5 – FIPS 140-2 レベ
ル 2]
FIPS 対応モードでアプライアンス ソフトウェアをインストールするためのサブメニュ
ーを開きます。
• [1 – FIPS 140-2 レベル 2（シリアル）]
システム出力はシリアル コンソールに表示されます。
このモードでのインストールは、SSH またはコンソール使用でのアプライアンスのロ
グオンを無効にし、FIPS 対応に必要な他の機能を実装します。
インストールの最初の部分が終了すると、アプライアンスはインストールの完了の確
認を待ちます。
• [2 – FIPS 140-2 レベル 2（設定ウィザード – シリアル）]
サブメニュー オプション 1 ですが、ウィザードがあります。
インストールの最初の部分が終了すると、アプライアンスが再起動し、初期構成設定
を実装するためのウィザードを表示します。
• [3 – FIPS 140-2 レベル 2（自己テスト失敗の施行 – シリアル）]
サブメニュー オプション 1 または 2 を開始した後で FIPS 自己テストが失敗したと
きにアプライアンスを回復します。
回復した後で、インストールを繰り返すために以下の 2 つのオプションの 1 つを使用
してください。
• [4 – FIPS 140-2 レベル 2（ビデオ）]
オプション 1 と同じですが、ビデオ コンソールに出力されます。
• [5 – FIPS 140-2 レベル 2（設定ウィザード – v ビデオ）]
サブメニュー オプション 4 ですが、ウィザードがあります。
インストールの最初の部分が終了すると、アプライアンスが再起動し、初期構成設定
を実装するためのウィザードを表示します。
• [6 – FIPS 140-2 レベル 2（自己テスト失敗の施行 – ビデオ）]
サブメニュー オプション 4 または 5 を開始した後で FIPS 自己テストが失敗したと
きにアプライアンスを回復します。
回復した後で、インストールを繰り返すために以下の 2 つのオプションの 1 つを使用
してください。
[9 – ハード ディスクか
ら起動]
ハード ディスクにすでにインストールされているソフトウェアで、アプライアンスは再
起動されます。
独自の初期設定の実装
ウィザードを使用して、デフォルト設定の代わりに、初期設定を実装できます。
このウィザードは、インストール メニューから適切なオプションを選択するときに表示されます。
タスク
1
24
ウィザード ウィンドウを使用して、以下を構成します。
•
プライマリ ネットワーク インターフェース
•
IP アドレス（手動で入力するか、または DHCP により動的に設定）
•
ホスト名
•
DNS サーバー
McAfee Web Gateway 7.2
製品ガイド
セットアップ
ハードウェアベースのアプライアンスをダウンロードした USB ソフトウェアでセットアップする
2
2
ホスト名を構成した後に表示されるサマリーを確認します。
•
要約を承認したら、残りの設定を確認および設定します。
•
ルート パスワード
このオプションは、FIPS 対応モードでは使用できません。
•
SSH によるリモートのログオン
このオプションは、FIPS 対応モードでは使用できません。
アプライアンス ソフトウェアが独自の設定でインストールされ、IP アドレスが表示されます。
ユーザー インターフェースにログオンできるようになります。
•
変更したい場合は、[キャンセル]をクリックしてサブ手順 1 に戻ります。
ハードウェアベースのアプライアンスをダウンロードした USB ソフトウェアで
セットアップする
ハードウェア プラットフォームでアプライアンスをセットアップするとき、McAfee Web Gateway のエクストラ
ネットからダウンロードしたアプライアンス ソフトウェアをインストールできます。
USB 形式でソフトウェアをダウンロードし、ハードウェア プラットフォームのブート マネージャーを操作してそれ
をインストールします。
タスク
•
25 ページの「USB ソフトウェアのダウンロード 」
Content & Cloud Security Portal から ISO イメージとしてアプライアンス ソフトウェアの異なるバ
ージョンを USB 形式でダウンロードできます。
•
26 ページの「ダウンロードしたソフトウェアのインストール 」
ハードウェアベースのアプライアンスにダウンロードした USB ソフトウェアをインストールするために
は、アプライアンスを接続し、ブート マネージャーを操作します。
USB ソフトウェアのダウンロード
Content & Cloud Security Portal から ISO イメージとしてアプライアンス ソフトウェアの異なるバージョンを
USB 形式でダウンロードできます。
タスク
1
ブラウザーを使用して、以下に進みます。
https://contentsecurity.mcafee.com/
2
ユーザー名およびパスワードを入力します。
3
McAfee Content & Cloud Security Portal のホームページの最初で、[ソフトウェア] 、 [McAfee Web
Gateway 7] 、 [ダウンロード]を選択します。
USB および ISO 形式のソフトウェア バージョンのページが表示されます。
4
ダウンロードする正しいソフトウェア バージョンの USB アイコンをクリックします。
ダウンロード ウィンドウが開きます。
McAfee Web Gateway 7.2
製品ガイド
25
2
セットアップ
ハードウェアベースのアプライアンスをダウンロードした USB ソフトウェアでセットアップする
5
ファイルを保存するオプションを選択し、[OK]をクリックします。
ソフトウェアがダウンロードされ、ファイル システム内に保存されます。
6
ダウンロードされたソフトウェアを USB ドライブにコピーし、インストールに利用可能にします。
ダウンロードしたソフトウェアのインストール
ハードウェアベースのアプライアンスにダウンロードした USB ソフトウェアをインストールするためには、アプラ
イアンスを接続し、ブート マネージャーを操作します。
タスク
1
アプライアンスを電源とネットワークに接続します。
2
モニターとキーボード、またはシリアル コンソールをアプライアンスに接続します。
3
ダウンロードしたソフトウェアが保存されている USB ドライブを挿入します。
4
アプライアンスの電源を入れます。
インストールが開始します。
5
初期フェーズで、インストール デバイスを選択します。
•
アプライアンス ハードウェア モデルが McAfee Web Gateway 4500B、5000B、または 5500B の場合、
•
F6 を押してブート マネージャーに入ります。
•
[USB ドライブ]を選択します。
インストールが完了します。
•
モデルが McAfee Web Gateway 4,000B の場合、
•
F2 を押して BIOS セットアップ メニューに
入ります。
•
[終了]タブを選択します。
•
[ブート オプション]を選択し、[ハード ディス
クの順番]をクリックします。
•
[変更を破棄する]を選択します。
ここで、[変更を破棄して終了する]を使用
しないでください。
•
USB ドライブを最も優先度を高くするオプシ
ョンを選択します。
•
[ブート マネージャー]を選択し、[USB ドライ
ブ]をクリックします。
インストールが完了します。
•
モデルがこれらの指定されたものではない場合、
•
F11 を押してブート マネージャーに入ります。
•
[USB ドライブ]を選択します。
インストールが完了します。
ユーザー インターフェースにログオンできるようになります。
26
McAfee Web Gateway 7.2
製品ガイド
セットアップ
仮想アプライアンスのセットアップ
2
仮想アプライアンスのセットアップ
仮想アプライアンスをセットアップするためには、Content & Cloud Security Portal からアプライアンスのソフト
ウェアをダウンロードし、それを仮想マシンにインストールします。
ISO 形式でソフトウェアをダウンロードし、インストール メニューを操作して、それをインストールします。
タスク
• 27 ページの「ISO イメージのダウンロード 」
Content & Cloud Security Portal から ISO イメージとしてアプライアンス ソフトウェアの異なるバ
ージョンをダウンロードできます。
•
27 ページの「ダウンロードされた ISO イメージのインストール 」
ダウンロードされた ISO イメージを仮想アプライアンスにインストールするためには、仮想マシンをセ
ットアップし、インストール メニューを操作します。
ISO イメージのダウンロード
Content & Cloud Security Portal から ISO イメージとしてアプライアンス ソフトウェアの異なるバージョンをダ
ウンロードできます。
タスク
1 ブラウザーを使用して、以下に進みます。
https://contentsecurity.mcafee.com
2
ユーザー名およびパスワードを入力します。
3
Content & Cloud Security Portal のホームページの最初で、[ソフトウェア] 、 [McAfee Web Gateway
7] 、 [ダウンロード] を選択します。
USB および ISO 形式のソフトウェア バージョンのページが表示されます。
4
ダウンロードする正しいソフトウェア バージョンの ISO アイコンをクリックします。
ダウンロード ウィンドウが開きます。
5
ファイルを保存するオプションを選択し、[OK]をクリックします。
ソフトウェアがダウンロードされ、ファイル システム内に保存されます。
6
ISO イメージを CD に焼き、インストールに利用可能にします。
ダウンロードされた ISO イメージのインストール
ダウンロードされた ISO イメージを仮想アプライアンスにインストールするためには、仮想マシンをセットアップ
し、インストール メニューを操作します。
タスク
1 仮想マシンのホストシステムの CD ドライブにイメージを挿入します。
2
VMware を起動し、新しい仮想マシンに対して設定します。
3
新しい仮想マシンを起動させます。
［インストール］メニューが表示されます。
メニューからインストール モードを選択して、アプライアンス ソフトウェアをインストールします。
これは、ハードウェア プラットフォームに事前にインストールされたソフトウェアと同じ方法で行われます。
ウィザードを操作し、固有の初期設定を実行できるメニュー オプションを選択することもできます。
McAfee Web Gateway 7.2
製品ガイド
27
2
セットアップ
ユーザー インターフェースへのログオン
仮想マシンの設定
仮想アプライアンスをセットアップするときに、アプライアンス ソフトウェアのプラットフォームに対して使用する
仮想マシンの設定を行う必要があります。
各 VMware タイプによって仮想マシンのセットアップの手順は異なります。以下の表にリストされている設定を行
うことを確認します。
リストされていないパラメーターでは、手順に提供されているデフォルト値を使用します。パラメーター名も手順それ
ぞれによって異なる可能性もあります。
表 2-3 仮想マシンの設定
オプション
定義
構成タイプ
通常 | 詳細（仮想アプライアンスのセットアップに推奨）
インストール モード
ディスクからインストール | ISO イメージ
（仮想アプライアンスのセット
アップに必要） | 後でインストール
オペレーティング システム
Linux
（64 ビット）バージョン 2.6
メモリ
4 GB
（推奨）
ハード ディスクの空き容量
200 GB
（推奨）
プロセッサの数
1|2
（最小要件）| 4 | ...
選択肢として提供されたプロセッサの数は、仮想アプライアンスのセット
アップに使用されるホスト システムの装置に依存します。
ネットワーク接続モード
ブリッジ（推奨） | NAT | ...
割り当てられた ISO イメージのある CD/ <ドライブ名>/<ISO イメージの名前>
DVD ドライブ
SCSI コントローラー（ESX バージョン BusLogic コントローラー（推奨） | LSI ロジック コントローラー
の一部のため）
ユーザー インターフェースへのログオン
管理システムのブラウザーを使用してアプライアンスのユーザー インターフェースにログオンします。
タスク
1
ブラウザーを開き、初期設定中に構成された IP アドレスを使用して、http://<IP address>:4711 または
https://<IP address>:4712 に進みます。
HTTPS で、表示された自己署名付き証明書を受け入れます。
ログオン ウィンドウが表示されます。
2
ユーザー名 admin と、パスワード webgateway を入力します。
初めてログオンした後で、Web セキュリティ ルールの初期システムを施行し、ライセンスをインポートします。
ログオンしている間に、同じアプライアンスに再びログオンするために、ブラウザーを使用しないでください。
28
McAfee Web Gateway 7.2
製品ガイド
セットアップ
Web セキュリティ ルールの初期システムの実装
2
Web セキュリティ ルールの初期システムの実装
アプライアンスをセットアップするときには、ネットワークの Web セキュリティ ルールの初期システムを実装する
必要があります。
Web セキュリティ ルールの初期システムを実装するには、
［ポリシー作成ウィザード］を使用します。アプライアン
ス ソフトウェアをインストールした後で初めてユーザー インターフェースにログオンするときに表示されます。
このウィザードでは、システムの実装のための選択を行うことができます。また、選択を行わず、デフォルトのシス
テムが実装されるようにすることもできます。
タスク
1 ウィザード ウィンドウでは、ルールのシステムを構築できる組織、場所、権限や制限のレベルを見直します。
2
以下の 2 つの方法の 1 つでルールの初期システムを実装します。
•
指定されたオプションに基づいてシステムを実装する場合、
• 適切だと思われる組織、場所、および権限または制限のレベルに対して、値を選択します。
•
[OK]をクリックします。
Web セキュリティ ルールのシステムはそれに応じて実装されます。
•
それ以外の場合は、[デフォルト]をクリックします。
Web セキュリティのルールのデフォルト システムが実装されます。
今すぐライセンスをインポートできます。
この後で、Web セキュリティ ルールの実装済みのシステムを操作できます。
たとえば、システムが、最初は空のホワイトリストとブロッキング リストをもつルールを提供する場合です。これら
のリストを Web セキュリティ ポリシーに使用する場合は、エントリーを記入する必要があります。
ライセンスのインポート
アプライアンスをセットアップするときには、ライセンスをインポートすることも必要です。
ポリシー作成ウィザードの操作を完了したときに初めて、ユーザー インターフェースにログオンした後にインポート
が行われます。
タスク
1 ユーザー インターフェースで、[構成]、[アプライアンス]に移動して、[ライセンス]を選択します。
ライセンスのインポートの設定が設定パネルに表示されます。
2
[ライセンスのインポート]で、[エンド ユーザー使用許諾契約書]をクリックし、契約書を確認します。同じライ
ンのチェックボックスを選択します。
[ライセンス ファイル]フィールドと[参照]ボタンが利用可能になります。
3
[参照]をクリックし、ライセンス ファイルが保存されている場所を参照します。ファイルを選択し、[有効]を選
択します。
ライセンスがインポートされ、入力フィールドの下にライセンス情報が表示されます。
ウイルス シグネチャなどのアプライアンス モジュールの重要な情報の自動更新は、初期構成の後に開始します。数
分かかる場合があり、ライセンスをインポートした後では完了しない場合があります。
更新中は、アプライアンスをユーザー インターフェースから Web へアクセスするためのプロキシ機能としては使用
できません。
McAfee Web Gateway 7.2
製品ガイド
29
2
セットアップ
ポートの割り当て
使用しようとすると、モジュールでエラー メッセージを引き起こします。たとえば、マルウェア対策エンジンをロー
ドできない（更新情報が必要なため）など。
ポートの割り当て
ハードウェアベースのアプライアンスをセットアップした後で、アプライアンスのポートはハードウェア プラットフ
ォームのネットワーク インターフェースに割り当てられます。
各アプライアンス モデルは、ハードウェア プラットフォームとして特定のサーバー システムを使用します。
以下のモデルがあります。
•
4,000B
•
4,500B
•
5,000B
•
5,500B
モデル番号はハードウェア シャーシの上部のラベルに記載されています。以下のセクションのダイアグラムは、各モ
デルのネットワーク ポートの割り当てを示します。
4,000B
このアプライアンス モデルには、背面パネルに 3 つのネットワーク インターフェースがあります。
ポートは以下のインターフェースに割り当てられます。
ポジション
ネットワーク インターフェース
ポート
1
e1000e
eth0
2
e1000
eth1
3
e1000e
eth2
このアプライアンス モデルの前面パネルで、ネットワーク インターフェース 2 の LED はネットワーク インターフェ
ース 1 に実際にプラグを挿し込んだときに点灯します。また、ネットワーク インターフェース 2 にプラグを挿し込ん
だときには、ネットワーク インターフェース 1 の LED が点灯します。
4,500B
このアプライアンス モデルには、背面パネルに 5 つのネットワーク インターフェースがあります。
30
McAfee Web Gateway 7.2
製品ガイド
2
セットアップ
ポートの割り当て
ポートは以下のインターフェースに割り当てられます。
ポジション
ネットワーク インターフェース
ポート
1
igb
eth0
2
igb
eth1
3
igb
eth2
4
igb
eth3
5
e1000e
eth4
5,000B
このアプライアンス モデルには、背面パネルに 5 つのネットワーク インターフェースがあります。
ポートは以下のインターフェースに割り当てられます。
ポジション
ネットワーク インターフェース
ポート
1
igb
eth0
2
igb
eth1
3
rmm および bmc
RMM
（リモート管理モジュール）コントローラーの操作の場合
4
e1000e
eth3
5
e1000e
eth2
5,500B
このアプライアンス モデルには、背面パネルに 5 つのネットワーク インターフェースがあります。
ポートは以下のインターフェースに割り当てられます。
McAfee Web Gateway 7.2
製品ガイド
31
2
セットアップ
ユーザー インターフェース
ポジション
ネットワーク インターフェース
ポート
1
igb
eth0
2
igb
eth1
3
rmm および bmc
RMM および BMC
（ベースボード管理コントローラー）コントローラーの操作の場合
4
e1000e
eth3
5
e1000e
eth2
ユーザー インターフェース
ユーザー インターフェースは、ルール、リスト、設定、アカウント、アプライアンスのその他の機能を操作したり、
重要なシステム パラメーターに関する情報を表示することができます。
ユーザー インターフェースの主要要素
以下の表では、ユーザー インターフェースの主要な要素について説明します。
32
McAfee Web Gateway 7.2
製品ガイド
セットアップ
ユーザー インターフェース
2
表 2-4 ユーザー インターフェースの主要要素
オプション
定義
システム情報ラ システムおよびユーザー情報が表示されます。
イン
最上位メニュー 以下のメニューから 1 つを選択することができます。
バー
• [ダッシュボード]－アラート、Web の使用、フィルタリング アクティビティ、およびシステム
動作の概要を提供します
• [ポリシー]－Web セキュリティ ポリシーを構成するためにあります
• [構成]－アプライアンスのシステム設定を構成用するためにあります
• [アカウント]－管理者アカウントを管理するためにあります
• [トラブルシューティング]－アプライアンスでの問題を解決するためにあります
タブ バー
現在設定されているトップレベル メニューのタブが表示されます。
トップレベル メニューには以下のタブがあります。
• [ダッシュボード]
• アラート
• グラフおよび表
• [ポリシー]
• ルール セット
• リスト
• 設定
• [構成]
• アプライアンス
• ファイル エディター
• [アカウント]
• 管理者アカウント
[トラブルシューティング]トップレベル メニューにはタブがありません。
ツールバー
（タブ さまざまなツールが表示されます（選択したタブにより異なる）。
上）
ナビゲーション ルール、リスト、設定などの設定項目がツリー構造で表示されます。
パネル
設定パネル
ナビゲーション ペインで現在選択されている項目の設定が表示され、編集できます。
[ログアウト]
ユーザー インターフェースからログオフできるようにします
ヘルプ アイコン オンライン ヘルプを開きます。
ページそれぞれに目を通すか、またはツリー構造でナビゲート、および完全なテキスト検索また
はインデックス用語の検索を実行できます。
McAfee Web Gateway 7.2
製品ガイド
33
2
セットアップ
ユーザー インターフェース
表 2-4 ユーザー インターフェースの主要要素 (続き)
オプション
定義
[検索]
以下のオプションで、[検索]ウィンドウを開きます。
• [オブジェクトの検索]－ルール セット、ルール、リスト、および設定を検索できるようにしま
す。
検索用語を入力フィールドに入力すると、その検索用語に名前が一致するすべてのオブジェク
トが表示されます。
• [参照するオブジェクトの検索]－リスト、プロパティ、または設定を選択し、その選択された項
目を使用するすべてのルールを表示できるようにします。
[変更を保存]
変更を保存します。
特別な構成機能
ユーザー インターフェースには、設定作業をサポートするいくつかの特別な機能が用意されています。
表 2-5 特別な構成機能
オプション
定義
黄色い三角形
入力の必要があるが空になっているリストの名前の横に表示されます。
フィルター リストはいくつか作成されますが、敏感すぎるため、ポリシー構成ウィザードによ
って入力されません。
黄色の挿入テキス
ト
マウス ポインターをユーザー インターフェースの項目の上に置くと、その項目の意味と使用
方法の情報が提供されます。
OK アイコン
入力した内容が有効な場合に、ウィンドウに表示されます。
誤入力アイコン
入力した内容が無効な場合に、ウィンドウに表示されます。
メッセージ テキス 誤入力アイコンとともに表示され、無効な入力についての情報を提供します
ト
入力フィールドの
薄赤色
無効な入力があることを示します。
[変更を保存]
項目を変更すると、ボタンが赤になります。
変更を保存すると再び灰色になります。
赤の三角形
項目を変更しても保存していない場合、タブ、アイコン、リストのエントリーの横に表示され
ます。
たとえば、ルールを変更した場合、以下の場所に小さな赤の三角形が表示されます。
• 設定パネルのルール エントリーの列
• ルール セット アイコン上
• [ルール セット] タブの突き出ている部分
• トップレベル メニュー バーの[ポリシー]アイコンの上
変更の破棄
ユーザー インターフェースで管理者アクティビティを実行している場合、それらを保存する代わりに作成した変更を
破棄できます。
変更を破棄するための 1 つのオプションは、保存していない変更で本当に行うかどうかに関わらず、ログオフを実行
する場合の正しい答えです。
もう 1 つのオプションは、変更を破棄し、構成データをリロードするためのものです。
34
McAfee Web Gateway 7.2
製品ガイド
セットアップ
ユーザー インターフェース
2
構成データのリロードは、最後に保存した後、既存の構成を復元します。これは、他の管理者によって完了できます。
アプライアンスの初期セットアップの後にまだ変更が保存されていない場合、初期セットアップ構成が復元されます。
データをリロードして変更を破棄する
既存の構成データをリロードして、ユーザー インターフェースで構成された変更を破棄できます。
タスク
1
[変更を保存する]ボタンの隣にある小さく黒い三角形をクリックします。
[バックエンドからデータをリロードする]を読み込む挿入が表示されます。
2
挿入をクリックします。
保留の変更が破棄され、構成データがリロードされます。
McAfee Web Gateway 7.2
製品ガイド
35
2
セットアップ
ユーザー インターフェース
36
McAfee Web Gateway 7.2
製品ガイド
3
Blade サーバー
McAfee Web Gateway のハードウェア プラットフォームとして McAfee Blade を使用できます。
目次
McAfee Blade と Blade システム格納装置モデル
Blade サーバー システムの設置
McAfee Blade での McAfee Web Gateway のインストール
ネットワーク設定
ポート ID
McAfee Blade と Blade システム格納装置モデル
McAfee Blade は Blade サーバーと一般的に呼ばれるモジュラー式のサーバーのタイプです。McAfee Blade は
Blade システム格納装置にインストールされます。
McAfee Web Gateway は以下の 2 種類の McAfee Blade モデル上で実行できます。
•
ProLiant BL460c G6
•
ProLiant BL460c G6.5
以下の 2 つの格納装置モデルは、McAfee Web Gateway を実行するために使用できます。
•
M3 (c3000)
•
M7 (c7000)
Blade サーバー システムの設置
McAfee Blade で McAfee Web Gateway を実行するには、Blade システムをもつ Blade システム格納装置を設置
する必要があります。
この設置に関する詳細な説明は、McAfee パートナー（Hewlett-Packard）のマニュアルに掲載されており、同社の
Web サイトから入手できます。
インストール要件
Blade サーバー システムのインストール要件が満たされていることを確認してください。
詳細については、McAfee パートナーの Web サイトの各格納装置モデルのサイト プランニング ガイドとセットアッ
プとインストール ガイドと以下のセクションを参照してください。
McAfee Web Gateway 7.2
製品ガイド
37
3
Blade サーバー
Blade サーバー システムの設置
Blade サーバー システムの環境
Blade サーバー システムを実行する環境について考える必要があります。
•
電源とエアコン
•
Blade サーバーのネットワークへの統合
完全な納品
出荷リストを見直して、適切な品目を受け取ったかどうかを確認する必要があります。
•
McAfee Blades をもつ Blade システム格納装置（M3 または M7）
•
電源コード
•
ネットワーク ケーブル
Blade サーバー システムの IP アドレス
Blade サーバー システムは、以下のコンポーネントに対する IP アドレスを必要とします。
•
オンボード アドミニストレーター
•
Integrated Lights Out (iLO) モジュール (8 ～ 16 個のアドレス、設定に応じて異なる)
•
相互接続モジュール（4 個のアドレス）
•
McAfee Blade
（設定により必要なアドレスの数が異なる）
Blade サーバーのインストール
Blade サーバー システムをインストールするためには、以下の高レベル手順を実行します。
タスク
1
Blade サーバー システムのインストール要件が満たされていることを確認してください。
2
格納装置にオンボード アドミニストレーターをセットアップします。
3
Integrated Lights-Out Management をセットアップします。
4
Blade システム格納装置を取り付けます。
5
格納装置に相互接続モジュールを取り付けます。
6
格納装置の電源を投入します。
詳細については、各格納装置モデルのセットアップとインストール ガイド、McAfee パートナーの Web サイトのオ
ンボード アドミニストレーター ユーザー ガイド、および Integrated Lights-Out ユーザー ガイドおよび以下の
タスクを参照してください。
タスク
38
•
39 ページの「Blade システム格納装置の取り付け 」
Blade システム格納装置を取り付けるためには、以下の手順に従ってください。
•
39 ページの「相互接続モジュールの設置 」
相互接続モジュールは、Blade システム格納装置の相互接続ベイに設置されます。これらのモジュール
はパススルー モジュールまたはスイッチのいずれかです。
•
39 ページの「Blade システム格納装置をオンにする 」
相互接続モジュールを取り付けた後で、Blade システム格納装置に電源を供給し、オンにすることがで
きます。
McAfee Web Gateway 7.2
製品ガイド
Blade サーバー
Blade サーバー システムの設置
3
Blade システム格納装置の取り付け
Blade システム格納装置を取り付けるためには、以下の手順に従ってください。
タスク
1
示された安全に関する情報を確認して、守ってください。
2
Blade システム格納装置を保護パッケージから取り外し、平らな場所に置きます。
重量を考慮し、設置場所のできるだけ近くで Blade サーバーを開梱します。
3
格納装置の前面と背面のコンポーネント、および背面ケージを取り外します。
4
電源装置、冷却ファン、相互接続モジュール、およびオンボード アドミニストレーターを取り付けます。
電源装置または冷却ファンに障害が発生する場合に冗長を提供するため、McAfee はすべての電源装置と冷却フ
ァンを取り付けることをお勧めします。
5
モニターとキーボードを格納装置に接続します。
6
モニターと格納装置に電源コードを接続します。ただし、格納装置の電源にはまだ接続しないでください。
相互接続モジュールの設置
相互接続モジュールは、Blade システム格納装置の相互接続ベイに設置されます。これらのモジュールはパススル
ー モジュールまたはスイッチのいずれかです。
相互接続モジュールは、Blade システム格納装置の相互接続ベイに設置されます。これらのモジュールはパススル
ー モジュールまたはスイッチのいずれかです。
オンボード アドミニストレーターは、格納装置のダイアグラムを提供します。マウスを上に置きながら、格納装置の
背面の相互接続ベイの位置を探すことができます。M3 格納装置モデルには 4 個のベイがあり、M7 モデルには 8 個
のベイがあります。
タスク
1
相互接続ベイのポジションを検索します。
2
相互接続モジュールを以下のとおり設置します。
•
格納装置モデルが M3 の場合、4 個のスイッチを相互接続ベイ 1 ～ 4 に設置します。
•
格納装置モデルが M7 の場合、4 個のスイッチを相互接続ベイ 1 ～ 4 に、2 個のパススルー モジュールを相
互接続ベイの 5 と 6 に設置します。
Blade システム格納装置をオンにする
相互接続モジュールを取り付けた後で、Blade システム格納装置に電源を供給し、オンにすることができます。
タスク
1
格納装置の電源コードを電源とコンセントに接続します。
確実にすべてのブレードに電源が入るようにするため、2 つの電気回路を使用します。
1 つの電源回路しか使わず、電源管理の設定が AC 冗長である (推奨) 場合、一部のブレードがオンにならない可
能性があります。
2
Blade システム格納装置をオンにします。
格納装置のMcAfee Blade での McAfee Web Gateway をインストールすることができます。
McAfee Web Gateway 7.2
製品ガイド
39
3
Blade サーバー
McAfee Blade での McAfee Web Gateway のインストール
McAfee Blade での McAfee Web Gateway のインストール
McAfee Blade に McAfee Web Gateway をインストールするためには、ソフトウェアをダウンロードし、インス
トールするデバイスを選択し、インストール手順を完了します。
ソフトウェアとインストールのデバイス
McAfee Web Gateway ソフトウェアを ISO または USB フォーマットで McAfee Web Gateway のエクストラネ
ットからダウンロードできます。
格納装置モデルに応じて、McAfee Blade に McAfee Web Gateway をインストールするために、さまざまなデバ
イスを使用できます。
•
内蔵 CD/DVD-ROM ドライブ（M3）
•
外付け CD/DVD-ROM ドライブ（M7）
•
USB ドライブ（M3 および M7）
•
仮想メディア（M3 および M7）
内蔵 CD/DVD-ROM ドライブを使用した McAfee Web Gateway のインス
トール
格納装置モデルが M3 の場合、McAfee Web Gateway をインストールするために内蔵 CD/DVD-ROM を使用でき
ます。
タスク
1
格納装置の内蔵 CD/DVD-ROM ドライブに McAfee Web Gateway ソフトウェアが格納されている CD または
DVD を挿入します。
2
格納装置のオンボード アドミニストレーターを開き、McAfee Web Gateway をインストールする McAfee
Blade を選択してください。
3
[仮想デバイス]タブをクリックします。
4
このタブを使用して、Bladeサーバーに内蔵 CD/DVD-ROM ドライブを接続します。
5
[ブート オプション]タブをクリックして、CD-ROM から[一回だけブート]をセットします。
6
Blade サーバーをオンにします。
McAfee Web Gateway のインストール メニューが表示されます。
メニューからインストール モードを選択して、McAfee Web Gateway をインストールします。
関連トピック:
22 ページの「インストール メニューを使用したアプライアンス ソフトウェアのインストール 」
40
McAfee Web Gateway 7.2
製品ガイド
Blade サーバー
McAfee Blade での McAfee Web Gateway のインストール
3
外付け CD/DVD-ROM ドライブを使用した McAfee Web Gateway のイン
ストール
格納装置モデルが M7 の場合、McAfee Web Gateway をインストールするために外付け CD/DVD-ROM を使用で
きます。
タスク
1
外付け CD/DVD-ROM ドライブに McAfee Web Gateway ソフトウェアが格納されている CD または DVD を
挿入します。
2
McAfee Web Gateway をインストールする McAfee Blade に外付け CD/DVD-ROM ドライブを接続するため
に格納装置に同梱された USB SUV ケーブルを使用してください。
3
格納装置のオンボード アドミニストレーターを開き、適切な McAfee Blade を選択してください。
4
[ブート オプション]タブをクリックして、CD-ROM から[一回だけブート]をセットします。
5
Blade サーバーをオンにします。
McAfee Web Gateway のインストール メニューが表示されます。
メニューからインストール モードを選択して、McAfee Web Gateway をインストールします。
関連トピック:
22 ページの「インストール メニューを使用したアプライアンス ソフトウェアのインストール 」
USB ドライブを使用した McAfee Web Gateway のインストール
USB ドライブを使用して、Blade システム格納装置のサーバーの 1 つに McAfee Web Gateway をインストールで
きます。
タスク
1
McAfee Web Gateway をインストールする McAfee Blade に USB ドライブを接続するために格納装置に同梱
された USB SUV を使用してください。
2
格納装置のオンボード アドミニストレーターを開き、適切な McAfee Blade を選択してください。
3
[仮想デバイス]タブをクリックします。
4
[ブート オプション]タブをクリックして、USB から[一回だけブート]をセットします。
5
Blade サーバーをオンにします。
McAfee Web Gateway のインストール メニューが表示されます。
メニューからインストール モードを選択して、McAfee Web Gateway をインストールします。
関連トピック:
22 ページの「インストール メニューを使用したアプライアンス ソフトウェアのインストール 」
McAfee Web Gateway 7.2
製品ガイド
41
3
Blade サーバー
ネットワーク設定
仮想メディアを使用した McAfee Web Gateway のインストール
Blade システム格納装置は、ローカル ドライブの 1 つに格納された ISO イメージを使用して、格納装置のサーバー
に McAfee Web Gateway を仮想インストールするためのオプションを備えています。
タスク
1
格納装置のオンボード アドミニストレーターを開き、McAfee Web Gateway をインストールする McAfee
Blade を選択してください。
2
[ILO]、[Web 管理]の順にクリックします。
新しいブラウザー ウィンドウを使用して、iLO (integrated Lights-Out) Web ユーザー インターフェースにア
クセスすることができます。
3
[仮想メディア] タブをクリックし、仮想メディア をクリックします。
［仮想メディア］ウィンドウが開きます。
4
ISO イメージをインストールするための仮想フロッピー/USB キーまたは仮想 CD/DVD-ROM オプションを選択
し、関連セクションの[参照]をクリックします。[参照] をクリックして、インストールする ISO イメージ ファ
イルを参照します。
5
[接続]をクリックします。
ISO イメージはインストールに使用できるようにされており、McAfee Web Gateway のインストール メニュー
が表示されます。
メニューからインストール モードを選択して、McAfee Web Gateway をインストールします。
関連トピック:
22 ページの「インストール メニューを使用したアプライアンス ソフトウェアのインストール 」
ネットワーク設定
McAfee Blade で McAfee Web Gateway をインストールした後で、ネットワーク設定を構成できます。
以下のセットアップのうちの 1 つを実行します。
•
プロキシ HA
（高可用性）
•
外部ロード バランシングをもつプロキシ
•
透過型ルーター
•
透過型ブリッジ
これらの各セットアップの場合、McAfee Web Gateway のユーザー インターフェースの適切な設定とその他のネ
ットワーク コンポーネントの追加構成アクティビティを完了する必要があります。
関連トピック:
118 ページの「プロキシ設定 」
42
McAfee Web Gateway 7.2
製品ガイド
Blade サーバー
ネットワーク設定
3
プロキシ HA（高可用性）
明示的なプロキシ モードで実行し、高可用性設定の一部であるプロキシの機能を提供する McAfee Blade で
McAfee Web Gateway を設定できます。
ネットワーク設定
2 本脚プロキシ ソリューションとしてプロキシ HA ネットワークを設定することをお勧めします。これは、2 つの個
別のインターフェースが送受信の Web トラフィックに使用されることを意味します。
高可用性設定である場合、少なくとも 2 つのディレクター ノードがなければならないため、フェールオーバーはそ
れらが停止されている場合に実行できます。ディレクター ノードはロード バランシングがデータ パケットを適切な
方法でデータをスキャンするだけのノードに仕向けることにより実行されます。これは、ゼロを超えるディレクター
優先度で設定され、このパラメーターはスキャニング ノードに対してゼロにセットされます。
ディレクター ノードでは、受信 Web トラフィックを扱うインターフェースに対して仮想 IP アドレスを必要としま
す。このアドレスは VRRP
（仮想ルーター冗長プロトコル）に従って割り当てられます。
Web トラフィックをロードバランシングのディレクター ノードで送信ネットワーク インターフェースを使用するよ
うにお勧めします。これを達成するために、プロキシ設定の一部として管理 IP アドレスを設定するとき、物理コン
ポーネントとして送信ネットワーク インターフェースがもつ IP アドレスを指定する必要があります。
さらに帯域外管理のための追加インターフェースを使用する必要があり、それにより、管理通信を個別に実行できま
す。
リンク回復力
使用中の相互接続モジュールが切り替えられる場合、スイッチの 2 個のアップリンク ポートをトランク グループに
バンドルすることをお勧めします。
このようにして、ネットワーク ケーブルによりそれぞれアップリンク ポートに接続して物理リンクを提供すること
ができるため、リンクの回復力を達成することができます。2 個のリンクの 1 個に障害が発生した場合でも、トラン
ク グループは引き続きアクティブになります。
VRRP インターフェースの場合、このインターフェースは Blade システム格納装置内の内部通信にのみ使用される
ため、アップリンク ポートは必要ありません。
下表はトランク グループ、相互接続モジュール、インターフェースをプロキシ HA ネットワーク セットアップで互
いに割り当てる方法を示しています。
表 3-1 プロキシ HA ネットワーク セットアップのネットワーク コンポーネントの割り当て
ネットワーク インターフェース ポート
相互接続モジュール
トランク グループ
受信 Web トラフィック インターフェース 相互接続ベイ 1 で切り替え グループ 1:ポート 21、ポート 22
送信 Web トラフィック インターフェース 相互接続ベイ 2 で切り替え グループ 2:ポート 21、ポート 22
帯域外管理インターフェース
相互接続ベイ 3 で切り替え グループ 3:ポート 21、ポート 22
VRRP インターフェース
相互接続ベイ 4 で切り替え アップリンク ポートが必要ではありませ
ん
相互接続モジュールの設定方法に関する詳細は、McAfee パートナーの Web サイトで c クラス BladeSystem
の GbE2c Ethernet Blade Switch アプリケーション ガイドを参照してください。
McAfee Web Gateway 7.2
製品ガイド
43
3
Blade サーバー
ネットワーク設定
外部ロード バランシングをもつプロキシ
明示的なプロキシ モードで実行し、外部負荷分散機能を使用して確保される可用性をもつ機能を提供する McAfee
Blade でMcAfee Web Gateway を設定できます。
ネットワーク設定
2 本脚プロキシ ソリューションとして負荷分散の設定を備えた明示的なプロキシを設定することをお勧めします。こ
れは、それぞれ IP アドレスをもつ 2 つの個別のインターフェースが送受信の Web トラフィックに使用されること
を意味します。
帯域外管理のための追加インターフェースを使用する必要があり、それにより、管理通信を個別に実行できます。
リンク回復力
使用中の相互接続モジュールが切り替えられる場合、スイッチの 2 個のアップリンク ポートをトランク グループに
バンドルすることをお勧めします。
このようにして、ネットワーク ケーブルによりそれぞれアップリンク ポートに接続して物理リンクを提供すること
ができるため、リンクの回復力を達成することができます。2 個のリンクの 1 個に障害が発生した場合でも、トラン
ク グループは引き続きアクティブになります。
下表はトランク グループ、相互接続モジュール、互いのインターフェースを負荷分散設定を備えた明示的プロキシで
割り当てる方法の例を示します。
表 3-2 負荷分散設定を備えた明示的プロキシのネットワーク コンポーネントの割り当て
ネットワーク インターフェース ポート
相互接続モジュール
トランク グループ
受信 Web トラフィック インターフェース
相互接続ベイ 1 で切り替え
グループ 1:ポート 21、ポート 22
送信 Web トラフィック インターフェース
相互接続ベイ 2 で切り替え
グループ 2:ポート 21、ポート 22
帯域外管理インターフェース
相互接続ベイ 3 で切り替え
グループ 3:ポート 21、ポート 22
相互接続モジュールの設定方法に関する詳細は、McAfee パートナーの Web サイトで c クラス BladeSystem
の GbE2c Ethernet Blade Switch アプリケーション ガイドを参照してください。
負荷分散機能
負荷分散は、個々の Blade サーバーに負荷を割り当てる外部デバイスによりこの設定で実行されます。この目的のた
め、Blade サーバーは負荷分散プールに含まれています。
負荷分散機能を設定するときには、IP クライアントの粘着性を支援するアルゴリズムを使用します。これにより、進
行状況ページなど、IP クライアントの粘着性を必要とする機能が利用できるようになります。
透過型ルーター
McAfee Blade で McAfee Web Gateway を構成して、ネットワーク上のさまざまなセグメントの間で Web トラフ
ィックを仕向ける透過型ルーターの機能を提供します。
2 本脚プロキシ ソリューションとして透過型ルーター ネットワーク設定を構築することをお勧めします。これは、
それぞれ仮想 IP アドレスをもつ 2 つの個別のインターフェースが送受信の Web トラフィックに使用されることを
意味します。
この仮想 IP アドレスは VRRP
（仮想ルーター冗長プロトコル）に従って割り当てられます。
Web トラフィックを負荷分散のための送信ネットワーク インターフェースを使用するようにお勧めします。これを
達成するために、プロキシ設定の一部として管理 IP アドレスを設定するとき、物理コンポーネントとして送信ネッ
トワーク インターフェースがもつ IP アドレスを指定する必要があります。
44
McAfee Web Gateway 7.2
製品ガイド
Blade サーバー
ポート ID
3
IP スプーフィングが有効になっている場合、このセットアップ内のスキャニングにのみ使用されるノードは受信
Web トラフィックの接続を必要としません。受信と送信トラフィックは、負荷分散を行うディレクター ノードです
べて処理されます。
透過型ブリッジ
McAfee Blade で McAfee Web Gateway を構成して、ネットワーク上のさまざまなセグメントの間の透過型ブリ
ッジの機能を提供します。
2 本脚プロキシ ソリューションとして透過型ブリッジ ネットワーク設定を構築することをお勧めします。ネットワ
ーク モードの場合、2 本脚ソリューションは仮想 IP アドレスを必要とせず、VRRP の下で通信は適宜行われませ
ん。
負荷分散をするディレクター ノードは、STP（Spanning Tree Protocol）に従ってこのロールに割り当てられます。
管理 IP アドレスをプロキシ設定の一部として構成するときに、ibr0 ブリッジ インターフェースの IP アドレスを指
定する必要があります。
ディレクター ノードが正しく STP の下で割り当てられるようにするには、送受信 Web トラフィックに対してブレ
ード スイッチで STP の使用を禁じる必要があります。STP はこの後、オペレーティング システムで実行されます。
ポート ID
McAfee Web Gateway が McAfee Blade で実行中のとき、この Blade サーバーのネットワーク インターフェース
を使用します。これらのネットワーク インターフェースへの eth0、eth1 などのポートの割り当ては、さまざまな
McAfee Blade モデルにより異なります。
ネットワーク インターフェースは、サーバーのシステム ボードと追加のネットワーク インターフェース カード（メ
ザニン カード）にあります。
ネットワーク インターフェースに割り当てられるポートは、相互接続モジュールにより物理的に提供され、それらは
以下のいずれかです。
•
パススルー モジュール（HP 1GB イーサーネット パススルー モジュール）
•
スイッチ（HP GbE2c Layer 2/3 Ethernet Blade Switch、LAN 相互接続と呼ばれる）
これらのモジュールは、Blade システム格納装置の相互接続ベイに設置されます。各ネットワーク インターフェース
は、相互接続ベイに提供され、マップされるポートを持ちます。
パススルー モジュールとスイッチによるポート
Blade システム格納装置のパススルー モジュールには 16 個のポートがあります。これは、ポートを格納装置に含む
ことができる 16 個の Blade サーバーのそれぞれにネットワーク インターフェースを割り当てることができること
を意味します。
しかし、スイッチは 5 個のアップリンク ポートのみを備えています。その後、サーバーがネットワーク インターフ
ェースに対して提供されたポートをもつ設定に関連し、ポート割り当てをそれに対して行うことができるようになり
ます。
パススルー モジュールやスイッチへのネットワーク インターフェースのポートのマッピングは、対象となる格納装
置のオンボード アドミニストレーターを使用して表示できます。
ネットワーク インターフェースのポートのマッピング
Blade サーバーのネットワーク インターフェースのポートが Blade システム格納装置の相互接続ベイにマップされ
ます。
McAfee Web Gateway 7.2
製品ガイド
45
3
Blade サーバー
ポート ID
マッピングはすべてのサーバーに対して同じです。たとえば、サーバーのシステム ボードの最初のネットワーク イ
ンターフェースのポートは常に、相互接続ベイ 1 にマップされます。
Blade サーバーには最大 8 個のネットワーク インターフェースをもつことができます。
•
2 個の LoM (LAN on motherboard) ネットワーク インターフェース。システム ボードに組み込み
•
2 個のネットワーク インターフェース（メザニン カード 1 上）
•
4 個のネットワーク インターフェース（メザニン カード 2上）
M3 格納装置モデルには 4 個の相互接続ベイがあり、M7 モデルには 8 個の相互接続ベイがあります。前者のモデル
では、2 個のネットワーク インターフェース ポートが常に 1 個の相互接続ベイにマップされます。
しかし、一部の相互接続ベイを空にすることができます。このことは、マッピングに含めることができないことを意
味します。
下表はすべての相互接続ベイが占有されている各格納装置のマッピングを示します。
表 3-3 M3 格納装置のポート マッピング
ネットワーク インターフェース ポート
相互接続ベイ
LoM 1 ポート
1
LoM 2 ポート
1
メザニン カード 1 - ポート 1
2
メザニン カード 1 - ポート 2
2
メザニン カード 2 - ポート 1
3
メザニン カード 2 - ポート 2
4
メザニン カード 2 - ポート 3
3
メザニン カード 2 - ポート 4
4
表 3-4 M7格納装置のポート マッピング
ネットワーク インターフェース ポート
相互接続ベイ
LoM 1 ポート
1
LoM 2 ポート
2
メザニン カード 1 - ポート 1
3
メザニン カード 1 - ポート 2
4
メザニン カード 2 - ポート 1
5
メザニン カード 2 - ポート 2
6
メザニン カード 2 - ポート 3
7
メザニン カード 2 - ポート 4
8
ネットワーク インターフェースのポートの割り当て
これらの Blade サーバー上のネットワーク インターフェースへの eth0、eth1 などのポートの割り当ては、サーバ
ー モデルにより異なります。
割り当てはポートを備えたネットワーク インターフェース カードのタイプによって異なります。
下表は各サーバー モデルとネットワーク インターフェース カードのポート割り当てを示します。
46
McAfee Web Gateway 7.2
製品ガイド
Blade サーバー
ポート ID
3
表 3-5 G6 サーバー モデルのポート割り当て
ネットワーク インターフェース ポート
ポートの割り当て
ネットワーク インターフェース カード
LoM 1 ポート
eth6
HP NC 352i
LoM 2 ポート
eth7
メザニン カード 1 - ポート 1
eth0
メザニン カード 1 - ポート 2
eth1
メザニン カード 2 - ポート 1
eth2
メザニン カード 2 - ポート 2
eth3
メザニン カード 2 - ポート 3
eth4
メザニン カード 2 - ポート 4
eth5
HP NC 360m
HP NC 364m
表 3-6 G6.5 サーバー モデルのポート割り当て
ネットワーク インターフェース ポート
ポートの割り当て
ネットワーク インターフェース カード
LoM 1 ポート
eth6
HP NC 352i
LoM 2 ポート
eth7
メザニン カード 1 - ポート 1
eth4
メザニン カード 1 - ポート 2
eth5
メザニン カード 2 - ポート 1
eth0
メザニン カード 2 - ポート 2
eth1
メザニン カード 2 - ポート 3
eth2
メザニン カード 2 - ポート 4
eth3
McAfee Web Gateway 7.2
HP NC 382m
HP NC 364m
製品ガイド
47
3
Blade サーバー
ポート ID
48
McAfee Web Gateway 7.2
製品ガイド
4
ルール
Web フィルタリングと権限はルールにより制御され、ネットワークのニーズに合わせて実装および変更できます。
ルールはグループ化され、ルール セットで使用可能になり、それぞれは通常はフィルタリング アクティビティの特
定のフィールドを対象としています。たとえば、ウイルスとマルウェア フィルタリング ルール セット、URL フィル
タリング ルール セット、認証ルール セットなどがある場合があります。
アプライアンスの初期セットアップで、ルール セットの初期システムを実装するように指示し、指定に従ってウィザ
ードがセットアップするデフォルト システムまたはシステムとなることができます。
施行されたシステムのルールとルール セットを見直し、それらを変更および削除し、固有のルールおよびルール セ
ットをしたり、固有の完全なシステムさえも作成できます。
初期システムのルール セットに加えて、ライブラリからのルール セットをインポートすることができ、初期ルール
セットと同じ方法でそれらを変更することができます。
目次
フィルタリングについて
ルール要素
ルール セット
ルール セット システム
ルール セット ライブラリ
ルール セット タブ
ルールの作成
ルール セットの作成
ルール セットのインポート
構成項目へのアクセス制限
フィルタリングについて
フィルタリング処理は、ネットワークの Web セキュリティを保証するために、実装ルールを使用するアプライアン
スで実行されます。
この処理は Web トラフィックをフィルターします。茶葉を引っかけて取り除き、すきまを通して液体を流れさせる
茶こしのように、一部のオブジェクトをブロックし、他は通過させます。
この処理は茶葉と液体はどのように区別するのでしょうか?茶こし器の場合は、明らかにサイズが主要な概念として
使用されています。大きすぎるものは通過できません。
同様に、フィルタリングの判断をするために、アプライアンスのフィルタリング処理は Web オブジェクトが持つ、
あるいは Web オブジェクトに何らかの方法で関連する、あらゆる種類のプロパティのルールを使用します。
McAfee Web Gateway 7.2
製品ガイド
49
4
ルール
フィルタリングについて
フィルターされたオブジェクトのプロパティ
フィルタリング処理でチェックされた Web オブジェクトのプロパティは、たとえば、ウイルスに感染しています。
Web オブジェクトはウイルスに感染するプロパティを持つ場合があります。さらに簡単に言えば、ウイルスに感染
する可能性があります。
その他の例では、特定の URL カテゴリーまたは特定の IP アドレスを持つプロパティに属するプロパティの場合があ
ります。
すると、これらのプロパティおよびその他のプロパティについて、以下のような疑問が生じます。
•
特定の Web オブジェクトにおいて、プロパティ p の値は?
•
そして、この値が x の場合、どのようなアクションが必要なのだろうか?
2 つめの質問に答えると、以下のルールに導かれます。
プロパティ p の値が x である場合、アクション y が必要。
アプライアンスのすべてのルールにおいて、プロパティは主要な要素です。プロパティを理解することは、ルールを
理解することにおいて不可欠です。
ルールを作成する際は、使用するプロパティについて考慮することから始めることが望ましいです。すでに存在する
ルールを例として使用し、たとえば、以下のように考慮することがあるかもしれません。
ウイルスと他のマルウェアをフィルタリングします。「ウイルスに感染している」プロパティを使用し、それを中心に
ルールを作成します。特定の Web オブジェクトにこのプロパティがある場合、このルールにブロック アクション
の実行を必要とするようにします。
ルールは、以下のようになる可能性があります。
ウイルスに感染しているが true の値（特定の Web オブジェクトで）である場合は、このオブジェクトへのアクセ
スをブロックします。
この Web オブジェクトは、たとえば、ネットワークのユーザーがファイルをリクエストしたことで Web サーバー
が送信したファイルであり、アプライアンスでインターセプトおよびフィルタリングされたものである可能性があり
ます。
このセクションでは、普通の言葉を使用してプロパティとルールが説明されます。しかし、アプライアンスのユーザ
ー インターフェースにある形式はこれとはあまり変わりません。
たとえば、ウイルス感染に関する上記のルールが、以下のようにユーザー インターフェースに表示される場合があり
ます。
Antimalware.Infected equals true –> Block (Default)
この場合、Antimalware.infected がプロパティでBlockがアクションの場合、デフォルトの方法で実行されるも
のです。
ユーザー インターフェースに矢印が表示されずここに表示されています。特定の Web オブジェクトに疑わしいプロ
パティがある場合、ブロック アクションがトリガーされていることを示します。
ユーザーのフィルタリング
プロパティは Web オブジェクトに関連する可能性がありますが、それをリクエストするユーザーにも関連する可能
性があります。
たとえば、ルールで ユーザーがメンバーであるユーザー グループ プロパティを使用して、許可されたグループにい
ないユーザーによって送信されたリクエストをブロックすることができます。
ユーザーがメンバーであるユーザー グループ（特定のユーザーで）が許可されているグループのリストにない場合、
このユーザーによって送信されるリクエストをブロックします。
50
McAfee Web Gateway 7.2
製品ガイド
ルール
フィルタリングについて
4
フィルタリング サイクル
このアプライアンスでのフィルタリング プロセスには、以下の 3 つのサイクルがあります。リクエスト サイクル、
応答サイクル、埋め込みオブジェクト サイクルいかなる時でも、これらの中から 1 つの処理しかできません。
リクエスト サイクルはネットワークのユーザーが Web に送信するリクエストをフィルタリングするために実行さ
れ、応答サイクルはこれらのリクエストにより Web から受信した応答のために使用されます。
埋め込みオブジェクトがリクエストまたは応答とともに送信される場合、埋め込みオブジェクト サイクルは追加の処
理のサイクルとして実行されます。
埋め込みオブジェクトは、たとえば、ファイルをアップロードするというリクエストとともに送信されるファイルで
あり、このファイルに埋め込まれるということがあります。フィルタリング プロセスは、リクエスト サイクル、リ
クエストのフィルタリング、アップロードのリクエストがあるファイルの確認から開始します。すると、埋め込みフ
ァイルに対して埋め込みオブジェクト サイクルが開始されます。
同様に、Web サーバーから応答として送信されて、他のファイルが埋め込まれているファイルでは、応答サイクル
と埋め込みオブジェクト サイクルが次々と開始されます。
アプライアンスのすべてのルールにつき、どのサイクルで処理されるかが指定されています。しかし、サイクルは個
々のルールで指定されているのではなく、それを含むルール セットで指定されます。
1 つのサイクルのみ、またはサイクルの組み合わせで、ルール セットを処理できます。
プロセス フロー
フィルタリング プロセスでは、実装されているルールがルール セットでの位置に応じて、次々と処理されます。
ルール セット自体は、ユーザー インターフェースの[ルール セット]タブで表示されている、ルール セット システ
ムの順序に処理されます。
3 つのサイクルそれぞれで、このサイクルでどれを処理する必要があるかを確認するために、実装されたルール セッ
トが次々と参照されます。
ルールが処理されて適用することが判明した場合、アクションをトリガーします。アクションは、Web オブジェク
トへのアクセスをブロックしたり、リクエストされたオブジェクトを削除するなどの、フィルタリング手段を取りま
す。
これに加え、アクションはフィルタリング プロセスに影響を与えます。フィルタリング プロセスを完全に停止する
必要があると指定、あるいは一部のルールを省いて続行、またはシンプルに次のルールで続行すると指定することが
できます。
すべての実装されたルールが処理された後も、処理が停止します。
それにより、プロセス フローは以下のようになります。
構成されたそれぞれのサイ –> 処理が止まります。
クルのすべてのルールが処
リクエスト サイクルでは、リクエストが適切なサーバーに通過することが許可され
理されたので、適用するル
ます。
ールが見つからない。
応答サイクルでは、Web から送信された応答は、適切なユーザーに転送されます。
埋め込みオブジェクト サイクルでは、リクエストまたは応答とともに送信された埋
め込みオブジェクトが一緒に通過することが許可されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、処理を –> 処理が止まります。
完全に停止する必要があ
処理が完全に止まるルールの例の一例は、ブロック アクションのあるルールです。
る。
たとえば、リクエストされた URL がブラックリストにあるためにリクエストがブ
ロックされた場合、他を処理を行うことは無意味になります。
McAfee Web Gateway 7.2
製品ガイド
51
4
ルール
ルール要素
リクエストがブロックされて適切な Web サーバーに渡されていないため、応答は
受信されません。リクエストがブロックされたため、リクエストとともに送信され
た埋め込みオブジェクトのフィルタリングも必要ありません。
メッセージは、たとえば、ユーザーにリクエストがブロックされたこととその理由
の通知など、アクションによって影響を受けたユーザーに送信されます。
次のリクエストが受信されるときに、処理は再び開始されます。
ルールが適用され、現在の –> このルール セットの処理が停止します。
ルール セットの処理を停
ルール セットの停止ルールに従うルールは省かれます。
止する必要がある。
ルール セットの処理を停止するルールの例は、同じルール セットにおいてホワイ
トリスト ルールにブロック ルールが続く場合です。
リクエストされた Web オブジェクトがホワイトリストで見つかった場合、そのリ
クエストは他にフィルタリングされることなく通過が許可されます。そのため、ル
ール セットはこれ以上処理されることなく、オブジェクトを最終的にブロックする
ルールは省かれます。
次のルール セットで処理が続行されます。
次のルール セットには、たとえば、リクエストが前のルール セットで通過するこ
とが許可されていてもそのリクエストをブロックするようなルールを、含むことが
できます。
ルールが適用され、現在の –> このサイクルの処理が停止します。
サイクルの処理を停止する
ルール セットの停止ルールに従うルールは省かれます。
必要がある。
サイクルの処理を停止するルールの例は、グローバル ホワイトリスト ルールです。
リクエストされたオブジェクトがグローバル ホワイトリストで見つかった場合、そ
のリクエストは適切なサーバーに通過することが許可されます。リクエストが、最
終的に後に続くいかなるルールやルール セットにブロックされないことを保証する
ために、リクエスト サイクルはこれ以上処理されません。
次のサイクルで処理が続行されます。
ルールが適用され、次のル –> 処理は次のルールで続行します。
ールで処理が続行される必
これは現在のルール セットにおける次のルール、あるいは次のルール セットまた
要がある。
はサイクルの最初のルールである可能性があります。
フィルタリング プロセスを妨げずに続行させるルールの例は、統計ルールです。
このルールは、カウンターを増加させることでリクエストを数えるだけであり、そ
れ以外は何もしません。
ルール要素
アプライアンスの Web セキュリティ ルールには、3 つの主要要素があります。条件、アクション、および（オプシ
ョン）イベント.
1
[条件]
ルールが適用されるかどうかを判別します。
その他のルール構文は条件の代わりに条件を使用します。
URL のカテゴリーがリスト x にある場合、...
52
McAfee Web Gateway 7.2
製品ガイド
ルール
ルール要素
4
条件には、以下の 3 つの要素があります。プロパティ、演算子、演算対象。
•
[プロパティ]
Web オブジェクトまたはユーザーに関連するものです。
URL のカテゴリー ...
•
[演算子]
演算対象のプロパティをリンクします。
... がリストにある
•
[演算対象]
プロパティがもつことができる値を指定します。
... x（リスト名）
演算対象はユーザー インターフェースではパラメーターとしても知られています。
2
[アクション]
条件が一致した場合に実行されます。
... URL をブロック
3
[イベント]
条件が一致した場合に実行されます。
... およびこのアクションをログに記録します。
イベントはルールに対してオプションです。ルールは複数のイベントを持つこともできます。
ユーザー インターフェースでのルールの形式
ユーザー インターフェイスでは、ルールは以下の形式で表示されます。
図 4-1 ユーザー インターフェースでのルールの形式
以下の表で、 ルール要素の意味を説明します。
表 4-1 ユーザー インターフェースでのルールの要素
オプション 定義
[有効]
ルールを有効または無効にすることを可能にします
[名前]
ルールの名前
• [URL のブロック ...] ― 名前のテキスト
• [カテゴリー ブロックリスト] (ルール名) — ルールにより使用されるリスト
リスト名をクリックすると、編集のためにリストが開きます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空で、エントリーの入力が必要であることを示
します。
McAfee Web Gateway 7.2
製品ガイド
53
4
ルール
ルール要素
表 4-1 ユーザー インターフェースでのルールの要素 (続き)
オプション 定義
[条件]
ルールの条件
条件は、[詳細の表示]切り替えボタンをクリックした後のみに、表示されます。
• [URL.Categories] — プロパティ
• [<Default>] — プロパティの値を取得するモジュールの設定
たとえば、URL フィルターー モジュールの設定であるここに表示されるデフォルト設定。
設定名をクリックすると、編集のために設定が開きます。
モジュール名はルールでは表示されません。しかし、ルールの条件の[編集]ウィンドウで表示されま
す。
• [リストに少なくとも 1 つある場合] ― 演算子
• [カテゴリー ブラックリスト] — 演算対象、またはパラメーターとして知られています
リスト名をクリックすると、編集のためにリストが開きます。
リスト名は、条件が表示されていないときに利用可能にするため、ルール名と条件の両方に表示され
ます。
• リスト名の隣の黄色の三角形 ― このリストが最初に空であることを示します。
[アクショ
ン]
ルールのアクション
• [ブロック] — アクションの名前
• [<URLBlocked>] — アクションの名前
設定名をクリックすると、編集のために設定が開きます。
[イベント] ルールの 1 つ以上のイベント
イベントは、[詳細の表示]切り替えボタンをクリックした後のみに、完全に表示されます。
• [Statistics.Counter. Increment] — イベントの名前
• [“BlockedByURLFilter, 1”] — イベントのパラメーター
• [<Default>] — イベントの設定
設定名をクリックすると、編集のために設定が開きます。
複雑な条件
ルールの条件は、2 つ以上の部分で構成することで複雑にできます。
各部分の複雑な条件には演算子と演算対象のあるプロパティがあります。これらの部分は、AND または OR でリン
クされています。
フィルターされた URL が、2 つの指定されたカテゴリ リストのいずれか（または両方）にあるカテゴリに属してい
る場合、条件の一致になります。
3 つ以上の部分で条件を構成し、AND と OR の両方を間に使用している場合は、どのように部分が論理的につなが
っているかを示すために括弧を入れる必要があります。たとえば、(a AND b) OR c の意味は、a AND (b OR c) と
は違います。
54
McAfee Web Gateway 7.2
製品ガイド
ルール
ルール セット
4
3 つめの条件の部分をユーザー インターフェースに追加すると、小文字がその部分の前に表示され、追加のフィール
ドが構成ウィンドウの下に挿入されます。
a AND b OR c など、フィールドは条件部分を簡単に表示します。それから、必要に応じてフィールドに括弧を入力
できます。
ルール セット
ルールは、アプライアンスのルール セットにグループ化されて含まれます。ルールはそのままでは使用できません。
ルールはルール セットに含まれる必要があります。
ルール セットは単一のルールのみか、複数のルールを含むことができます。1 つ以上のネストされた ルール セット
を含めることもできます。ルール セットがネストされたルール セットを含む場合、ネストされたルール セットと同
じレベルで個々のルールを含むことができます。
ルール セットは、通常、Web セキュリティを保証する特定の機能を提供するために、一緒に動作するルールを含み
ます。
たとえば、ウイルスとマルウェアをフィルタリングするルール セットに、ブロック ルールを省いてユーザーがアク
セスできるように、感染したルール セットをブロックするルール、および 1 つ以上のオブジェクトをホワイトリス
トするルールを含めます。
施行されたルール セットを変更し、固有のルール セットを作成してネットワークに適した方法で機能的なユニット
を構築できます。
ルール セットの条件
ルールと同様にルール セットには条件があり、その条件に一致した場合に適用されます。
通常、ルール セットの条件はルールの条件とは異なります。ルールが適用されるには、条件とルール セットの条件
の両方が一致する必要があります。
ルール セット サイクル
ルール セットは、フィルタリング プロセスの 3 つのサイクルでルールとともに処理されます。
ルール セットは、たとえば、リクエスト サイクルのみ、リクエストと応答サイクル、および 3 つのサイクルすべて
など、これらのサイクルのいかなる組み合わせでも処理することができます。
ルール セットのサイクルは、これを含み個々のルールのものと同じです。ルールに関しては、そのルール セットか
らのサイクルとは異なることはできません。
ネストされたルール セット
ルール セットには、他のルール セットをネストできます。ネストされたルール セットには独自の条件があります。
サイクルに関しては、ネストされたルール セットのサイクルで処理できますが、すべてのサイクルで処理する必要は
ありません。
この方法だと、ネストされたルール セットで特定のサイクルに特に対応すると同時に、他のルール セットで異なる
サイクルに対応するように構成できます。
たとえば、メディア タイプ フィルタリング ルール セットは、すべてのサイクルに適用される可能性がありますが、
有しているすべてのネストされたルール セットでは処理されません。
McAfee Web Gateway 7.2
製品ガイド
55
4
ルール
ルール セット システム
メディア タイプ フィルタリング ルール セット（リクエスト、応答、および埋め込みオブジェクト）
•
ネストされたルール セット、メディア タイプ アップロード（リクエストのみ）
•
ネストされたルール セット、メディア タイプ ダウンロード（応答および埋め込みオブジェクトのみ）
ルール セット システム
ルール セットは、ルール セット システムの一部として、アプライアンスで施行されます。
ネットワークのユーザーにより送信された Web アクセスのリクエストをアプライアンスが受け取った後で、システ
ムのすべてのルール セットは、上から下に処理されます。
ルール セットのルールを適用する場合、このルールのアクションが実行されます。アクションがブロックされている
場合、処理が停止します。その他のアクションは、1 つの方法または別の方法で処理を続行させます。
同様に、施行されたシステムのルール セットは、応答と埋め込みオブジェクトについて処理されます。
ルール セット システムの操作
ルール セット システムを操作するとき、以下を行うことができます。
•
初期ルール セット システムの実装 — アプライアンスの初期セットアップ中
•
実装されたルール セット システムの変更 — システムを微調整した後で、それをネットワークのニーズに適用し
ます
このシステムを変更すると、以下が可能になります。
•
ルールとルール セットの変更
•
ルール セットのインポート
•
ルールとルール セットの削除
•
ルールとルール セットの新しい位置への移動
•
新規ルールとルール セットの作成
•
ルールをコピーし、その他のルール セットに貼り付ける
初期ルール セット システム
アプライアンスの初期セットアップ時に、初期ルール セット システムを施行するように指示されます。
以下の操作を行うことができます：
•
ウィザードが作成したルール セット システム — 選択内容に応じてポリシー作成ウィザードが作成するシステム
組織、地域の場所、制限のタイプに関する選択を行うことができます。
•
デフォルト ルール セット システム ― デフォルト システム
このシステムは選択を行わない場合に実装されます。
初期セットアップ後に、同じ方法で両方のタイプのシステムを見直し、変更できます。
ルール セット ライブラリ
ルール セット ライブラリは、実装されたルール セット システムにインポートできる追加ルール セットを示します。
ライブラリはまた、デフォルト ルール セット システムのルール セットも含みます。
URL フィルタリングとメディア タイプ フィルタリング ルール セットは、別のユーザー グループのフィルタリング
を許可する 3 つのバージョンでデフォルト システムに存在します。ライブラリは、2 つのルール セットのそれぞれ
に対して、標準のバージョンを含みます。
56
McAfee Web Gateway 7.2
製品ガイド
ルール
ルール セット システム
4
サンプルの初期ルール セット システム
以下の 2 つのテーブルは、初期ルール セット システムのサンプルを示します。1 つはウィザードが作成したルー
ル セット システムで、もう 1 つはデフォルトのルール セット システムです。ネストされたルール セットは示され
ません。
ウィザードが作成されたルール セット システムは、以下の選択を反映します。組織のタイプ ― 商用、場所 ― ヨー
ロッパ、厳格度のレベル ― 制限付き（中程度）。
表 4-2 ウィザードが作成したルール セット システム
ルール セット
説明
グローバル ホワイトリスト
ホワイトリストされた URL または IP アドレスのリクエストに対してフィルタリ
ングを省くことを許可します。
グローバル ブロック
リクエストされた URL または IP アドレスがブラックリストにある場合にリクエ
ストをブロックします。
メディア タイプ フィルタリン
グ
メディア タイプのアップロードおよびダウンロードのために、ネストされたルー
ル セットでメディア タイプ フィルタリングを制御します。
コンテンツ フィルター
ホワイトリストに入力されたユーザーを除外します。ブラックリストに入力された
ら、ユーザーをブロックします。さまざまなカテゴリーに属する URL をブロック
します。
Gateway AntiMalware
ウイルス シグネチャと積極的な方法を使用してウイルスとマルウェアのフィルタ
リングを制御します。
SSL スキャナー
証明書検証および検査を有効にするためのネストされたルール セットを有する他
のフィルタリング機能で、SSL セキュアードの Web トラフィックを処理するた
めに準備します。
デフォルトのルール システムは次のようになります。
表 4-3 デフォルト ルール セット システム
ルール セット
説明
SSL スキャナー
証明書検証および検査を有効にするためのネストされたルール セットを有
する他のフィルタリング機能で、SSL セキュアードの Web トラフィック
（デフォルトでは有効ではありません） を処理するために準備します。
グローバル ホワイトリスト
ホワイトリストされた URL または IP アドレスのリクエストに対してフィ
ルタリングを省くことを許可します。
共通ルール
Web キャッシング、進行状況を表示、およびアーカイブを開くなどの、フ
ィルタリング プロセスをサポートする機能を提供します。
認証されていないユーザーに認証を求め、両方の機能のネストされたルー
ル セットで、許可されているユーザー グループに含まれないユーザーを
（デフォルトでは有効ではありません） ブロックします。
認証と許可
認証されていないユーザーのコンテン
ツ フィルター
認証されていないユーザーの、個々の URL、URL カテゴリー、およびメ
ディア タイプ フィルタリングを制御します。
ユーザー グループ「internet」のコン 特定のユーザー グループに属するユーザーのために、個々の URL、URL
テンツ フィルター
カテゴリー、およびメディア タイプのフィルタリングを制御します。
ユーザー グループ「internet_strict」 より厳密的なブロック レベルが適用されているユーザー グループに属し
のコンテンツ フィルター
ているユーザーのために、個々の URL のフィルタリング、URL カテゴリ
ー、およびメディア タイプを制御します。
これは、たとえば、他のグループのために使用されるリストと比較してよ
り多く、または異なるエントリーを含むブラックリストを使用することで、
達成できます。
Gateway AntiMalware
McAfee Web Gateway 7.2
ウイルス シグネチャと積極的な方法を使用してウイルスとマルウェアのフ
ィルタリングを制御します。
製品ガイド
57
4
ルール
ルール セット ライブラリ
ルール セット ライブラリ
ルール セット ライブラリは、実装されたルール セット システムにインポートするためのルール セットを提供しま
す。
システムにない機能を追加するため、または実装されているルール セットがネットワークに適していない場合に、ラ
イブラリをインポートできます。
ルール セット ライブラリは、デフォルト ルール セット システムの一部であるルール セットも含みます。
オンライン ルール セット ライブラリからもっと多くのルール セットが利用可能です。このライブラリへのリンクは、
標準ルール セット ライブラリのウィンドウに表示されます。
以下のテーブルでは、標準的なルール セット ライブラリのルール セットが表示されます（ネストされたルール セッ
トは表示されません）。
表 4-4 ライブラリ ルール セット
ルール セット
説明
アクセス ログ
Web アクセスのユーザー リクエストをログ記録します。
キャッシュ ステータスのあるア Web アクセスのユーザー リクエストとキャッシュ ステータスをログ記録します。
クセス ログ
認証サーバー
認証サーバーの認証を制御します。
許可オーバーライド
Web 使用量に設定されたクォータを超過したときに、ユーザーが続行することを
許可します。
すべてのエラー時にブロック
アプライアンスで内部エラーが発生した場合に、リクエストをブロックします。
マルウェア対策エンジンのエラ マルウェア対策モジュールを読み込みできない、または負荷が高い場合に、リク
ー時にブロック
エストをブロックします。
URL フィルターー エラー時に URL フィルターー モジュールを読み込みできない、または負荷が高い場合に、リ
ブロック
クエストをブロックします。
58
セッションのブロック
ユーザーが許可されていない Web オブジェクトにアクセスを試した後、ユーザー
を一定期間ブロックします。
ePO リクエストのバイパス
ePO サーバーから送信された接続リクエストがフィルタリングを省くことを許可
します。
警告
続行が許可される前に、ユーザーに Web ページの使用の確認を求めます。
共通ルール
Web キャッシング、進行状況を表示、およびアーカイブを開くなどの、フィルタ
リング プロセスをサポートする機能を提供します。
Cookie 認証
Cookie の使用による認証、および認証サーバーからの情報取得を制御します。
ログイン ページで Cookie 認
証
ログオン ページでユーザーが認証情報を提供するときに、Cookie を使用して認
証サーバーから情報を取得することによって認証を制御します。
データ漏洩防止
アプライアンスと DLP ソリューションの間のトラフィック フローを制御します。
直接プロキシ認証と許可
認証されていないユーザーに認証を求め、両方の機能のネストされたルール セッ
トで、許可されているユーザー グループに含まれないユーザーをブロックします。
オープナーを有効にする
アーカイブなどの複数の部分から成るオブジェクトを開くモジュールを有効にし
ます。
ウイルス検出ログ
マルウェア対策モジュールによって検出されたウイルスの名前をログ記録します。
Gateway Antimalware
ウイルス シグネチャと積極的な方法を使用してウイルスとマルウェアのフィルタ
リングを制御します。
グローバル ブロック
リクエストされた URL または IP アドレスがブラックリストにある場合にリクエ
ストをブロックします。
McAfee Web Gateway 7.2
製品ガイド
ルール
ルール セット ライブラリ
4
表 4-4 ライブラリ ルール セット (続き)
ルール セット
説明
グローバル ホワイトリスト
ホワイトリストされた URL または IP アドレスのリクエストに対してフィルタリ
ングを省くことを許可します。
特別なサイトの処理
特別にホワイトリストされた Web サーバーとの通信を処理し、一部の通信に関す
る問題のためにソリューションを提供します。
更新インシデントの処理
更新に関するインシデントをログ記録し、さまざまな種類の通知を送信します。
HTML フィルタリング
HTML ページをフィルタリングして、そのネストされたルール セットを使用する
ことで、Java のスクリプトと他のもののような埋め込みオブジェクトを削除しま
す。
ICAP クライアント
アプライアンスと ICAP サーバーの間のトラフィック フローを制御します。
IM 認証
インスタント メッセージング プロトコルを使用するアプライアンスと通信するユ
ーザーの認証を制御します。
IM ログ記録
アプライアンスがインスタント メッセージング プロトコルで受信したリクエスト
を記録します。
ログ ファイル マネージャーのイ ログ ファイル マネージャーに関するインシデントをログ記録し、さまざまな種類
ンシデント
の通知を送信します。
長期接続
長期接続をアライブの状態のままにすることを可能にします。
プロキシ許可の基本ヘッダーか プロキシ許可のヘッダーに基づいた参照で、ユーザーを認証するための情報を取
らユーザー名を参照する
得します。
メディア タイプ フィルタリング メディア タイプのアップロードおよびダウンロードのために、ネストされたルー
ル セットでメディア タイプ フィルタリングを制御します。
モニタリング
CPU の過負荷、キャッシュ パーティション、およびリクエストの過負荷を確認し
ます。
ネクスト ホップ プロキシ
内部リクエストでは、内部ホストがネクスト ホップ プロキシ サーバーとして使
用されるようにします。
進行状況の表示
進行状況ページとデータ トリックルの表示を、ユーザーにダウンロードの進行状
況を示す手段として、有効にします。
ヘッダーの削除
「VIA」情報をリクエストヘッダーから削除します。
スクリプト フィルター
Web ページに対して埋め込みスクリプト コードのフィルタリングをして、それを
削除します。
SiteAdvisor Enterprise イ
ンターロック
SiteAdvisor Enterprise を強制的に解除モードにするリクエストをブロックしま
す。
SSL スキャナー
証明書検証および検査を有効にするためのネストされたルール セットを有する他
のフィルタリング機能で、SSL セキュアードの Web トラフィックを処理するた
めに準備します。
時間のクォータ
1 日、1 週間、または他の時間単位につきに構成された期間のみ、ユーザーの
Web の使用を許可します。
Try-Auth
認証されていないユーザーに認証を求め、両方の機能のネストされたルール セッ
トで、許可されているユーザー グループに含まれないユーザーをブロックします。
URL フィルタリング
個々の URL とURL カテゴリーのフィルタリングを制御します。
ボリュームのクォータ
1 日、1 週間、または他の時間単位ごとに構成されたバイトの量を超えていない
場合にのみ、ユーザーに Web の使用を許可します。
Web キャッシュ
キャッシュからの読み込み、およびキャッシュに書き込むためのネストされたル
ールのある Web オブジェクトのキャッシングを制御します。
ようこそページ
ユーザーに対するようこそページの表示を制御します
McAfee Web Gateway 7.2
製品ガイド
59
4
ルール
ルール セット タブ
ルール セット タブ
[リスト セット]タブでは、ルールとルール セットを操作できます。
［ルール セット］タブの主要要素
以下の表で、[ルール セット]タブの主要な要素について説明します。
表 4-5 ［ルール セット］タブの主要要素
要素
説明
[ルール セット ツールバ
ー]
ルール セット ツリーのルールセットを操作するための項目
[ルール セット ツリー ]
アプライアンス構成のルール セットを表示するツリー構造
[ルール セット メニュー ] 以下のツリー構造を表示するボタン:
•（一般的な）ルール セット
• ログ ハンドラー ルール セット
• エラー ハンドラー ルール セット
• ユーザー定義のプロパティ（ルール セットの条件、ルール条件、およびルール イベ
ントでの使用のため）
[ルール ツールバー ]
ルールの操作をする項目
[ルール]
現在選択されているルール セットのルール
ルール セット ツールバー
ルール セット ツールバーでは、次のオプションが提供されています。
60
McAfee Web Gateway 7.2
製品ガイド
ルール
ルール セット タブ
4
表 4-6 ルール セット ツールバー
オプション
定義
[追加 ]
ルール セット メニューで現在選択されているものによって、項目を追加するためのメニューまた
はウィンドウを開きます。
• （
( [ルール セット]が選択されている）- メニューを開き、以下の項目を選択できます。
• [ライブラリからのルール セット] — ルール セット ライブラリからのルール セットをインポ
ートするための[ルール セット ライブラリから追加]ウィンドウを開きます
• [ルール セット] — アプライアンス設定にルール セットを追加できる[新規ルール セットの追
加]ウィンドウが開きます。
• [最上位レベル ルール セット] — ルール セット ツリーの最上位レベルにルール セットを追加
するための[最上位レベル ルール セットの追加]ウィンドウを開きます
• （
( [ログ ハンドラー]が選択されている場合）— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニュ
ーから[ログ ハンドラー]を選択できます。
• （
( [ログ ハンドラー]が選択されている場合）— 新しいログ ハンドラー ルール セットを追加す
る[新規ログ ハンドラーの追加]ウィンドウを開くためのアクセス可能な唯一の項目としてメニュ
ーから[ログ ハンドラー]を選択できます。
• （
( [ユーザー定義プロパティ]が選択されている場合）— プロパティを追加する[新規ユーザー定
義プロパティの追加]ウィンドウを開くための[ユーザー定義プロパティ]を選択できます。
[エクスポート] ルール セットをライブラリまたはファイルにエクスポートするための[ルール セットのエクスポー
ト]ウィンドウが開きます。
[編集]
選択したルール セットを編集するための[ルール セットの編集]ウィンドウが開きます。
[削除]
選択したルール セットを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
ルール セットを、同じレベルの他のルール セットの上に移動します。
[下へ]
ルール セットを、同じレベルの他のルール セットの下に移動します。
[外に移動]
ルールをそのネストしているルール セットから、ネストしているルール セットと同じレベルに移
動します。
[中に移動]
ルール セットをそのネストしているルール セットから、このルール セットに続くルール セットに
移動します。
[すべて展開]
ルール セット ツリーで折りたたまれているすべての項目を展開します
[すべて折りた ルール セット ツリーで展開されているすべての項目を折りたたみます
たむ]
ルール ツールバー
ルール ツールバーでは、次のオプションが提供されています。
表 4-7 ルール ツールバー
オプション
定義
[追加 ]
ルールを追加するための[ルールの追加]ウィンドウが表示されます。
[編集]
選択したルールを編集するための[ルールの編集]ウィンドウが開きます。
[削除]
選択したルールを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
McAfee Web Gateway 7.2
ルール セット内でルールを上の位置に移動します。
製品ガイド
61
4
ルール
ルールの作成
表 4-7 ルール ツールバー (続き)
オプション
定義
[下へ]
ルール セット内でルールを下の位置に移動します。
[コピー]
選択したルールをコピーします。
[貼り付け]
コピーしたルールを貼り付けます。
[詳細情報の表示]
条件を含むルール エントリーの詳細を表示または非表示にします。
ルールの作成
ルールの作成は、ルールの異なる要素に関連するいくつかのアクティビティを含みます。
[ルールの追加]ウィンドウが、ルールの作成のため提供されます。適切な順番でルール要素を構成するアクティビテ
ィを完了できます。
たとえば、ルールの名前付けと有効化を開始し、条件、アクション、イベントを追加できます。
タスク
•
62 ページの「ルールに名前を付けて有効にする 」
ルールに名前を設定し、一般設定として有効にします。
•
65 ページの「ルール条件の追加 」
ルール条件を追加して、ルールを適用する場合について決定します。
•
66 ページの「ルール アクションを追加 」
ルール条件に一致する場合、実行するアクションを追加します。
•
67 ページの「ルール イベントを追加する 」
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
関連トピック:
63 ページの「［条件の追加］ウィンドウの操作 」
ルールに名前を付けて有効にする
ルールに名前を設定し、一般設定として有効にします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールのためにルール セットを選択します。
3
設定パネルの上の[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
ルール セットの以下の一般的な設定を構成します。
a
[名前]フィールドで、ルールの名前を入力します。
b
[ルールを有効にする]を選択して、ルール セットが処理されたときにルールが処理されるようにします。
c ［オプション］[コメント]フィールドで、ルールの平文コメントを入力します。
引き続き、ルールの要素を追加します。
62
McAfee Web Gateway 7.2
製品ガイド
ルール
ルールの作成
4
［条件の追加］ウィンドウの操作
ルール条件を追加するためのウィンドウには、適切な条件要素の選択で役立ついくつかの機能があります。
ルール条件の 3 つの要素に従って、ウィンドウは以下のコラムに分割されます。
•
プロパティの選択のための左側の列
•
演算子の選択のための中央の列
•
演算対象の選択のための右側の列
1 つの列の中で、プロぱqティ、演算子、演算対象がリストに表示されます。
たとえば、次のような操作を選択できます。
•
左側の列:MediaType.EnsuredTypes
•
中央の列:リストにはない
•
右側の列:マルウェア対策メディア タイプ ホワイトリスト
これは、条件 MediaType.EnsuredTypes none in list Anti-Malware Media Type Whitelist を作成しま
す。アクションとしてブロックを追加する場合、指定されたホワイトリストに入力されていないすべてのタイプのメ
ディアへのアクセスをブロックするためのルールを取得します。
適切な選択を行うために、ウィンドウでは次のことが行われます。
•
指定したフィルター設定に従ってリストをフィルタリングする
•
1 つの列で項目を選択するときに他の列のリストを採用して、選択した項目で構成される適した項目のみを表示
する
•
左と右の列のリスト項目を、現在表示されている項目に対して分類が可能な場合は、[推奨]、[候補]、[その他]の
カテゴリーにグループ化する
•
互いに組み合わせることが推奨できる場合は、2 項目または 3 項目を事前に選択する
左または右の列から開始する
追加する条件がすでに決まっている場合はその条件に応じて、左または右の列から項目の選択を開始できます。
たとえば、条件が感染された Web オブジェクトをフィルタリングするためのルールの一部である場合、左の列から
プロパティ Antimalware.Infected を選択することから始め、次に適した項目がなんであるかを見ます。結果は、
以下のようになります。Antimalware.Infected (property) equals (operator) true (operand).
一方で、ネットワークのユーザーが薬を販売する Web サイトにアクセスできないようにするルールの条件を含みた
い場合、まず URL カテゴリー リスト Drugs を演算対象として選択することから開始し、適切な演算子とプロパテ
ィと組み合わせます。結果は、以下のようになります。URL.Categories (property) at least one in list
(operator) Drugs (operand).
左側の列
ウィンドウの左側の列のリストでは、プロパティを選択できます。現在選択されているプロパティは、[選択済みのプ
ロパティ] フィールドの一番上の列に表示されます。
McAfee Web Gateway 7.2
製品ガイド
63
4
ルール
ルールの作成
以下のようにリストを適応できます。
•
リストをフィルタリングします。
•
以下に従ってフィルタリングするために、[フィルター]メニューを使用します。
•
プロパティ タイプ
•
プロパティの値を配布するために呼び出されるモジュール（またはエンジン）
•
マルウェア対策条件、メディア タイプ条件など、条件グループ
メニューのこの部分は、ウィンドウが開く直前にも表示されます。条件グループを選択した後で、すべて
の列のリストが選択したグループの条件を設定するために適した項目のみを表示します。
•
•
•
ユーザー定義プロパティ (これらのプロパティを表示する)
メニューの下の入力フィールドに入力するフィルタリング用語を使用
[ユーザー定義プロパティの追加]ボタンとウィンドウを使用して、リストに自己構成プロパティを追加します。
このリストは右の列のリストから演算対象を選択するときに、自動的に適応されます。次に、この演算対象で構成さ
れているものに適したプロパティのみを表示します。
プロパティの選択後に、設定とパラメーターがある場合はそれらを構成できます。[設定]と[パラメーター]ボタンが
プロパティと共に表示され、それぞれの項目を構成するためのウィンドウを開きます。
中央の列
ウィンドウの中央の列のリストでは、演算対象を選択できます。現在選択されている演算子は、[選択済みの演算子]
フィールドの一番上の列に表示されます。
このリストは左または右の列のリストから項目を選択するときに、自動的に適応されます。次に、選択されている項
目と構成されているものに適した演算子のみが表示されます。
右側の列
ウィンドウの右側の列のリストでは、演算対象を選択できます。現在選択されている演算対象は、[比較対象] フィー
ルドの一番上の列に表示されます。
演算対象は種々のタイプの 1 つの項目、項目のリスト、別のプロパティであることがあります。単一の演算対象に
は、ブール値、文字列、数値、カテゴリー、および他が含まれます。
以下のようにリストを適応できます。
•
列の一番上のリストから、(リストとプロパティ タイプを含む) 演算対象のタイプを選択します。
このタイプの項目は、メイン リストに表示されます。
•
(リストとプロパティのみ:)[フィルターー]ドロップダウン メニューまたは下の入力フィールドを使用して、リス
トをフィルタリングします。
リストが演算対象として表示される場合、[追加 <リスト タイプ>] および [編集 <リスト タイプ>] ボタンが列の
一番下に表示されます。通常の方法で、リストの追加および編集のウィンドウを開きます。
このリストは左の列のリストからプロパティを選択するときに、自動的に適応されます。次に、このプロパティで構
成されているものに適した演算対象のみを表示します。
64
McAfee Web Gateway 7.2
製品ガイド
ルール
ルールの作成
4
ルール条件の追加
ルール条件を追加して、ルールを適用する場合について決定します。
タスク
1
[ルールの追加]ウィンドウで、[ルール条件]をクリックします。
2
[このルールを適用する ]セクションで、ルールが適用される場合を選択します。
•
[常に] — ルールは常に適用されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
•
[次の条件に一致した場合] — 構成された条件に一致したら、ルールが適用されます。
次の手順に続きます。
3
[条件]セクションで、[追加]をクリックし、ドロップダウン メニューから条件グループを選択します。
[条件の追加]ウィンドウが開き、選択されたグループから構成する条件に適合する項目を表示します。
すべての条件の項目を表示するには、[詳細条件]を選択します。
ウィンドウには 3 つの列があります。
•
プロパティの選択のための左側の列
•
演算子の選択のための中央の列
•
演算対象の選択のための右側の列
現在選択されている要素は、[選択したプロパティ]、[選択した演算子]、[比較]の下の各列上部に表示されます。
ウィンドウは、1 つの列の項目を選択した後、その他の列で自動的に採用して、適合する要素の選択をサポート
します。それから、その他の列は選択された項目を構成するのに適合する項目のみを表示します。
左または右列から項目を選択して開始できます。したがって、手順 4 ～ 6 も異なる順番で完了できます。
条件が演算子としてリストを使用する場合、右列からこのリストを選択して開始することを推奨します。
4
プロパティを選択します。
a
左列のリストから、項目を選択するか、事前選択された 1 つを残します（残っている場合）。
リストをフィルターするか、ユーザー設定プロパティを追加できます。
b ［条件付き］設定が必要なプロパティを選択した場合、プロパティとともに表示されるか、事前に設定された
設定を残した[設定]ドロップダウン メニューから設定を選択します。
c ［条件付き］パラメーターの設定が必要なイベントを選択した場合、プロパティ名の下の[パラメーター]をク
リックし、開いたウィンドウのオプションで、すべての必要なパラメーターの値を設定します。
5
中央列のリストから、オペレーターを選択するか、事前選択された 1 つを残します（残っている場合）。
McAfee Web Gateway 7.2
製品ガイド
65
4
ルール
ルールの作成
6
右列のリストから、演算子を選択するか、事前選択された 1 つを残します（残っている場合）。リストが空の場
合、例えば数字など、適合する値を入力します。
表示されている演算子のタイプを変更するには、列の上部にあるリストからタイプを選択します。
各演算子または演算子のタイプを選択した後、中央列および左列のリストが適用され、適合するオペレーターお
よびプロパティを表示します。
7
[条件の追加]ウィンドウを閉じるには、[OK]をクリックします。
新しい条件を[ルールの追加]ウィンドウに表示します。
複雑な条件を構成する場合、手順 3 から 6 を繰り返し、更なる条件の部分を構成します。
オプションとして提供される[AND]または[OR]で条件の部分を接続します。3 つ以上の条件の部分は、括弧を入
力し、[条件の組み合わせ]フィールドで物理的に接続する方法を示してから表示されます。
たとえばルール アクションなど、その他の要素を追加して続行します。
関連トピック:
63 ページの「［条件の追加］ウィンドウの操作 」
ルール アクションを追加
ルール条件に一致する場合、実行するアクションを追加します。
タスク
1
In the[ルールの追加]ウィンドウで、[アクション]をクリックします。
2
[アクション] リストから、次のいずれかを選択します。
•
[続行]— 次のルールの処理で続行します
•
[ブロック] — オブジェクトへのアクセスをブロックしてルールの処理を停止します
•
[リダイレクト] — オブジェクトから他のオブジェクトにアクセスをリクエストしたクライアントをリダイレ
クトします
•
[認証] — 現在のサイクルの処理を停止し、認証リクエストを送信します
•
[ルール セットの停止] — 現在のルール セットの処理を停止し、次のルール セットで続行します
•
[サイクルの停止] — 現在のサイクルの処理を停止しますが、リクエストされたオブジェクトへのアクセスは
ブロックしません
•
[削除] — リクエストされたオブジェクトを削除し、現在のサイクルの処理を停止します
3 ［条件付き］設定（ブロック、リダイレクト、認証）が必要なイベントを選択した場合、[設定]リストから設定を
選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
4
すべての必要なルール要素を作成したが、イベントを追加しない場合は、以下の手順に従ってください。
a ［オプション］[サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
66
McAfee Web Gateway 7.2
製品ガイド
ルール
ルール セットの作成
4
ルール イベントを追加する
ルール条件に一致する場合、オプションで、実行する 1 つ以上のイベントを追加します。
タスク
1
[ルールの追加]ウィンドウで、[イベント]をクリックします。
2
[イベント]セクションで、[追加]をクリックし、ドロップダウン メニューから[イベント]を選択します。
[イベントの追加]ウィンドウが開きます。
3
[イベント] リストから、イベントを選択します。
リストをフィルターするには、リストの上の入力フィールドで用語のフィルタリングを入力します。
4 ［条件付き］設定が必要なイベントを選択した場合、[設定]リストから設定を選択します。
設定を選択する前に[追加]または[編集]をクリックして、新しい設定を追加する、または既存の設定を編集するた
めにウィンドウを開きます。
5 ［条件付き］パラメーターの設定が必要なイベントを選択した場合、[パラメーター]をクリックし、開いたウィン
ドウのオプションで、すべての必要なパラメーターの値を設定します。
6
[OK]をクリックします。
[イベントの追加]ウィンドウが閉じて、新しいイベントが[イベント] リストに表示されます。
7
手順の追加でこれが最後の場合、以下の手順に従います。
a ［オプション］[サマリ]をクリックし構成を確認します。
b
[完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、選択したルール セットに新しいルールが表示されます。
ルール セットの作成
ルール セットを作成し、構成に追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
ルール セット ツリーの上の[追加]をクリックします。
ドロップダウン メニューが開きます。
4
[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
5
ルール セットに対して以下の全般設定を構成します。
•
[名前] — ルールの名前
•
[有効化] － オンにすると、ルール セットが有効になります。
•
[オプション][コメント] — ルール セットに関するテキスト形式のコメント。
McAfee Web Gateway 7.2
製品ガイド
67
4
ルール
ルール セットの作成
6
7
8
[適用先]セクションで、処理サイクルを構成します。1 つだけのサイクル、または以下にある 3 つのサイクルの
あらゆる組み合わせを選択できます。
•
[リクエスト ]— ネットワークのユーザーからのリクエストがアプライアンスに受信される際に、ルール セッ
トが処理されます。
•
[応答] — Web サーバーからの応答が受信される際にルール セットが処理されます。
•
[埋め込みオブジェクト] — リクエストと応答とともに送信される埋め込みオブジェクトのためにルール セッ
トが処理されます。
[このルール セットを適用する]セクションで、ルールが適用される場合を構成します。
•
[常に] — ルールは常に適用されます。
•
[次の条件に一致した場合] — 下で構成された条件に一致したら、ルール セットが適用されます。
[条件]セクションで、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
9
[プロパティ ]領域では、以下の項目を使用してプロパティを構成します。
•
[プロパティ ]— プロパティを選択するためのリスト（プロパティ タイプは括弧で表示されています）
•
[検索 ]— プロパティを検索できる[プロパティの検索]ウィンドウが開きます。
•
[パラメーター ]— 3 つまでのパラメーターを追加できる[プロパティ パラメーター]ウィンドウが開きます。
ステップ 10 を参照してください。
パラメーターがない場合、アイコンはグレーアウトされます。
•
[設定 ]— プロパティの値を配信するモジュールの設定を選択するリスト
（モジュール名は括弧内に表示されま
す）
プロパティに設定が必要なくて、（必要なし）が追加されている場合、アイコンはグレーアウトされます。
•
[値]（文字列、ブール、または数値）— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[編集 ]— 選択した設定を編集するための[設定の編集]ウィンドウが開きます。
プロパティのためにパラメーターを構成する必要がない場合、[OK ]をクリックし、 ステップ 11 に進みます。
10 プロパティ パラメーターを追加する必要がある場合、以下を実行します。
a
[パラメーター]をクリックします。
[プロパティ パラメーター]ウィンドウが開きます。
b
必要に応じていくらでもパラメーターを追加します。
パラメーターは以下のいずれかになります。
•
[値]（文字列、ブール、または数値）— これは[値]領域で構成します。次に、[OK]をクリックします。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
11 [演算子]リストから、演算子を選択します。
12 [パラメーター]領域で、パラメーターを追加します（演算対象としても知られています）。
これは、以下のいずれかになります。
68
•
[値]（文字列、ブール、または数値）— これは[値]領域で構成します。
•
[プロパティ] — ステップ 4 から開始し、プロパティを編集するための手順に従ってください。
McAfee Web Gateway 7.2
製品ガイド
ルール
ルール セットのインポート
4
13 [条件の追加]ウィンドウを閉じるには、[OK]をクリックします。
14 ［オプション］[権限]タブをクリックして、新しいルール セットへのアクセスが許可されるユーザーを構成しま
す。
15 [新しいルール セットの追加]ウィンドウを閉じるには、[OK]をクリックします。
[新しいルール セットの追加]ウィンドウが閉じ、ルール セットがルール セット システムに挿入されます。
16 [変更の保存]をクリックします。
ルール セットのインポート
ライブラリからルール セットをルール セット システムにインポートできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルール セットを挿入する位置に移動します。
3
[追加]ドロップダウン メニューから、[ライブラリからのルール セット]を選択します。
ライブラリ ルール セットのリストがあるウィンドウが開きます。
4
インポートするルール セット、たとえば、[Gateway Antimalware ]ルール セットを選択します。
このルール セットをインポートする際に競合が発生した場合、それらはウィンドウに表示されます。
ルール セットがすでにルール セット システムに存在しているリストや設定など構成オブジェクトを使用するとき
に競合が発生します。
5
以下の方法を 1 つ使用することで競合を解決します。
•
•
6
[競合の自動解決]をクリックし、すべての競合に対する方針を以下から 1 つ選択します。
•
[既存のオブジェクトを参照することで解決する ]— インポートされたルール セットが、アプライアンス
の構成に同じ名前で存在しているオブジェクトを参照している場合、これらの既存のオブジェクトに参照
が適用されます。
•
[推奨にコピーと名前変更することで解決する ]— インポートされたルール セットが、アプライアンスの
構成に同じ名前で存在しているオブジェクトを参照している場合、これらのオブジェクトは使用されます
が、競合を回避するために名前変更されます。
リストされている競合を次々にクリックして、上記のいずれかの方針を毎回選択することで、個々に解決しま
す。
[OK]をクリックします。
ルール セットがルール セット ツリーに挿入されます。これはデフォルトで有効になります。
ルール セットがフィルタリング ジョブを実行する必要があるリストや設定がルール セットで実装され、リスト
と設定ツリーで表示できます。
7
必要である場合、ルール セット ツリーの上にある青色の矢印を使用して、ルール セットを移動させます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
69
4
ルール
構成項目へのアクセス制限
構成項目へのアクセス制限
ルール セットを作成、または設定、または既存のものを操作するときに、それらへのアクセスを制限できます。
タスク
1
[ポリシー] 、 [ルール セット]（または[リスト]または[設定]）を選択します。
2
ツリー構造で、新しい項目を追加する位置に移動します。
3
ツリー構造の上にある[追加]をクリックします。
[追加]ウィンドウが開きます。
4
新しい項目を追加するための手順を完了させます。次に、[アクセス許可]タブを選択します。
3 つのアクセスのモードが構成できます（読み込みと書き込み、読み込み、アクセスなし）。
5
[読み込みと書き込み]ペインで[追加] をクリックします。
[ロールまたはユーザーの追加]ウィンドウが開きます。
6
対応するペインにあるリストから、ロールまたはユーザーを（または各タイプの 2 つ以上を同時に）選択します。
または、[ワイルドカード]フィールドに、ロールまたはユーザーの名前としてワイルドカード式を入力します。
7
必要に応じて[読み込みと書き込み]リストにいくらでもエントリーを追加します。
エントリーを削除するには、ペインにある[削除]ボタンを使用します。
8
[読み込み]および[アクセスなし]ペインも同様に入力します。
9
タブのリストに含まれていないすべてのロールおよびユーザーのアクセスを構成するには、[他のすべてのロール
が有する]の下のラジオ ボタンを使用します。
10 [OK]をクリックしてウィンドウを閉じます。
11 [変更の保存]をクリックします。
70
McAfee Web Gateway 7.2
製品ガイド
5
リスト
リストはルールで使用されるか、Web オブジェクトおよびユーザーの情報を取得します。
いくつかタイプのリストがあり、それらは作成した人とそれらを含む要素のタイプに関して異なります。適宜、異な
る方法でこれらのリストを操作します。
ユーザー インターフェースで異なる場所にリストが表示されます。たとえば、ルールとルール セットの条件、リス
ト タブ、および設定内などです。
アプライアンスの初期セットアップ時に、リストはルール セット システムと共に施行されます。
施行されたシステムのリストを見直し、それらを変更および削除し、固有のリストも作成できます。
目次
リスト タイプ
リスト タブ
リストへのアクセス
リストの作成
さまざまなタイプのリストの操作
外部リスト
購読リスト
共通カタログ
リスト タイプ
Web セキュリティ ルールでは、いくつかのタイプのリストを使用して、Web オブジェクトおよびユーザーの情報を
取得します。
アプライアンスでは以下のリストのタイプが存在します。
•
カスタム リスト — これらのリストは変更可能です。これらは[リスト]タブのリスト ツリーにある上のブランチ
に表示されます。
カスタム リストには、文字列、数値、カテゴリー、および他のリストのタイプが含まれます。異なるリスト タイ
プでは、異なる維持する方法が必要な場合があります。
•
システム リスト — これらのリストは変更できません。これらは[リスト]タブのリスト ツリーにある下のブラン
チに表示されます。
システム リストにはカテゴリーとメディア タイプ リストが含まれます。
•
インライン リスト — これらのリストは変更も可能ですが、[リスト]タブには表示されません。これらは、構成
項目の設定の一部、たとえば、ネットワーク プロトコルの設定の一部として、「インライン」で表示されます。
McAfee Web Gateway 7.2
製品ガイド
71
5
リスト
リスト タブ
リスト タブ
[リスト]タブでは、リストを操作できます。
リスト タブの主要要素
以下の表で、[リスト]タブの主要な要素について説明します。
表 5-1 リスト タブの主要要素
要素
説明
[リスト ツールバー]
［リスト］ツリーにあるリストを操作するための項目
[リスト ツリー]
アプライアンス構成のリストを表示するツリー構造
[リスト エントリー ツールバー ]
現在［設定］ツリーで選択されている項目の設定
[リスト エントリー ]
現在選択されているリストのエントリー
リスト ツールバー
リスト ツールバーでは、次のオプションが提供されています。
表 5-2 リスト ツールバー
72
オプション
定義
[追加 ]
リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
選択したリストを編集するための[リストの編集]ウィンドウが開きます。
McAfee Web Gateway 7.2
製品ガイド
リスト
リストへのアクセス
5
表 5-2 リスト ツールバー (続き)
オプション
定義
[削除]
選択したリストを削除します。
削除を確認するためのウィンドウが開きます
[表示]
さまざまな方法でリストを表示できるようにするためにメニューを開きます
（名前昇順、名前降
順、リスト タイプ別、現在リストが存在しない場合に対してリスト タイプありなし）
[すべて展開]
リスト ツリーで隠されている項目をすべて表示します。
[すべて折りたた
む]
リスト ツリーで表示されているすべての項目を隠します。
リスト エントリー ツールバー
リスト エントリー ツールバーでは、次のオプションが提供されています。
表 5-3 リスト エントリー ツールバー
オプション
定義
[追加 ]
リスト エントリーを追加するための[<リスト タイプ> の追加]ウィンドウ
（[文字列の追加]ウィンド
ウなど）が表示されます。
[複数追加]
複数のリスト エントリーを追加することが特定のリスト タイプで可能である場合、それを実行する
ために、[<リスト タイプ> の追加]ウィンドウを開きます。
[編集]
選択したリスト エントリーを編集するための[<リスト タイプ> の編集]ウィンドウ
（[文字列の編集]
ウィンドウなど）が表示されます。
[削除]
選択したリスト エントリーを削除します。
削除を確認するためのウィンドウが開きます。
[上へ]
リストの上にエントリーを移動します。
[下へ]
リストの下にエントリーを移動します。
[フィルター] 一致しあｔリスト エントリーのみ表示するために、フィルタリング用語を入力するための入力フィ
ールド
フィルタリング機能は、フィールドに文字を入力したらすぐ動作します。
リストへのアクセス
[リスト] タブのリストにアクセスするか、ルールのリスト名をクリックできます。
タスク
•
74 ページの「リスト タブのリストにアクセスする 」
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
•
74 ページの「ルールのリストにアクセスする 」
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックしま
す。
McAfee Web Gateway 7.2
製品ガイド
73
5
リスト
リストの作成
リスト タブのリストにアクセスする
[リスト] タブのリストにアクセスするには、リスト ツリーに置き、リストを選択します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、アクセスするリストを含むブランチに移動し、リスト名をクリックします。
設定パネルにリストのエントリが表示されます。
リストで作業できます。
ルールのリストにアクセスする
ルールのリストにアクセスするには、ルールを[ルール セット]タブに置き、リスト名をクリックします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスするリストのルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
アクセスするリストのルールで、次のうちの 1 つを行います。
•
この名前に含まれている場合、ルール名のリスト名をクリックする。
•
ルール条件のリスト名をクリックする。
<Type>がアクセスするリストのタイプの場合、[編集リスト <Type>]ウィンドウを開きます。
リストで作業できます。
リストの作成
初期設定のアプライアンスで実行したもの、またはライブラリからリストをインポートした場合に加えて、独自のリ
ストを作成できます
以下の 2 つのステップを含むリストを作成します。
•
新しいリストの追加
•
新しいリストにエントリを記入する
タスク
74
•
75 ページの「新しいリストの追加 」
後でエントリを入力する新しいリストを追加できます。
•
75 ページの「リストのエントリーの入力 」
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
McAfee Web Gateway 7.2
製品ガイド
リスト
リストの作成
5
新しいリストの追加
後でエントリを入力する新しいリストを追加できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、リストを追加する位置に移動します。
3
ツールバーで、[追加]をクリックします。
[リストの追加]タブが選択されている状態で、[リストの追加]ウィンドウが開きます。
4
リストの一般的な設定を構成するには、以下の項目を使用します。
•
[名前] — リストの名前
•
[コメント] —［オプション］リストの標準テキスト形式のコメント
•
[タイプ] — リスト タイプを選択するためのリスト
5 ［オプション］[権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストがリスト ツリーに表示されます。
7
[変更の保存]をクリックします。
これで、リストにエントリを入力できます。
リストのエントリーの入力
アプライアンスで新しいリストを追加したとき、エントリーを入力する必要があります。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2 ［リスト］ツリーから、エントリーを追加するリストを選択します。
3
設定パネルで[追加]をクリックします。
[<リスト タイプ> の追加]ウィンドウ、たとえば、[文字列の追加]ウィンドウが開きます。
4
特定のリスト タイプで実行される方法で、エントリーを追加します。
5 ［オプション］ [コメント]フィールドで、リスト エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[<リスト タイプ> の追加]ウィンドウが閉じて、リストにエントリーが追加されます。
7
[変更の保存]をクリックします。
関連トピック:
76 ページの「さまざまなタイプのリストの操作 」
McAfee Web Gateway 7.2
製品ガイド
75
5
リスト
さまざまなタイプのリストの操作
さまざまなタイプのリストの操作
リストの操作はリスト タイプに応じてさまざまな方法で行われます。
たとえば、タイプが文字列で有る場合、[文字列の追加]ウィンドウの[文字列]フィールドに文字列を入力することで
エントリーを追加できます。しかし、タイプが MediaType である場合は、フォルダーのシステムの一部である、
メディア タイプ フォルダーからエントリーを選択します。
文字列およびワイルドカード式のリストでは、
［複数追加］をクリックして、各エントリーを改行にテキストを入力す
ることで、複数のエントリーを一度に追加するオプションがあります。
メディア タイプ リストの場合、個別に選択したくない場合は、複数のエントリーとフォルダーーを一度に選択する
ことができます。
タスク
•
76 ページの「ワイルドカード式を URL のグローバル ホワイトリストに追加 」
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
•
77 ページの「URL カテゴリをブロック リストに追加する 」
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスを
ブロックします。
•
77 ページの「メディア タイプ フィルター リストにメディア タイプを追加する 」
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
ワイルドカード式を URL のグローバル ホワイトリストに追加
グローバル ホワイトリスト登録ルールを使用して、ワイルカード式をホワイトリストに追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、グローバル ホワイトリスト登録のルールを含むルール セット（たとえば、[グローバル
ホワイトリスト]など）を選択します。
設定パネルにルールが表示されます。
3
リストのワイルドカード式に一致するホストに URL を送信する際のリクエストを除外するホワイトリストを使用
するルール（たとえば、[URL.Host がグローバル ホワイトリストに一致する]など）を見つけます。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集（ワイルドカード式）]ウィンドウが開きます。
4
[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
5
[ワイルドカード式]フィールドにワイルドカード式を入力します。
複数のワイルドカード式を一度に追加するには、[複数追加]をクリックし、それぞれのワイルドカード式を新し
い行に入力します。
6 ［オプション］[コメント] フィールドで、ワイルドカード式にコメントを入力します。
7
[OK]をクリックします。
ウィンドウが閉じ、ホワイトリストにワイルドカード式が表示されます。
8
76
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
リスト
さまざまなタイプのリストの操作
5
URL カテゴリをブロック リストに追加する
URL カテゴリをブロック リストに追加して、そのカテゴリに分類されるすべての URL へのアクセスをブロックしま
す。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリング用のルールを含むルール セットを選択します。
設定パネルにルールが表示されます。
3
カテゴリ ブラックリストを使用するルールを見つけ（[カテゴリ ブラックリストに存在するカテゴリを持つ URL
をブロックする] など）、リスト名をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集（カテゴリ）]ウィンドウが開きます。
4
ブロックしたいカテゴリを持つグループ フォルダー
（たとえば[購買]など）を展開し、カテゴリ
（たとえば[オンラ
イン ショッピング]など）を選択します。
複数のカテゴリを一度に追加するには、複数のカテゴリか、1 つまたは複数のグループ フォルダーを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、ブロック リストにカテゴリが表示されます。
6
[変更の保存]をクリックします。
メディア タイプ フィルター リストにメディア タイプを追加する
メディア タイプ フィルタリングのリストにメディア タイプを追加できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、メディア フィルタリングのルールを含むルール セット
（たとえば、メディア タイプ フ
ィルタリング ルール セットのネストされた[ダウンロード メディア タイプ] ルール セットなど）に移動し、そ
れを選択します。
設定パネルにルールが表示されます。
3
[メディア タイプ ブロック リストからタイプをブロックする] ルールを選択して、リスト名をクリックします。
[リストの編集（メディア タイプ）]ウィンドウが開きます。
4
[編集]をクリックします。
[編集]ウィンドウが開きます。メディア タイプを持つグループ フォルダーのリストが表示されます。
5
追加したいメディア タイプを持つグループ フォルダー
（たとえば、[オーディオ]）、メディア タイプ
（例、[audio/
mp4]など）を展開しを選択します。
複数のメディア タイプを一度に追加するには、複数のメディア タイプか、1 つまたは複数のグループ フォルダ
ーを選択します。
McAfee Web Gateway 7.2
製品ガイド
77
5
リスト
外部リスト
6
[OK]をクリックします。
ウィンドウが閉じると、フィルター リストにメデイア タイプが表示されます。
7
[変更の保存]をクリックします。
外部リスト
データは、Web サーバーなどの外部ソースから取得でき、アプライアンスのルールで使用されます。
このデータは完全なリストまたは単独の値のいずれでもかまいません。一般的には外部リストまたは外部リスト デー
タと呼ばれます。外部リストでは、文字列、数値、IP アドレス、その他、さまざまなデータ型を使用できます。
外部リストの重要な機能は、アプライアンスでダイナミックに処理されることです。外部リスト データのすべての取
得および変換は、データが初めてルールで使用されるときにランタイムで行われます。
データが取得されると、構成できる期間、内部キャッシュに保存されますが、ディスクには保存されないため、アプ
ライアンスの再起動時には保持されません。また、外部リストはユーザー インターフェースのリスト ツリーには表
示されません。
外部リスト プロパティ
外部ソースから取得したデータへのアクセスは、特別なプロパティを通じて行われます。外部リスト プロパティの名
前は ExtLists.<タイプ> です。<タイプ> はプロパティの値であるリストの要素のタイプです。たとえば、
ExtLists.IntegerList の値は整数のリストです。候補のリストには、文字列、数値、ワイルドカード表現式、その
他を含む要素のタイプが含まれます。
通常、外部リストのプロパティの値がリストでありますが、1 つの値に対する外部リストのプロパティもあります。
外部ソースが後のタイプのプロパティに対する入力として複数の値を指定するとき、最後の値のみが取得され、保存
されます。
外部リスト データはソース タイプに応じてフィルターすることができ、指定されたルールで使用されるプロパティ
のタイプに応じて別の形式に変換されます。
外部リスト プロパティのパラメーターを設定することにより、ランタイムにプロパティのパラメーターと置換される
プレースホルダーを指定できます。これらのプレースホルダーを使用して、外部リストの内容をユーザー名またはユ
ーザー グループ名などの条件に依存させることができます。
ロギングの目的で、ExtLists.LastUsedListName プロパティを使用することができます。これは、最後に使用
された外部リスト モジュールの設定の名前を値として持ちます。
外部リスト モジュール
外部ソースから取得するデータを指定するためには、外部リスト モジュール
（外部リスト フィルターまたはエンジン
とも呼ばれます）の設定を行う必要があります。
外部データを正常に取得できない場合、外部リスト モジュールはエラー コードを返し、それはエラー ハンドラー ル
ールを使用して処理できます。別の範囲のエラー ID がこの目的で利用できます。
外部リスト モジュールは、外部ソースから取得するデータをキャッシングするために、メモリを消費します。外部リ
スト ハンドリングのルールを設定するときは、このことを考慮に入れる必要があります。
78
McAfee Web Gateway 7.2
製品ガイド
リスト
外部リスト
5
外部リスト データのソース
外部リストが記入するコンテンツのソースには、以下のようなものがあります。
•
Web サービス。これは HTTP、HTTPS、または FTP プロトコルの下でアクセスできます。
•
ローカル ファイル システム内のファイル
•
LDAP または LDAPS サーバー
•
データベース サーバー:
•
PostgreSQL
•
SQLite3
データベースでクエリを実行する場合は、SQL クエリ言語が使用されます。しかし、特定のクエリ形式は、両方のデ
ータベース タイプに対して異なる場合があります。
SQLite3 データベースは、ファイルベースで操作し、実稼働環境ではなく、テストにお勧めします。しかし、このタ
イプのデータベースのデータをすでにもっている場合は、それを引き続き使用したい場合があります。それ以外の場
合、外部リスト コンテンツを取得するためには、Web サービスまたはファイル データ ソースを使用することは簡
単です。
使用法（推奨）
外部リスト機能の操作は、以下のような場合にお勧めします。
ほとんどが外部ソースに保管された多数のリストを処理する必要があり、中央管理構成でノードとして複数のアプラ
イアンスを実行中で、リスト データに頻繁に変更を適用する必要がある場合。
すべてのノードのすべてのリスト データの同期は、スケール自在ではなくなります。
ルールでの外部リスト データの使用
外部リスト データを処理するためには、条件の中で適切な外部リスト プロパティを含むルールを構成する必要があ
ります。
URL が外部ソースに保管されるリストの IP アドレス範囲の 1 つの中にある宛先 IP をもつ場合、Web オブジェク
トのリクエストをブロックする場合を考えてみましょう。
以下のルールでこれを達成することができます。
禁止範囲の IP アドレスをもつ URL をブロックする
URL.Destination.IP is in range ExtLists.IPRangeList(“ ”, “ ”, “ ”)<External Lists> –>
Block<URL Blocked>
ルールが処理されると、URL.Destination.IP の値である IP アドレスが ExtLists.IPRangeList の値であるリ
ストの範囲の 1 つの中にあるかどうかをチェックされます。
外部リスト プロパティと共に、<External Lists> 設定が指定されます。これらは、外部リスト モジュールが外部
リスト プロパティの値として適切なデータを取得するために使用する設定です。
これらの設定を構成して、特定の外部リストを取得する場所や取得が実行sあれる方法についてモジュールに指示す
る必要があります。たとえば、リストが Web サーバーのテキスト ファイルに保管される場合、ファイルへのアクセ
スを許可する URL を指定できます。
これらの設定の一部として設定できるその他の情報には、タイムアウトとサイズ制限があります。
外部リスト プロパティのパラメーターはオプションです。これらはこの例では空です。
McAfee Web Gateway 7.2
製品ガイド
79
5
リスト
外部リスト
デフォルトで、アプライアンスでは外部リストの取り扱いのためのルールはありません。外部リスト データを使用し
てネットワークのユーザーの Web アクセスを制限したい場合は、上述のように 1 つ以上のルールをセットして、そ
れを適切なルール セットに挿入してください。
置換とプレースホルダー
外部リスト データの取得においてより柔軟性を得るために、URL など、外部リスト モジュールの設定を行うときに
プレースホルダーを使用できます。
プレースホルダーは、外部リスト プロパティのパラメーターとして指定する値でランタイムに置換されます。
たとえば、個人ユーザーに許可されるメディア タイプのリストを配布する Web サービスからデータを取得したいと
します。特定のメディア タイプのリストの URL は以下のとおりです。
http://my-web-service.com/ mediatypes?user= <value>
ここで、<value> はユーザーの名前です。
個々のユーザーをそれぞれカバーする外部リスト モジュールの個別設定を行うことは面倒ですから、以下のような方
法でプレースホルダーを使用できます。
•
設定の中の Web サービスの URL パラメーターの場合、以下のとおり指定します。
http://my-web-service.com/mediatypes?user=${0}
ここで、${0} はルールで使用している外部リスト プロパティの 3 つのパラメーターの最初のパラメーターに対
するプレースホルダーです。
•
外部リスト プロパティの最初のパラメーターの場合、Authentication.Username プロパティを指定します。
これは、個々のユーザーが使用できるメディア タイプのリストを取得します。ユーザー名は、特定のタイプのメディ
アにアクセスするためのリクエストを送信した後で、認証する必要があるときにこのユーザーが送信するものです。
以下の 2 つのタイプのプレースホルダーを使用することができます。
•
${<n>} — 変換値で置換されるプレースホルダー
<n> は、外部リスト プロパティのパラメーターの一番号
（0、1、2）です。ランタイムに、このプレースホルダ
ーはパラメーターの設定時に指定した値により置換されます。
プレースホルダーが置換される前に、値が変換されます。このプロセスは、「エスケープ」ともいいます。変換
は、含まれるデータ ソースの内部ルールに従って実行されます。
たとえば、ソースが Web サービスである場合、対応する HTTP 基準
（RFC 2616）の条件に従って、%XX シー
ケンスによって許可されないすべての文字を置換します。
•
$<<n>> — 変換されない値で置換されるプレースホルダー
上記のように、変換はありません。このことは、置換により望ましくない結果に至らないように、自分自身で確
認することが必要なことを意味します。
このタイプのプレースホルダーは それらの一部が置換されるのではなく、URL 全体が置換されるときに使用する
ことができます。
外部リスト モジュールの構成
外部リスト モジュールの設定を構成し、外部リスト データを取得する必要があるモジュールの情報を提供できます。
デフォルトでは、アプライアンスのこのモジュールに設定は存在しません。個別設定を追加し、ルール内からデータ
を取得する各外部リストへ構成する必要があります。
80
McAfee Web Gateway 7.2
製品ガイド
リスト
外部リスト
5
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[外部リスト]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
[名前]フィールドに、設定名を入力します。
4 ［オプション］[コメント]フィールドで、設定の平文コメントを入力します。
5 ［オプション］[権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
6
必要に応じて、その他設定パラメーターを構成します。
7
[OK]をクリックします。
ウィンドウが閉じ、設定が設定ツリーの[外部リスト]の下に表示されます。
8
[変更の保存]をクリックします。
関連トピック:
81 ページの「外部リスト モジュール設定 」
外部リスト モジュール設定
外部リスト モジュール設定は、外部ソースからデータを取得するモジュールを構成するために使用されます。
データ ソースの種類
データが取得されるソースの種類の設定
ここで選択する内容に応じて表示される別のセクションでそれぞれのソースの種類に対する特定の設定を構成できま
す。
表 5-4 データ ソースの種類
オプション
定義
[Web T[rX]
データは HTTP、HTTPS、または FTP プロトコルの下で Web サービスを使用して取得さ
れます。
[ディスクのファイル] データはローカル ファイル システム内のファイルから取得されます。
[LDAP]
データは LDAP サーバーから取得されます。
[データベース]
データは PostgreSQL または SQLite3 データベースから取得されます。
共通パラメーター
外部リンク処理のための時間制限の設定
McAfee Web Gateway 7.2
製品ガイド
81
5
リスト
外部リスト
表 5-5 共通パラメーター
オプション
定義
[操作のタイム 外部リスト処理が正常に完了しなかった場合に操作が中断されるまでの経過時間（秒数）。
アウト]
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。たとえば、
Web サーバーがアプライアンスからの要求に応答しないときなどに、タイムアウトに達します。
タイムアウトの有効期限は次のように指定できます。
• [単純な有効期限] — これを選択すると、取得したリスト データが内部キャッシュから削除され
るまでの時間（分）を［有効期限］入力フィールドで指定できます
• [スケジュール設定された有効期限] — これを選択すると、外部リストが内部キャッシュから削
除されるまでの時間（分）を表示される複数の入力フィールドで指定できます
[有効期限:]
取得したデータが内部キャッシュから削除されるまでの時間（分）
[分/時間/日/
月/曜日]
取得したデータが内部キャッシュから削除されるまでの時間
これらの入力フィールドはスケジュール設定された有効期限を選択したときに表示されます。
削除は cron ジョブにより計算され、実行されるため、入力は「cron」と互換性がなければなりま
せん。
詳細については、Linux (UNIX) オペレーティング システムのマニュアルの crontab (5) マン
ページを参考にしてください。
これらの値の 1 つまたは任意の数だけ組み合わせて値を指定できます。
データ変換設定
外部ソースから取得したデータを変換するための設定
これらの設定は、選択した[Web サービス]または[ディスクのファイル]をデータのソースとして選択しているときに
のみ使用できます。
表 5-6 データ変換設定
オプション
定義
[データ タイ
プ]
変換されるデータの入力形式を選択するためのリスト
以下から 1 つを選択できます。
• [ プレーン テキスト] — 元のメッセージをテキスト形式で添付してください
各行は変換されたリストで個別のエントリーとして表示されます。
任意に、以下の入力フィールドのフィルタリング用語として正規表現を指定することができます。
この用語と一致する文字列のみ、リストに入力されます。
正規表現にグループ化演算子がない場合、完全な文字列がリストに保管されます。それ以外の場
合、最初のグループにより取得されたデータが保管されます。
• [XML] — 元のメッセージを XML 形式で添付してください
取得するデータを選択するためには、XPath 式を指定する必要があります。たとえば、XML タグ
や属性に従って、データを取得できました。
[正規表現]
変換されたデータのフィルタリングに使用される正規表現
[データの種類]の[プレーン テキスト]を選択している場合に、このオプションが表示されます。
[XPath 式]
変換されたデータのフィルタリングに使用される XPath 式
[データの種類]の[XML テキスト]を選択している場合に、このオプションが表示されます。
XPath 式の使用法に関して、w3schools サイトで提供されている XPath のチュートリアルなど、
適切な資料を参照してください。
82
McAfee Web Gateway 7.2
製品ガイド
5
リスト
外部リスト
Web サービス固有のパラメーター
このオプションは、外部リストのソースが Web サーバーであるときに適用されます。
これらの設定は Web サービスが[データ ソースの種類]セクションで選択されているときに表示されます。
表 5-7 Web サービス固有のパラメーター
オプション
定義
[Web サイトの URL]
外部リストを含む Web サーバーのファイルの URL は特定の Web サービス（HTTP、
HTTPS、またはFTP）により提供されます
URL 内部のプレースホルダーを指定できます。
[認証データの指定]
選択されると、データを Web サービスから取得する前に正常に実行するべき認証情報
を指定できます
[HTTP 認証の種類]
HTTP 認証の種類を選択するためのリスト
サポートされる種類は次のとおりです。なし、基本、ダイジェスト
[ユーザー名 ]
認証に対して提出されたユーザー名
[ユーザーのパスワード ] 認証に対して提出されたパスワード
[設定]をクリックすると、パスワードを設定するためのウィンドウを開きます。
[サーバーにアクセスする これを選択すると、Web サーバーへのアクセスは、ネクスト ホップ プロキシ サーバー
ためにネクスト ホップ プ を使用して行われます。
ロキシを使用]
このチェックボックスを選択した後で、以下の 3 つの項目がアクセス可能になります。
[ネクスト ホップ プロキ Web サーバーにアクセスするために、ネクスト ホップ プロキシとして使用できるサー
シ サーバー リストのリス バーのリストを選択するためのリスト
ト]
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
[証明機関のリスト]
Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリスト
を選択するためのリスト
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集す
るためのウィンドウを開きます
[追加 HTTP ヘッダーのリ アプライアンスで受け取った HTTP 要求に追加するヘッダーのリスト
スト]
次の表に[追加の HTTP ヘッダーのリスト]にあるエントリーを示します。
表 5-8 追加の HTTP ヘッダー - リスト エントリー
オプション
定義
[ヘッダー名]
HTTP 要求に追加するヘッダーの名前
[ヘッダー値]
HTTP 要求に追加するヘッダーの値
[コメント]
ヘッダーに関するテキスト形式のコメント
ファイル固有のパラメーター
外部リストのソースがローカル ファイルシステム内のファイルであるときに設定が適用されます。
これらの設定は[ディスクのファイル]が[データ ソースの種類]セクションで選択されているときに表示されます。
McAfee Web Gateway 7.2
製品ガイド
83
5
リスト
外部リスト
表 5-9 ファイル固有のパラメーター
オプション
定義
[ファイル名] 外部リストのソースであるローカル ファイル システムからのファイルの名前
URL 内部のプレースホルダーを指定できます。
ファイルの場所の候補を制限するために、外部リスト システム設定を設定するときに、ローカル フ
ァイル システムの一部を指定できます。
ファイルは、たとえば、opt/mwg/temp のように指定された部分の中になければなりません。
LDAP 固有のパラメーター
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
これらの設定は[LDAP]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 5-10 LDAP 固有のパラメーター
オプション
定義
[LDAP サーバー 外部リストのソースであるローカル ファイル システムからのファイルの名前
の URL]
URL 内部のプレースホルダーを指定できます。
ファイルの場所の候補を制限するために、外部リスト システム設定を設定するときに、ローカ
ル ファイル システムの一部を指定できます。
ファイルは、たとえば、opt/mwg/temp のように指定された部分の中になければなりません。
[証明機関のリス Web サービスの SSL セキュアのコミュニケーションで使用できる証明書期間のリストを選択す
ト]
るためのリスト
[追加]または[編集]をクリックして、新しいリストを追加するか、既存のリストを編集するため
のウィンドウを開きます
[ユーザー名]
LDAP サーバーに接続しようとするときにアプライアンスが送信するユーザー名
[LDAP パスワー LDAP サーバーに接続しようとするときにアプライアンスが送信するパスワード
ド]
指定した[設定/変更]切り替えボタンを使用して、パスワードを設定または変更できます。
[検索 DN]
外部リストについて検索される LDAP サーバーのデータベースのドメイン名
この名前の中でプレースホルダーを指定できます。
[検索範囲]
LDAP サーバーの外部リストの検索範囲を選択するためのリスト
• [サブツリー] — 検索される[検索 DN]の下で指定されたドメインの完全なサブツリー。
• [1 レベル] — 検索される[検索 DN]の下で指定されたドメインの下の 1 レベルのみ。
• [基本] — 検索される[検索 DN]の下で指定された基本のドメインのみ。
[検索フィルター LDAPの外部リストの検索結果をフィルタリングする用語
ー]
データベースのエントリーの名前がフィルタリング用語と一致している場合のみ、エントリーが
示す項目が取得されます。
この用語の中でプレースホルダーを指定できます。
[属性]
84
たとえば、電子メール アドレスなど、対象の検索結果である LDAP サーバーのデータベースの項
目の属性
McAfee Web Gateway 7.2
製品ガイド
リスト
外部リスト
5
表 5-10 LDAP 固有のパラメーター (続き)
オプション
定義
[LDAP バージョ これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
ン 3 を有効にす
このオプションを無効にする場合、LDAP サーバーで通信するために使用されるエンコーディン
る]
グを指定する必要があります。
[LDAP バージョン 3 を有効にする]の選択を解除すると、この情報に対して以下の入力フィール
ドが表示されます。
[LDAP ライブラ リストを取得するために、外部リストに検索が行われる LDAP サーバーの外部の場所への参照に
リに参照に従う 従うことができます。
ことを許可する]
データベース固有のパラメーター
外部リストのソースがデータベースであるときに適用される設定
これらの設定は[データベース]が[データ ソースの種類]セクションで選択されているときに表示されます。
表 5-11 データベース固有のパラメーター
オプション
定義
[SQL クエリ]
データベースで実行されるクエリのタイプを表す文字列
外部リスト情報の取得に使用されるクエリのデフォルトの種類は、SELECT です。
文字列の末尾にセミコロン（;）を追加することもできますが、必須ではありません。
クエリはまた、さまざまなデータを含むプレースホルダーを使用することもできます。
プレースホルダー $N が使用される場合、変数の値として入力されるデータは SQL の挿入を避
けるために「エスケープ」されます。次に、\ （バックスラッシュ）が \\（ダブル バックスラ
ッシュ）で置き換えられ、'（アポストロフィ）が \（バックスラッシュ）で置き換えられます。
SQL クエリは、複数の列を返すクエリを実行する場合、通常 1 データ列を返し、最初のものだ
けが外部リストのコンテンツに使用されます。
いくつかの列からコンテンツを取得するためには、適切な SQL 演算子を使用して、出力するた
めの列の組み合わせを指定する必要があります。
[データベースの
種類]
外部リストのコンテンツが取得されるデータベースの種類
以下の 2 種類が使用可能です。
• PostgreSQL
• SQLite3
データベースの種類を選択した後で、データベース固有のパラメーターがこのタイプに従って表
示されます。
表 5-12 PostgreSQL データベース固有のパラメーター
オプション
定義
[データベース ホスト]
データベースが常駐するサーバーのホスト名
[データベース ポート]
外部リストの内容を取得するためのクエリをリスンするデータベースのポート
のポート番号
デフォルトのポート番号は 5432 です。
[データベース サーバーのデータベ データベース サーバーの下でわかっているデータベースの名前を指定します
ース名]
McAfee Web Gateway 7.2
製品ガイド
85
5
リスト
外部リスト
表 5-12 PostgreSQL データベース固有のパラメーター (続き)
オプション
定義
[データベース ユーザー名]
データベース サーバーに接続するアプライアンスのユーザー名
[データベースのパスワード]
アプライアンスのユーザー名のパスワード
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
表 5-13 SQLite データベース固有のパラメーター
オプション
定義
[SQLite データベースへのファイル パス]
データベースを含むアプライアンスのファイルへの完全パス
詳細パラメーター
外部リンク処理のための詳細な方法の設定
表 5-14 詳細パラメーター
オプション
定義
[データ変換中に「不
正」エントリーをスキ
ップ]
選択すると、整数、倍精度、ブール値など、要求された種類に変換できないデータが省略
されます。
[取得するエントリーの 外部リストから取得するエントリーの最大数
最大数]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
[取得するエントリーの データの最大量（KB）:外部リストから取得する 0 から無限
最大サイズ]
設定できる値は 0 から無限です。
ここに制限を指定して、大きなリストの場合にはメモリの消費が大きくならないように制
限することをお勧めします。
このオプションは、外部リストのソースが LDAP サーバーであるときに適用されます。
外部リストの全般設定の構成
アプライアンスでの使用のため取得するすべての外部リストに適用する設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[外部リスト]をクリックします。
外部リストの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
87 ページの「外部リスト システム設定 」
86
McAfee Web Gateway 7.2
製品ガイド
リスト
外部リスト
5
外部リスト システム設定
外部リスト システム設定は、アプライアンスで処理するすべての外部リストに適用されます。
グローバル構成
外部リスト データを保管するアプライアンスの内部キャッシュの設定
表 5-15 グローバル構成
オプション
定義
[外部リスト キャッシュ 内部キャッシュに保管されているデータを削除します
のフラッシュ]
[失敗後の再試行までの 外部リスト モジュールが特定の外部ソースからのデータを取得することに失敗したことを
時間]
記憶している時間（秒）
このモジュールは、障害を記憶する限り、ソースに対する再試行を実行しません。
ネットワークの要件に従って、デフォルト値を維持するか、それを変更することをお勧め
します。
このようにして、すでに過負荷になっている Web サーバーに定期的に再試行することに
よって、負荷を追加しないで済みます。
ファイル データ ソースの構成
外部リスト データを取得できるローカル ファイル システムの設定
表 5-16 ファイル データ ソースの構成
オプション
定義
[ファイル データ アクセス ローカル ファイル システム内に外部リストを保管するためのフォルダーーを指定する
に許可されるファイル シス パス
テム]
データが取得される外部リストは、このフォルダーーに保管される必要があります。
それ以外の場合、データを取得しようとすると、アクセス拒否エラーとなります。
外部リスト データが SQLite データベースから取得されると、ここで指定されるパス
はデータベースを含むローカル ファイル システム内のフォルダーーへのパスです。
Web データ ソースの構成
外部リスト データのソースであるすべての Web サービスの設定
表 5-17 Web データ ソースの構成
オプション
定義
[SSL 証明書の ID のチ これを選択すると、SSL セキュア コミュニケーションで Web サーバーが送信する証明
ェック]
書が検証されます。
アプライアンスで実施される SSL スキャニング ルールに従って検証が実行されます。
たとえば、Web サーバーが自己署名証明書を使用する場合にはエラーになる場合があり
ます。
McAfee Web Gateway 7.2
製品ガイド
87
5
リスト
購読リスト
購読リスト
Web セキュリティ ルールで使用するリストは、適切なサーバーから取得されるコンテンツが給されている場合があ
ります。これらは、購読リストと呼ばれます。
行動リストを操作するときには、リスト名などの全般設定のみを自分自身で構成する必要があります。IP アドレス
や URL などのリストのコンテンツについては、行動リストまたは指定する別のサーバーを維持するために指定され
る McAfes サーバーなど、サーバーに依存します。
McAfee サーバーからコンテンツを取得する購読リストは、McAfee が維持するリストと呼ばれます。別のサーバー
からコンテンツを取得する購読リストは、カスタマーが維持するリストと呼ばれます。
購読リストを作成した後、それはユーザー インターフェースのリスト ツリーの購読リスト ブランチで表示されま
す。リスト ツリーの他のリストと同様に購読リストを操作できます。
購読リストのサイズには制限があります。購読リストは 4 MB よりも大きかったり、100,000 を超える数のエントリ
ーを含むことはできません。
更新スケジュールを構成したり、更新を手動で実行することにより、最新のコンテンツが購読リストにより Web セ
キュリティ ルールに使用できるようにする必要があります。
McAfee サーバーからのリスト コンテンツの取得
購読リストのコンテンツがこの目的で指定された McAfee サーバーから取得されるとき、カタログからこのリストに
対するコンテンツのタイプを選択します。
コンテンツは McAfee サーバー上に維持されます。McAfee が維持するリストが最新のコンテンツを保持しているこ
とを確認するためには、アプライアンスのユーザー インターフェースで手動更新を実行してください。
別のサーバーからのリスト コンテンツの取得
購読リストのコンテンツが McAfee サーバー以外のサーバーから取得されるとき、サーバーにこのコンテンツを保持
するファイルの URL を指定します。
コンテンツはこのサーバー上に維持されます。この種の購読リストの更新は、リスト設定を構成するときにセットア
ップするスケジュールに従って実行されます。
購読リストの作成
購読リストを作成するには、一般リスト設定およびリスト コンテンツの設定を構成します。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]アイコンをクリックします。
[リストの追加]ウィンドウが開きます。
3
リストの全般設定を構成します。
a
[名前]フィールドに、リスト名を入力します。
b
[入力]リストから、リスト タイプを選択します。
c
[含む]の下で、リストが含まれるエントリのタイプを選択します。
d ［オプション］[コメント] フィールドで、リストの平文コメントを入力します。
e ［オプション］[権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
88
McAfee Web Gateway 7.2
製品ガイド
リスト
購読リスト
4
[外部にあるリスト コンテンツ]を選択します。
5
リスト コンテンツの設定を構成します。
•
5
McAfee サーバーから取得されるリスト コンテンツに対して:
•
[ソース]の下で、[McAfee の保持されたリスト]を選択します。
•
[選択]をクリックします。
[リスト コンテンツの選択]ウィンドウが開きます。
•
•
コンテンツ タイプを選択します
•
[OK]をクリックしてウィンドウを閉じます。
他のサーバーから取得されるリスト コンテンツに対して:
•
[ソース]の下で、[顧客の保持されたリスト]を選択します。
•
[セットアップ]をクリックします。
[セットアップ]ウィンドウが開きます。
6
•
リスト コンテンツの設定を構成します。
•
[OK]をクリックしてウィンドウを閉じます。
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、リスト ツリーの[購読リスト] ブランチにリストが表示されます。
7
[変更の保存]をクリックします。
関連トピック:
90 ページの「購読リスト コンテンツの設定 」
購読リストの更新
購読リストの内容の更新は、内容がこの目的で提供された McAfee サーバーから、または別のサーバーから取得され
たかどうかに応じて、スケジュールに従って実行されます。
McAfee サーバーから取得されたリストの内容の場合は、更新を手動で実行する必要があります。手動更新を行うた
びに、すべての McAfee が維持するリストが一緒に更新されます。
McAfee が維持するリストの内容はまた、この主の新しいリストを作成するたびにも更新されます。
McAfee サーバー以外のサーバーから取得されたリストの内容の場合は、更新はスケジュールに従って実行されます。
それぞれの購読リストは、固有のスケジュールをもっています。リストの内容の設定を構成するときに、スケジュー
ルをセットアップし、変更できます。
一元管理構成でノードの購読リストを管理するとき、更新は更新グループ内のすべてのその他のノードにより共有さ
れます。
更新グループは一元管理設定のセクション[このノードは次のグループのメンバーです]により構成されます。
関連トピック:
90 ページの「購読リスト コンテンツの設定 」
298 ページの「一元管理設定 」
McAfee サーバー上に維持されている購読リストの更新
McAfee サーバー上に維持されている購読リストの場合は、更新を手動で実行する必要があります。
McAfee が維持するリストの内容はまた、新しいリストを作成するたびにも更新されます。
McAfee Web Gateway 7.2
製品ガイド
89
5
リスト
共通カタログ
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーの上のツールバーで、[手動エンジン更新]をクリックします。
McAfee が維持するリストの内容が更新されます。
購読リスト コンテンツの設定
McAfee サーバー以外のサーバーで購読リストが維持されている場合、設定はそのコンテンツに対して構成される必
要があります。
表 5-18 購読リスト コンテンツの設定
オプション
定義
[ダウンロードす
る URL]
購読リストのコンテンツのファイルの URL
URL を指定する形式は、次のとおりです。
HTTP | HTTPS | FTP ://<パス>/<ファイル名>.<拡張子>
[これを使用する ] これを選択すると、ラジオ ボタンの隣に表示される証明書認証チェーンに含まれる証明書が使
用されます。
リストのコンテンツを提供するサーバーへの接続が HTTPS プロトコルの下のコミュニケーショ
ン用の SSL セキュア接続の場合に必要です。
[証明書のエラー
を無視する]
これをが選択されると、証明書のエラーはサーバーからのリストの内容を取得するときに障害を
発生させません
[ユーザー認証]
サーバーへのアクセスのための認証が必要な場合のユーザー名とパスワードの設定のためのセク
ション
• [ユーザー名]－サーバーに認証するためのユーザー名
• [パスワード]－ サーバーに認証する際のパスワード
[プロキシ]
リストの内容を提供するサーバーへのアクセスに使用できるプロキシ サーバーのリスト
デフォルトでは、リスト コンテンツ サーバーへのアクセスに使用されるプロキシ サーバーがあ
りません。
[プロキシの追加] リストにプロキシ サーバーを追加するためのウィンドウを開きます。
[リストの内容の
更新]
リストの内容の設定と更新のためのセクション
以下のとおり、更新を実行できます。
• [毎時間ごとの時刻（分）] — 1 時間経過した後の分
• [毎日の時刻] — 時間と分
• [毎週の曜日と時刻] — 曜日と時刻（時間と分）
• [毎] — 次の更新までの間隔（分）
共通カタログ
共通カタログは、McAfee ePO サーバーからアプライアンスへプッシュできるリストを提供します。
REST（Representational State Transfer）インターフェースは両方のシステムで内部で実行され、リスト データの
転送を可能にします。McAfee ePO 拡張もまたアプライアンスでインストールされ、実行中であることが必要です。
90
McAfee Web Gateway 7.2
製品ガイド
リスト
共通カタログ
5
アプライアンスのインスタンスがあるとして、ユーザー アカウントをセット アップし、リスト データの転送を処理
する必要があります。[ePO Orchestrator] 設定を使用して、アカウントをセット アップできます。
共通カタログからリストがアプライアンスにプッシュした後、ユーザー インターフェースの[リスト] タブに表示さ
れます。リスト名の接頭辞が、McAfee ePO サーバーがリストのソースであることを示しています。
これらのリストを使用して、[リスト] タブのほかのリストのようなルールを構成できます。
リストの以下のタイプをプッシュ可能です:
•
IP アドレス
•
ドメイン名
•
文字列
•
ワイルドカード式
共通カタログ リストのユーザー アカウントのセットアップ
アプライアンスで共通カタログ リストの使用を有効にするためには、リスト データの転送を処理するためのインス
タンスを作成するユーザー アカウントをセットアップする必要があります。
タスク
1
[構成] 、 [ePolicy Orchestrato]を選択します。
2
[ePolicy Orchestrator 設定] 下で、ユーザー アカウントを構成します。
a
[ePO ユーザー アカウント]フィールドで、ユーザー名を入力するか、事前構成された値 ePO をそのまま使用
します。
b
[パスワード] フィールドの隣の [変更] をクリックします。
[新しいパスワード]ウィンドウが開きます。
c
このウィンドウ オプションを使用して、パスワードを設定します。
3
[ePO のデータ収集を有効化]］が選択されていることを確認します。
4
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
91
5
リスト
共通カタログ
92
McAfee Web Gateway 7.2
製品ガイド
6
設定
設定はモジュール、アクション、およびシステム機能を設定するためにアプライアンスで使用されます。
適宜、異なる方法でこれらの設定を操作します。
ユーザー インターフェースで異なる場所に設定が表示されます。たとえば、条件、アクション、ルールのイベント
や、
［設定］と［アプライアンス］タブなどです。
アプライアンスの初期セットアップ時に、設定はルール セット システムと共に施行されます。
施行されたシステムの設定を見直し、それらを変更および削除し、固有のリストも作成できます。
目次
設定のタイプ
設定タブ
アクセスの設定
アクションおよびモジュール設定の作成
設定のタイプ
異なる種類の設定がルールの処理やアプライアンスのその他の機能と共に使用されます。
•
モジュール設定 — プロパティの値を配布し、その他のジョブを実行するために、ルールにより呼び出されるモジ
ュール（エンジンとも呼ばれる）の設定
•
アクション設定 — ルールで実行されるアクションの設定
•
システム設定 — アプライアンスのシステム設定
モジュール設定
モジュール設定は、プロパティの値を配布し、その他のジョブを実行するために、ルールにより呼び出されるモジュ
ール（エンジンとも呼ばれる）の設定です。
たとえば、URL フィルター モジュールは、フィルタリング ルールの URL.Categories プロパティの値を配布するた
めに URL カテゴリーの情報を取得します。
ルールでは、ルールにより呼び出されるモジュールの設定名がルール プロパティの隣に表示されます。たとえば、ウ
イルスとマルウェア フィルタリングのルールでは、Gateway Antimalware を Antimalware.Infected の隣
に設定名として表示できます。
このことは、マルウェア対策モジュールが呼び出され、値 true または false がプロパティに対して配布されると、
モジュールは Gateway Antimalware 設定で実行されます。たとえば、この設定により、感染について Web オ
ブジェクトをスキャンする際にどの方法を使用するかが決定します。
これらのルールのモジュール設定には、［設定］タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
McAfee Web Gateway 7.2
製品ガイド
93
6
設定
設定タブ
アクションの設定
アクションの設定は、ルールにより実行されるアクションに対する設定です。
これらは主に、ブロックや認証などのルール アクションの影響を受けるユーザーに送信されるメッセージを指定する
ために構成されます。ユーザーに影響を与えないアクション、たとえば「ルール セットの続行」や「停止」には設定
がありません。
これらのルールの設定には、［設定］タブにある設定ツリーの下のブランチでアクセスできます。
これらの設定を変更でき、新しい設定を作成することもできます。
システム設定
システム設定は、アプライアンス システムの設定、たとえば、ネットワーク インターフェースの設定またはドメイ
ン名サーバーの設定です。
これらの設定は、[構成]最上位メニューの[アプライアンス]タブでアクセスすることができます。
これらの設定を変更できますが、、新しい設定を作成することはできません。
設定タブ
[設定]タブでは、アクションとモジュールの設定を操作できます。
設定タブの主要要素
以下の表で、[設定]タブの主要な要素について説明します。
94
McAfee Web Gateway 7.2
製品ガイド
設定
アクセスの設定
6
表 6-1 設定タブの主要要素
要素
説明
[設定ツールバー]
アクションとモジュール（エンジン）の設定の操作のためのコントロール
[設定ツリー]
アクションとモジュール（エンジン）を表示するツリー構造
[設定]
現在選択しているアクションとモジュール（エンジン）のパラメーターと値
設定ツールバー
設定ツールバーでは、次のオプションが提供されています。
表 6-2 設定ツールバー
オプション
定義
[追加 ]
設定を作成するための[設定の追加]ウィンドウが表示されます。
[編集]
既存の設定を編集するための[設定の編集]ウィンドウを開きます
[削除]
選択した設定を削除します。
削除を確認するためのウィンドウが開きます。
[すべて展開]
設定ツリーで折りたたまれているすべての項目を展開します
[すべて折りたたむ]
設定ツリーで展開されているすべての項目を折りたたみます
アクセスの設定
[設定]タブの設定にアクセスするか、ルールの設定名をクリックできます。システム設定にアクセスするため、[構
成]トップレベル メニューの[アプライアンス] タブで作業する必要があります。
タスク
•
95 ページの「設定タブのアクションおよびモジュール設定にアクセスする 」
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
•
96 ページの「ルールのアクションおよびモジュール設定へのアクセス 」
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスでき
ます。
•
96 ページの「システム設定へのアクセス 」
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
設定タブのアクションおよびモジュール設定にアクセスする
[設定]タブを使用して、アクションとモジュールの設定にアクセスします。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[アクション] または [エンジン] ブランチに移動し、作業する設定にアクセスします。
3
この設定を選択するには、次のいずれかを実行します。
•
[アクション] ブランチで、アクションをクリックして展開し、アクセスするアクションを選択します。
•
[エンジン] ブランチで、モジュール（エンジンとも呼ばれている）をクリックして展開し、アクセスするモジ
ュールを選択します。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
McAfee Web Gateway 7.2
製品ガイド
95
6
設定
アクションおよびモジュール設定の作成
ルールのアクションおよびモジュール設定へのアクセス
ルールに表示されるアクションおよびモジュールの設定名をクリックし、これらの設定にアクセスできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、アクセスする設定のルールを含むルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
アクセスする設定のルールで、設定名をクリックします。
•
モジュール設定にアクセスするルール条件で
•
アクション設定にアクセスするルール アクションで
[設定を編集]ウィンドウが選択した設定とともに開きます。
この設定で作業できます。
システム設定へのアクセス
[構成]トップレベル メニューを使用して、システム設定にアクセスできます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、設定名をクリックします。
パラメーターおよび設定の値が設定パネルに表示されます。
この設定で作業できます。
アクションおよびモジュール設定の作成
モジュールとアクションの設定を作成できます。
これらの設定を作成する場合、完全に新しいものを作成するのではなく、新しい名前を付けて必要に応じて変更する
既存の設定を使用します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
新しい設定を作成する開始ポイントとして、提供する必要がある設定を選択するには、以下の 2 つの方法のうち
1 つを使用します。
•
設定ツリーで、これらの設定を選択し、[追加]をクリックします。
選択された設定のパラメーターと値とともに、[設定の追加]ウィンドウが開きます。
•
[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
ウィンドウの[設定]ペインから設定を選択します。
これらの設定のパラメーターおよび値が設定パネルに表示されます。
96
McAfee Web Gateway 7.2
製品ガイド
設定
アクションおよびモジュール設定の作成
3
6
[名前]フィールドで、新しい設定名を入力します。
4 ［オプション］[コメント] フィールドで、設定の平文コメントを入力します。
5
必要に応じて、既存の値を変更します。
6 ［オプション］[権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
7
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
97
6
設定
アクションおよびモジュール設定の作成
98
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
アプライアンスは Web トラフィックをインターセプトし、フィルタリング ルールが拒否する場合にそれを転送する
ためにそのプロキシ機能を使用します。ネットワークの要件に対応するように、これらの機能を構成することが可能
です。
プロキシのキー設定は次の通りです。
•
ネットワーク モード — 明示的プロキシ モードまたは透過的モード
特定の設定は、これらの各モードに対して構成できます。
•
ネットワーク プロトコル — HTTP、HTTPS、FTP、ICAP、およびインスタント メッセージング プロトコル
プロトコル設定は、各ネットワーク モードに対して設定できる共通のプロキシ設定です。
その他の共通プロキシ設定を構成し、リバース HTTPS プロキシまたはプロキシ自動構成など、特別なプロキシ ソリ
ューションも実装します。
目次
プロキシの構成
明示的プロキシ モード
透過型ルーター モード
透過型ブリッジ モード
インスタント メッセージング
共通のプロキシ設定の構成
プロキシ設定
リバース HTTPS プロキシ
プロキシ自動構成
Helix プロキシの使用
セキュア ICAP
XMPP プロキシ
プロキシの構成
アプライアンスのプロキシ機能を、ネットワークに適切なように構成できます。
以下の高レベル手順を完了します。
タスク
1
プロキシ設定を確認します。
以下のキー設定は、デフォルトで構成されます。
•
ネットワーク モード:明示的プロキシ
•
ネットワーク プロトコル:HTTP
McAfee Web Gateway 7.2
製品ガイド
99
7
プロキシ
明示的プロキシ モード
2
必要に応じて、これらの設定を変更します。
たとえば、以下の操作を実行できます。
•
異なるネットワーク モードを構成します。
以下のいずれかを選択します。
•
高可用性機能の明示的プロキシ モード
•
透過型ルーター モード
•
透過型ブリッジ モード
仮想マシンの McAfee Web Gateway を実行するとき、透過モードは利用できません。
•
異なるネットワーク プロトコルを構成します。
以下のうち 1 つ以上を HTTP（またはそれらを追加するか HTTP を無効にする）に追加できます。
•
•
HTTPS
•
FTP
•
ICAP
•
インスタント メッセージ プロトコル:Yahoo、ICQ、Windows Live Messenger、XMPP
（Jabber および
その他サービス用）
タイムアウトまたはクライアント接続の最大数など、他のプロキシ設定を変更します。
3
リバース HTTPS プロキシまたはプロキシ自動構成など、必要な場合特別なプロキシ ソリューションを構成しま
す。
4
変更を保存します。
明示的プロキシ モード
明示的なプロキシ モードで、アプライアンスによりフィルタリングされる Web トラフィックをもつクライアント
は、それらが接続されていることを「知っています」。明示的にそれらを構成して、Web トラフィックをアプライア
ンスに仕向けるようにする必要があります。
これが保証される場合、アプライアンスがネットワーク内で配備される場所はあまり重要ではありません。一般的に、
これはファイアウォールの背後に置かれ、ルーター経由でクライアントとファイアウォールに接続されます。
100
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
明示的プロキシ モード
以下のダイアグラムは、明示的プロキシ モードでの構成を表示します。
図 7-1 明示的プロキシ モード
明示的プロキシ モードの構成
明示的プロキシ モードでアプライアンスのプロキシ機能を構成でき、これはこれらの機能のデフォルト モードです。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、明示的プロキシ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワークのセットアップ]の下で、明示的プロキシ モードのオプション 2 つのうち 1 つを選択します。
•
[プロキシ] — これは、明示的プロキシ モードです。
これはデフォルトのプロキシ モードです。
これが選択されると、明示的プロキシ モードの透過機能を構成する特定の設定は、[ネットワーク セットアッ
プ]設定の下に表示されます。
•
[プロキシ HA] — 高可用性機能の明示的プロキシ モード用
このオプションを選択した後で、特定の[プロキシ HA] 設定が[ネットワーク設定]の設定の下に表示されま
す。
4
必要に応じて、選択されたオプションに対して特定または共通の設定を構成します。
5
[変更の保存]をクリックします。
関連トピック:
102 ページの「透過型プロキシ設定 」
105 ページの「プロキシ HA 設定 」
118 ページの「プロキシ設定 」
McAfee Web Gateway 7.2
製品ガイド
101
7
プロキシ
明示的プロキシ モード
透過型プロキシ設定
透過型プロキシ設定は、明示的なプロキシ モードの透過型機能を構成するために使用されます。
透過型プロキシ
透過型機能をもつ明示的なプロキシ モードの設定
表 7-1 透過型プロキシ
オプション
定義
[サポートされているクライ Web トラフィックのインターセプトとそれをアプライアンスに仕向ける方法
アントのリダイレクション
• [WCCP] — これが選択されると、IPv4 プロトコルは追加ネットワーク デバイスに
方法 ]
よりインターセプトされ、WCCP プロトコルを使用してアプライアンスに仕向けら
れます。
同様の方法で、Web サーバーからの応答はアプライアンスに戻されます。
クライアントはこのリダイレクションを認識せずに、引き続き透過的になります。
WCCP サービスのバージョン 2 をアプライアンスで使用する必要があります。
WCCP リダイレクションの方法を使用するためには、1 つまたは複数の WCCP サー
ビスをアプライアンス上で構成する必要があります。
クライアント リクエストとサーバー応答をインターセプトするネットワーク デバイ
スを構成する必要もあります。このデバイスは、スイッチまたはルーターとして設定
できます。
このオプションを選択した後で、[WCCP サービス] インライン リストが WCCP サ
ービスを設定し、追加するために表示されます。
• [L2 透過型] — これが選択されると、クライアント リクエストは IPv4 の下で
Web サーバーに送信され、IPv5 プロトコルは追加ネットワーク デバイスによりイ
ンターセプトされ、Layer 2 リダイレクション方法を使用してアプライアンスに仕
向けられます。
この方法の下で、宛先アドレスがアプライアンスのアドレスでない場合でも、クライ
アント リクエストはアプライアンスで受け付けられます。リダイレクションはクラ
イアントに対して「透過型」となります。
インターセプトされ、アプライアンスのリストにリダイレクトされるクライアント
リクエストの元のポートを、これらのリクエストがリダイレクトされるポートと共に
入力する必要があります。
追加のネットワーク デバイスを適宜、構成する必要があります。
このオプションが選択されると、リクエストはアクティブな FTP モードの接続を使
用して層御進できません。パッシブ FTP モードのみが利用できます。
このオプションを選択した後で、[ポート転送] インライン リストがポート入力のた
めに表示されます。
次の 2 つの表では、WCCP サービスとポート転送のリストのエントリーを説明しています。
表 7-2 WCCP サービス ― リスト エントリー
オプション
定義
[サービス ID]
Web トラフィックを WCCP プロトコル下のアプライアンスに仕向けるサービスの ID
[WCCP ルーター定 Web トラフィックを WCCP サービスを使用してアプライアンスにリダイレクトするマルチキ
義]
ャスト IP アドレスと DNS 名（またはルーティング機能を備えたスイッチ）
ここで複数のルーターを、それぞれのエントリーをカンマで区切って構成することができま
す。
102
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
明示的プロキシ モード
表 7-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
[リダイレクトする データ パケットがリダイレクトする宛先アドレスにもっていなければならない Web サーバー
ポート]
のポート
ここで最大 8 個のポートを、カンマで区切って、指定できます。
[リダイレクトする リダイレクトするポートが元のポートであるかどうかを表示します。
ポートは、元のポー
トです]
[プロキシ リスナ
ー IP アドレス]
WCCP サービスでの明示的プロキシ モードで実行中で、クライアント リクエストをリスンす
るアプライアンスの IP アドレス
[プロキシ リスナ
ー ポート]
クライアント リクエストをリスンするためのポート
[MD5 認証キー]
制御データ パケットを署名し、検証するための MD5 アルゴリズム下で使用されるパスワード
デフォルトのポート番号は 9090 です。
[設定]ボタンを使用して、パスワードを設定するためのウィンドウを開きます。
パスワードは最大 8 文字です。
負荷分散のためのイ 主要項目はこのリストには表示されませんが、［追加］および［編集］ウィンドウでは表示さ
ンプット
れます。以下の 4 つの要素がそれに関係しており、負荷分散の基準としてデータ パケットで
使用されているものを指定します。
複数のアプライアンスを実行するときに、負荷分散はそれらのプロキシに対して構成すること
ができます。データ パケットは、ソースまたは宛先 IP アドレスおよびポート番号のマスキン
グ、またはハッシュ アルゴリズムに基づいてこれらのプロキシに分散できます。
• [ソース IP] — 選択すると、負荷分散はソース IP アドレスのマスキングに基づきます。
• [宛先 IP] — 選択すると、負荷分散は宛先 IP アドレスのマスキングに基づきます。
• [送信元ポート] — 選択すると、負荷分散は送信元ポート番号のマスキングに基づきます。
• [送信先ポート] — 選択すると、負荷分散は送信先ポート番号のマスキングに基づきます。
割り当て方法
主要項目はこのリストには表示されませんが、［追加］および［編集］ウィンドウでは表示さ
れます。以下の 2 つの要素がそれに関係し、割り当て方法を指定します。
• [マスクで割り当て] ― 選択すると、上記で指定されたパラメーターのマスキングが負荷分
散に使用されます。
• [ハッシュで割り当て] — 選択すると、上記で指定されたハッシュ アルゴリズムが負荷分散
に使用されます。
[割り当ての重みづ プロキシに割り当てられる負荷の大きさを判別する値。
け]
この値を使用して、他のものよりも大きな CPU 容量をもつアプライアンスのプロキシにより
大きな負荷を割り当てることができます。0 はプロキシに負荷を分散しないことを意味しま
す。
転送方法
主要項目はこのリストには表示されませんが、［追加］および［編集］ウィンドウでは表示さ
れます。以下の 2 つの要素がそれに関係し、転送方式を指定します。
• [GRE-カプセル化] — これを選択すると、データ パケットは、リダイレクトされる前に、
ルーターによりカプセル化されます
• [L2-ローカル NIC の書き換え] — これを選択すると、データ パケットは
（Web サーバーへ
のルート上で）次のデバイスの MAC アドレスをアプライアンスの MAC アドレスで置換す
ることによりアプライアンスにリダイレクトされます
[L2-リダイレクト
ターゲット]
データ パケットがリダイレクトするアプライアンスのネットワーク インターフェース
McAfee Web Gateway 7.2
製品ガイド
103
7
プロキシ
明示的プロキシ モード
表 7-2 WCCP サービス ― リスト エントリー (続き)
オプション
定義
[マジック（マスク ルーターにアプライアンスを送信するマスクの不明のフィールド
割り当て）]
この設定は、ルーターに使用される、さまざまなバージョンのベンダーのオペレーティング シ
ステムとの互換性を確保する必要があります。
[コメント]
WCCP サービスの標準テキスト形式のコメント
表 7-3 ポート転送 - リスト エントリー
オプション
定義
[元の宛先ポート]
クライアント リクエストに属するデータ パケットが最初に送信されるポート
[宛先プロキシ ポート]
データ パケットがリダイレクトされるポート
[コメント]
ポート転送の標準テキスト形式のコメント
高度な送信接続設定
アプライアンスのネットワーク環境の要件である Web サーバーに送信されるクライアント リクエストに含まれる情
報の処理方法を指定する設定
表 7-4 高度な送信接続設定
オプション
定義
[IP スプーフィング（HTTP、
HTTPS、FTP）]
これを選択すると、アプライアンスはクライアント リクエストにソース アドレス
として含まれているクライアント IP アドレスを維持し、それを種々のプロトコル
の下でリクエストされた Web サーバーとの通信に使用できます。
WCCP サーバーが Web トラフィックをインターセプトし、それをアプライアン
スに仕向けるために使用されるとき、クライアント リクエストをリスンするアプ
ライアンスの各ポートに対して 2 つのサービスを構成する必要があります。クラ
イアントからくるリクエストに対して 1 つ、Web サーバーにより送信されるリク
エストに対して 1 つです。
このオプションが選択されていないとき、アプライアンスは送信元ポートを選択
し、この通信でそれを使用します。
• [明示的なプロキシ接続のための IP スプーフィング] — これが選択されると、
クライアント アドレスは明示的なプロキシ モードに維持され、Web トラフィ
ックは追加デバイスによりインターセプトされません。
• [IP スプーフィングのクライアントと同じ送信元ポートを使用する] — これが選
択されると、クライアントの Web サバ―との通信のための送信元アドレスに加
えて、クライアントの送信元ポートが使用されます。
このオプションが選択されていないとき、アプライアンスはランダムな送信元
ポートを選択し、この通信でそれを使用します。
[HTTP(S):ホスト ヘッダーは、 これを選択すると、アプライアンスはリクエストされた Web サーバーとの通信の
元の宛先アドレス（透過型プロ ために HTTP または HTTPS プロトコルの下でクライアント リクエストにホス
キシ）よりもプライオリティが ト ヘッダーとして含まれている宛先アドレスを使用します。
あります]
IP スプーフィングのサンプル WCCP サービス設定
IP スプーフィングをもつ WCCP サービスを構成するためのサンプル設定
Web トラフィックをインターセプトし、それをアプライアンスに仕向ける WCCP サービスをもつ構成で IP スプー
フィングを使用できます。この場合、リスンするアプライアンスのすべてのポートに対して 2 つのサービスを構成す
る必要があります。
104
McAfee Web Gateway 7.2
製品ガイド
プロキシ
明示的プロキシ モード
7
クライアントからくるリクエストに対して 1 つのサービス、Web サーバーにより送信されるリクエストの応答に対
して 1 つのサービスです。
以下の表は、これらの 2 つのサービスのサンプル パラメーター値を示しています。
表 7-5 IP スプーフィングで構成された 2 つの WCCP サービスのサンプル パラメーター値
オプション
受信リクエストのサービス
Web サーバー応答のサービス
[サービス ID]
51
52
[WCCP ルーター定義]
10.150.107.254
10.150.107.254
[リダイレクトするポート]
80, 443
80, 443
[リダイレクトするポート
は、元のポートです]
false
true
[プロキシ リスナー IP アド 10.150.107.251
レス]
10.150.107.251
[プロキシ リスナー ポート] 9090
9090
[MD5 認証キー]
*****
*****
負荷分散のためのインプッ この主要項目はこの設定リストには表示されませんが、［追加］および［編集］ウィン
ト
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[送信元 IP]
false
false
[宛先 IP]
true
true
[送信元ポート]
false
false
[宛先ポート]
false
false
割り当て方法
この主要項目はこの設定リストには表示されませんが、［追加］および［編集］ウィン
ドウでは表示されます。以下の 4 つの要素がそれに関係しています
[マスク割り当て]
true
true
[ハッシュによる割り当て]
false
false
[割り当ての重みづけ]
100
100
転送方法
この主要項目はこの設定リストには表示されませんが、［追加］および［編集］ウィン
ドウでは表示されます。ローカルの NIC 要素に対する GRE カプセル化と L2 書き換
えがそれに関係しています。
[GRE カプセル化]
false
false
[ローカル NIC への L2 書
き換え]
true
true
[L2-リダイレクト ターゲッ eth1
ト]
eth1
[マジック（マスク割り当
て）]
-1
-1
[コメント]
プロキシ HA 設定
プロキシ HA 設定は、高可用性機能を備えた明示的なプロキシ モードでアプライアンスのプロキシ機能を構成するた
めに使用されます。
プロキシ HA
高可用性機能を備えた明示的プロキシ モードの設定
McAfee Web Gateway 7.2
製品ガイド
105
7
プロキシ
透過型ルーター モード
表 7-6 プロキシ HA
オプション
定義
[ポート転送]
ユーザーが送信したリクエストが転送されるポートのリスト
[ディレクター プ データ パケットを仕向けるアプライアンスのプライオリティ（0 ～ 99 の範囲）
ライオリティ ]
最高値が表示されます。0 はアプライアンスがデータ パケットをフィルターするだけで、仕向け
ることはないことを意味します。
高可用性の構成で、2 つのアプライアンスは、互いにフェールオーバー機能を備えながら、デー
タ パケットを仕向けるために一般的にゼロよりも高いプライオリティをもつディレクター ノー
ドとして設定されます。
残りのノードは、ゼロプライオリティで構成されます（「スキャンイング ノード」と呼ばれま
す ）。
このプライオリティの値は、スライダーのスケールで設定されています。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプラ
イアンスのソース IP アドレス
[仮想 IP]
仮想 IP アドレスのリスト
次の 2 つの表では、ポートのリストと仮想 IP のリストのエントリーを示します。
表 7-7
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
ユーザーがリクエストを送信した時に受信するデータ パケットに使用されるプロトコル名
[元の宛先ポート]
転送されたデータ パケットの最初の送信先のポート
[宛先プロキシ ポート ] 上記ポートに送信されたデータ パケットが最初に転送されたポート
[コメント]
表 7-8
ポート転送の標準テキスト形式のコメント
仮想 IP － リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス（CIDR 通知）
[ネットワーク インターフェース] VRRP（仮想ルーター冗長性プロトコル）の下のハートビートに使用されるアプ
ライアンスのネットワーク インターフェース
[コメント]
仮想 IP アドレスの標準テキスト形式のコメント
透過型ルーター モード
透過型ルーター モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと
ができる透過型モードの 1 つです。
このモードでは、クライアントはアプライアンスを認識しておらず、Web トラフィックをそれに仕向けるように構
成する必要はありません。
アプライアンスは、ファイアウォールのすぐ背後にルーターとして配置されます。そのクライアントに接続するため
のスイッチとして使用できます。ルーティング テーブルは、トラフィックを仕向けるために使用されます。
106
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
透過型ルーター モード
以下のダイアグラムは、透過型ルーター モードでの構成を表示します。
図 7-2 透過型ルーター モード
透過型ルーター モードの構成
透過型ルーター モードでアプライアンスのプロキシ機能を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、透過型ルーター モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワーク設定]で、[透過型ルーター]を選択します。
このモードを選択した後で、特定の[透過型ルーター]設定が[ネットワーク設定]の設定の下に表示されます。
4
必要に応じて、このモードに対して特定または共通の設定を構成します。
5
[変更の保存]をクリックします。
関連トピック:
107 ページの「透過型ルーター モードでのノードの構成 」
109 ページの「透過型ルーターの設定 」
118 ページの「プロキシ設定 」
透過型ルーター モードでのノードの構成
透過型ルーター モードのディレクターおよびスキャン ノードとして一元管理構成のノードである 2 つのアプライア
ンスを構成できます。ディレクター ノードは、データ パケットを仕向ける一方で、スキャン ノードはデータ パケッ
トをフィルターします。
タスク
•
108 ページの「透過型ルーター モードでのディレクター ノードのセットアップ 」
透過型ルーター モードのディレクター ノードをセットアップするためには、このモードを有効にして、
送受信 Web トラフィックに対するネットワーク インターフェースを構成する必要があります。
•
108 ページの「透過型ルーター モードでのスキャニング ノードのセットアップ 」
透過型ルーター モードのスキャニング ノードをセットアップするためには、このモードを有効にして、
送信 Web トラフィックに対して少なくとも 1 つのネットワーク インターフェースを構成する必要があ
ります。
McAfee Web Gateway 7.2
製品ガイド
107
7
プロキシ
透過型ルーター モード
透過型ルーター モードでのディレクター ノードのセットアップ
透過型ルーター モードのディレクター ノードをセットアップするためには、このモードを有効にして、送受信
Web トラフィックに対するネットワーク インターフェースを構成する必要があります。
ディレクター ロールは、ノードに適切なプライオリティの値を指定することにより、構成されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ディレクター ノードとしてセットアップするアプライアンスを選択し、[ネットワー
ク]を選択します。
3
ネットワークに合わせてネットワーク インターフェースを構成します。
Web トラフィックの受信用に少なくとも 1 つのインターフェース、送信用に少なくとも 1 つのインターフェー
スが必要です。
4
[変更の保存]をクリックします。
ログ オフし、アプライアンスにもう一度ログ インします。
5
[構成] 、 [アプライアンス]を選択します。
6
アプライアンス ツリーで、ディレクター ノードとして設定するアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
7
[ネットワーク設定]で、[透過型ルーター]を選択します。
このモードを選択した後で、特定の[透過型ルーター]設定が[ネットワーク設定]の設定の下に表示されます。
8
[ディレクトリのプライオリティ]を値 > 0 にセットします。
9
HTTP と FTP に対して必要に応じて、プロキシ ポートとポート転送を構成します。
10 このために空き IP アドレスを使用して、受信および送信用のネットワーク インターフェースの仮想 IP アドレス
を構成します。
11 [管理 IP]フィールドで、スキャニング モードに到達するための IP アドレスを入力します。
12 [仮想ルーター ID]の下の数字をそのままにします。
13 [VRRP インターフェース]リストから、このプロトコルの下でハートビートのインターフェースを選択します。
14 必要に応じて IP spoofing を構成します。
15 [変更の保存]をクリックします。
透過型ルーター モードでのスキャニング ノードのセットアップ
透過型ルーター モードのスキャニング ノードをセットアップするためには、このモードを有効にして、送信 Web
トラフィックに対して少なくとも 1 つのネットワーク インターフェースを構成する必要があります。
スキャニング ロールは、ノード 0 にプライオリティの値を指定することにより、構成されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、スキャニング ノードとしてセットアップするアプライアンスを選択し、[ネットワー
ク]をクリックします。
3
ネットワークに合わせてネットワーク インターフェースを構成します。
送信 Web トラフィックに少なくとも 1 つのインターフェースが必要です。
108
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
透過型ルーター モード
4
[変更の保存]をクリックします。
ログ オフし、アプライアンスにもう一度ログ インします。
5
[構成] 、 [アプライアンス]を選択します。
6
アプライアンス ツリーで、スキャニング ノードを設定するアプライアンスを選択し、[(HTTP(S)、FTP、ICAP、
および IM)]をクリックします。
7
[ネットワーク設定]で、[透過型ルーター]を選択します。
このモードを選択した後で、特定の[透過型ルーター]設定が[ネットワーク設定]の設定の下に表示されます。
8
[ディレクトリのプライオリティ]を 0 にセットします。
9
ディレクター ノードと同じ HTTP と FTP プロキシ ポートとポート転送を構成します。
10 ディレクター ノードと同じ方法で、IP spoofing も構成します。
11 [変更の保存]をクリックします。
透過型ルーターの設定
透過型ルーター設定は、透過型ルーターモードでアプライアンスのプロキシ機能を構成するために使用されます。
透過型ルーター
透過型ルーター モードの構成の設定
表 7-9 透過型ルーター
オプション
定義
[ポート転送]
ユーザーが送信したリクエストが転送されるポートのリスト
[ディレクター プライ データ パケットを仕向けるアプライアンスのプライオリティ（0 ～ 99 の範囲）
オリティ]
ディレクター プライオリティは、アプライアンスは一元管理構成でいくつかのノードの 1
つであるときに関連してきます。最上位の値をもつモードは、その他のノードのみがそれら
をフィルターする間に、データ パケットを仕向けるディレクター ノードです。
ノードに対して 0 を指定した場合、ダイレクター ノードとはなりません。
ディレクター プライオリティの値は、スライダーのスケールで設定されています。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるア
プライアンスのソース IP アドレス
[仮想 IP]
仮想 IP アドレスのリスト
[仮想ルーター ID]
仮想ルーターの ID
[VRRP インターフェ
ース]
ハートビート メッセージの送受信のためのアプライアンスのネットワーク インターフェー
ス
[IP スプーフィング
（HTTP、HTTPS）]
これを選択すると、アプライアンスはクライアント リクエストにソース アドレスとして含
まれているクライアント IP アドレスを維持し、それを種々のプロトコルの下でリクエスト
された Web サーバーとの通信に使用できます。
アプライアンスは、このアドレスがリクエストのホスト名と一致するかどうかを検証しませ
ん。
[IP スプーフィング
（FTP）]
これを選択すると、アプライアンスは IP spoofing を実行するために、HTTP または
HTTPS プロトコルと同じ方法で、FTP プロトコルの下で Web サーバーと通信します
アクティブな FTP の場合、このオプションを有効にする必要があります。
次の 2 つの表では、ポートのリストと仮想 IP のリストのエントリーを示します。
McAfee Web Gateway 7.2
製品ガイド
109
7
プロキシ
透過型ブリッジ モード
表 7-10
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
ユーザーがリクエストを送信した時に受信するデータ パケットに使用されるプロトコル名
[元の宛先ポート]
転送されたデータ パケットの最初の送信先のポート
[宛先プロキシ ポート ] 上記ポートに送信されたデータ パケットが最初に転送されたポート
[コメント]
表 7-11
ポート転送の標準テキスト形式のコメント
仮想 IP － リスト エントリー
オプション
定義
[仮想 IP アドレス]
仮想 IP アドレス（CIDR 通知）
[ネットワーク インターフ ここで構成されている仮想 IP アドレスが割り当てられているアプライアンスのネット
ェース]
ワーク インターフェース
しかし、この仮想 IP アドレスは、現在のノードがアクティブ ディレクターのロールを
とる場合にのみ、インターフェースに割り当てられます。
[コメント]
仮想 IP アドレスの標準テキスト形式のコメント
透過型ブリッジ モード
透過型ブリッジ モードは、明示的なモードを使用したくない場合、アプライアンスのプロキシ機能の構成を行うこと
ができる透過型モードの 1 つです。
このモードでは、クライアントはアプライアンスを認識しておらず、Web トラフィックをそれに仕向けるように構
成する必要はありません。アプライアンスは通常、ファイアウォールとルーターの間に配置され、そこで
（目に見えな
い）ブリッジとして機能します。
以下のダイアグラムは、透過型ブリッジ モードでの構成を表示します。
図 7-3 透過型ブリッジ モード
透過型ブリッジ モードの構成
透過型ブリッジ モードでアプライアンスのプロキシ機能を構成できます。
タスク
110
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、透過型ブリッジ モードを構成するアプライアンスを選択し[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
透過型ブリッジ モード
3
[ネットワーク設定]で、[透過型ブリッジ]を選択します。
このモードを選択した後で、特定の[透過型ブリッジ]設定が[ネットワーク設定]の設定の下に表示されます。
4
必要に応じて、このモードに対して特定または共通の設定を構成します。
5
[変更の保存]をクリックします。
関連トピック:
111 ページの「透過型ブリッジ モードでのノードの構成 」
113 ページの「透過型ブリッジの設定 」
118 ページの「プロキシ設定 」
透過型ブリッジ モードでのノードの構成
透過型ブリッジ モードのディレクターおよびスキャン ノードとして一元管理構成のノードである 2 つのアプライア
ンスを構成できます。ディレクター ノードは、データ パケットを仕向ける一方で、スキャン ノードはデータ パケッ
トをフィルターします。
タスク
•
111 ページの「透過型ブリッジ モードでのディレクター ノードのセットアップ 」
透過型ブリッジ モードのディレクター ノードをセットアップするためには、このモードを有効にして、
透過型ブリッジ機能に対して少なくとも 1 つのネットワーク インターフェースを構成する必要がありま
す。
•
112 ページの「透過型ブリッジ モードでのスキャニング ノードのセットアップ 」
透過型ブリッジ モードのスキャニング ノードをセットアップするためには、このモードを有効にして、
ノードがディレクター ノードのネットワーク インターフェースにアクセスできるように、IP アドレス
を構成する必要があります。
透過型ブリッジ モードでのディレクター ノードのセットアップ
透過型ブリッジ モードのディレクター ノードをセットアップするためには、このモードを有効にして、透過型ブリ
ッジ機能に対して少なくとも 1 つのネットワーク インターフェースを構成する必要があります。
ディレクター ロールは、ノードに適切なプライオリティの値を指定することにより、構成されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ディレクター ノードとしてセットアップするアプライアンスを選択し、[ネットワー
ク]を選択します。
3
透過型ブリッジのインターフェースとして使用するために、アプライアンスの未使用のネットワーク インターフ
ェースを選択しますが、それを有効にしないでおきます。
4
[詳細設定]タブで、このインターフェースに対して[ブリッジの有効化]を選択します。
5
[名前]フィールドで、インターフェースの名前として「ibr0」と入力します。
6
[IPv4 ]タブで、[IP 設定]の下の[IPv4 の無効化]を選択します。
7
[変更の保存]をクリックします。
ログ オフし、アプライアンスにもう一度ログ インします。
8
[構成] 、 [アプライアンス]を選択し、[ネットワーク]を再びクリックします。
[ibr0]という追加のネットワーク インターフェースが使用可能になります。
9
[ ibr0]インターフェースを選択します。
McAfee Web Gateway 7.2
製品ガイド
111
7
プロキシ
透過型ブリッジ モード
10 [IPv4]タブで、[ibr0]のIP アドレス、サブネット マスクおよびデフォルト ルートを構成します。
11 次に、[ibr0]の隣のチェックボックスを選択して、このインターフェースを有効にします。
12 現在アプライアンスへのアクセスに使用されているインターフェースを選択し、このインターフェースを [ibr0]
に割り当てます。
13 [詳細設定]タブで、[ブリッジの有効化]を選択します。
14 [名前]フィールドで、インターフェースの名前として「ibr0」と入力します。
15 [IPv4 ]タブで、[IP 設定]の下の[IPv4 の無効化]を選択します。
16 ステップ 3 で[ibr0]に割り当てられたネットワーク インターフェースを有効にします。
17 [集中管理]を選択します。
18 [集中管理の設定]セクションで、[ibr0]に構成した IP アドレスを[集中管理通信の IP アドレス]の下に表示され
たリストに追加します。
19 [プロキシ (HTTP(S)、FTP、ICAP、および IM)]を選択します。
20 [ネットワーク設定]で、[透過型ブリッジ]を選択します。
このモードを選択した後で、特定の[透過型ブリッジ]設定が[ネットワーク設定]の設定の下に表示されます。
21 [ディレクトリのプライオリティ]を値 > 0 にセットします。
22 HTTP と FTP に対して必要に応じて、プロキシ ポートとポート転送を構成します。
23 また、必要に応じて IP spoofing を構成します。
24 [管理 IP]フィールドで、[ibr0]に対して設定する IP アドレスを入力します。
25 [変更の保存]をクリックします。
透過型ブリッジ モードでのスキャニング ノードのセットアップ
透過型ブリッジ モードのスキャニング ノードをセットアップするためには、このモードを有効にして、ノードがデ
ィレクター ノードのネットワーク インターフェースにアクセスできるように、IP アドレスを構成する必要がありま
す。
スキャニング ロールは、ノード 0 にプライオリティの値を指定することにより、構成されます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、スキャニング ノードを設定するアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]をクリックします。
3
[ネットワーク設定]で、[透過型ブリッジ]を選択します。
このモードを選択した後で、特定の[透過型ブリッジ]設定が[ネットワーク設定]の設定の下に表示されます。
112
4
[ディレクトリのプライオリティ]を 0 にセットします。
5
ディレクター ノードと同じ HTTP と FTP プロキシ ポートとポート転送を構成します。
6
ディレクター ノードと同じ方法で、IP spoofing も構成します。
7
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
プロキシ
透過型ブリッジ モード
7
透過型ブリッジの設定
透過型ブリッジ設定は、透過型ブリッジモードでアプライアンスのプロキシ機能を構成するために使用されます。
透過型ブリッジ
透過型ブリッジ モードの構成の設定
表 7-12 透過型ブリッジ
オプション
定義
[ポート転送]
ユーザーが送信したリクエストが転送されるポートのリスト
[ディレクター プラ データ パケットを仕向けるアプライアンスのプライオリティ（0 ～ 99 の範囲）
イオリティ]
最高値が表示されます。0 はアプライアンスがスキャニング ノードと呼ばれるものであるこ
とを意味し、データ パケットをフィルターするだけで、仕向けることはないことを意味しま
す。
このプライオリティの値は、スライダーのスケールで設定されています。
このオプションは、スキャニング ノード（プライオリティ = 0）またはディレクタ
ー ノード
（プライオリティ > 0）としてノードを構成するためにのみ使用できます。
0 より大きいノードのプライオリティの違いは評価されません。
透過型ブリッジ モードで複数のアプライアンスについて 0 より大きいノード プラ
イオリティを構成した後で、その動作を観察して、データ パケットを仕向けるディ
レクター ノードになるものが実際にどれであるかを調べる必要があります。
[管理 IP]
ハートビート メッセージを他のアプライアンスに送るときにデータ パケットを仕向けるアプ
ライアンスのソース IP アドレス
[IP スプーフィング これを選択すると、アプライアンスはクライアント リクエストにソース アドレスとして含ま
（HTTP、HTTPS）] れているクライアント IP アドレスを維持し、それを種々のプロトコルの下でリクエストされ
た Web サーバーとの通信に使用できます。
アプライアンスは、このアドレスがリクエストのホスト名と一致するかどうかを検証しませ
ん。
[IP スプーフィング これを選択すると、アプライアンスは IP spoofing を実行するために、HTTP または
（FTP）]
HTTPS プロトコルと同じ方法で、FTP プロトコルの下で Web サーバーと通信します
アクティブな FTP の場合、このオプションを有効にする必要があります。
次の表では、ポート転送のリストのエントリーを説明しています。
表 7-13
ポート転送 - リスト エントリー
オプション
定義
[プロトコル名]
ユーザーがリクエストを送信した時に受信するデータ パケットに使用されるプロトコル名
[元の宛先ポート]
転送されたデータ パケットの最初の送信先のポート
[宛先プロキシ ポート ] 上記ポートに送信されたデータ パケットが最初に転送されたポート
[コメント]
McAfee Web Gateway 7.2
ポート転送の標準テキスト形式のコメント
製品ガイド
113
7
プロキシ
インスタント メッセージング
インスタント メッセージング
インスタント ﾒｯｾｰｼﾞング プロキシは、インスタント メッセージング（IM）チャットとファイル転送をフィルタリン
グするために、アプライアンスにセットアップできます。
ネットワークのユーザーがインスタント メッセージング通信に参加するとき、たとえば、インスタント メッセージ
ング サーバーにチャット メッセージを送ったり、そのメッセージに対する返信を受け取ったり、ファイルを送受信
したりします。アプライアンスのインスタント メッセージング プロキシは、実装したフィルタリング ルールに従っ
てこのフィルタリングをインターセプトしたり、フィルタリングできます。このために、インスタント メッセージン
グ トラフィックは、アプライアンスにリダイレクトされます。
以下のネットワーク コンポーネントがフィルタリング プロセスに含まれています。
•
インスタント メッセージングのプロキシ — プロキシは Yahoo プロキシ、Windows Live Messenger プロキシ
やその他などさまざまなプロトコルの元でインスタント メッセージングをフィルタリングするために、アプライ
アンスをセットアップできます。
•
インスタント メッセージングのクライアント — これらのクライアントはネットワーク内のユーザーのシステム
上で実行され、インスタント メッセージング サーバーとの通信を可能にします。
•
インスタント メッセージングのサーバー — これらは、ネットワーク内からクライアントによりアドレス指定さ
れる宛先です。
•
ネットワークのその他のコンポーネント — インスタント メッセージング フィルターーに含まれる他のコンポー
ネントには、たとえば、インスタント メッセージング トラフィックをアプライアンスにリダイレクトするファイ
アウォールやローカル DNS サーバーなどがあります。
インスタント メッセージング フィルタリングを設定するときには、インスタント メッセージング プロキシやインス
タント メッセージング トラフィックをインターセプトとフィルタリングできるようにするプロキシへの設定操作を
完了する必要があります。
また、インスタント メッセージング トラフィックがインスタント メッセージング プロキシに確実にリダイレクトさ
れるようにする必要もあります。しかし、この設定操作はクライアント上で行うものではなく、ネットワークの他の
コンポーネント上で行われます。たとえば、DNS のリダイレクトやファイアウォール ルールは適切な方法で設定さ
れます。
アプライアンスのインスタント メッセージング プロキシは、Yahoo、Microsoft、ICQ、Google により提供された
ベンダー IM クライアント ソフトウェアと共に主に使用されることを意図しています。しかし、クライアント ソフ
トウェアは、隠れた更新が行われた後で事前の警告なしに、新しいログオン サーバーを使用するなど、操作を変更す
る可能性があります。
サードパーティのクライアント ソフトウェアを使用するときは、一般的にログオン サーバー、プロトコル バージョ
ン、または認証方式が元のクライアント ソフトウェアのものに比べて変更されている可能性があることを理解してお
く必要があり、このことによりアプライアンスのインスタント メッセージング プロキシがインスタント メッセージ
ング トラフィックをインターセプトしたり、フィルタリングできなくなる可能性があります。
インスタント メッセージング プロキシの設定
アプライアンスでインスタント メッセージング プロキシを設定する場合、[構成]トップレベル メニューの[プロキ
シ]設定の関連する部分を構成する必要があります。
主に以下の設定があります。
114
•
インスタント メッセージング プロキシの有効化
•
インスタント メッセージング クライアントにより送信される要求7をリスンする IP アドレスとポート
•
インスタント メッセージング サーバーの設定
•
インスタント メッセージング通信のタイムアウト
McAfee Web Gateway 7.2
製品ガイド
プロキシ
インスタント メッセージング
7
デフォルト値は、アプライアンスの初期セットアップ後にこれらのすべての設定に対して事前設定されます。
以下のプロトコルの下のインスタント メッセージングを以下のとおり、フィルタリングすることができます。
•
Yahoo
•
ICQ
•
Windows Live Messenger
•
XMPP。Google Talk、Facebook チャット、Jabber、その他のインスタント メッセージング サービスに使用さ
れるプロトコル
インスタント メッセージング トラフィックのフィルタリングのために、アプライアンスで処理されるルールは、こ
れらのルール セットの設定で処理サイクルとして設定される要求（および IM）をもつものです。
しかし、応答サイクルは Yahoo プロトコルの下でインスタント メッセージングがフィルタリングされるときにも関
係します。このプロトコルの下では、要求されたファイルが通常の Web トラフィックでファイルを転送するために
使用される応答と同じ種類の応答で、クライアントに転送されます。ファイルはサーバーに保管され、HTTP のもと
で、クライアントにより取得されます。たとえば、適切な URL を使用するなどです。
インスタント メッセージング クライアントと特定のプロトコルの下のプロキシとの間の通信に問題が発生した場合、
クライアントは別のプロトコルを使用して切り替え、このようにプロキシをバイパスすることもできます。クライア
ントは通常の Web トラフィックに対するプロトコルを使用することさえできます。アプライアンスのダッシュボー
ド上で、これは表示される IM トラフィックの減少と Web トラフィックの増大が導かれます。
セッションの開始
クライアントとサーバー間のインスタント メッセージング セッションの初期化中に、クライアントの要求はアプラ
イアンスでのみ受信できますが、応答を返信することはできません。この状態が続く限り、
IM.Message.CanSendBack プロパティはルールで使用されるときの値として false をもつことになります。
インスタント メッセージング トラフィックを完全にブロックしない限り、セッション初期化に関するブロッキング
ルールを施行しないことをお勧めします。必要なヘルパー接続を許可することも必要です。通常は、DNS 要求や
HTTP 転送が該当します。
認証されたユーザーのみを許可するなど、施行する制限はチャット メッセージやファイル転送など、セッション自体
が進行中の間のトラフィックに適用されます。
インスタント メッセージング フィルタリングのためのその他のネットワーク コンポーネントの構成
インスタント メッセージング フィルタリングのその他のネットワーク コンポーネントの構成の目的は、クライアン
トとサーバーの間で進行中のインスタント メッセージング トラフィックを、1 つ以上のインスタント メッセージン
グ プロキシを実行中のアプライアンスにリダイレクトすることです。
たとえば、ICQ プロトコルの下で、クライアントはホスト名 api.icq.net をもつサーバーに要求を送信します。イ
ンスタント メッセージング フィルタリングの場合は、ホスト名をアプライアンスの IP アドレスではなく、ICQ サ
ーバーの IP アドレスに解決しない DNS リダイレクト ルールを作成する必要があります。
同様に、ファイアウォール ルールを作成して、インスタント メッセージング トラフィックをインスタント メッセー
ジング サーバーではなく、アプライアンスにダイレクトすることができます。
Windows Live Messenger の下でのインスタント メッセージング トラフィックのフィルタリング
Windows Live Messenger プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリン
グを設定するとき、以下の知識が役立ちます。
インスタント メッセージング サーバーのホスト名は messenger.hotmail.com です。これは、インスタント メ
ッセージング プロキシをもつアプライアンスの IP アドレスによるリダイレクト ルールにより解決される必要がある
ホスト名です。
McAfee Web Gateway 7.2
製品ガイド
115
7
プロキシ
インスタント メッセージング
時々、クライアントは DNS ルックアップで解決されるホスト名を要求せずに、サーバーに接続します。この場合、
クライアント設定内の以下のレジストリ エントリーを検索し、削除することを助けます。
geohostingserver_messenger.hotmail.com:1863, REG_SZ
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
http://login.live.com
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
ICQ の下でのインスタント メッセージング トラフィックのフィルタリング
ICQ プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以下
の知識が役立ちます。
インスタント メッセージング サーバーのホスト名は次のようになります。
•
api.icq.net（サービス要求サーバー:AOL から独立
以来新規）
•
ars.oscar.aol.com（古いファイル転送プロキ
シ）
•
ars.icq.com（ファイル転送プロキシ:AOL から独立
以来新規）
•
login.icq.com（古いログオン手順の場合）
•
api.oscar.aol.com（古いサービス要求サーバー）
•
login.oscar.aol.com（古いログオン手順の場
合）
ICQ クライアントは、アプライアンスのインスタント メッセージング プロキシによりインターセプトできない暗号
化プロセスのサーバーにログオンします。
しかし、これ以降、ICQ クライアントはログオン後に受け取るマジック トークンを使用して、セッション サーバー
に関する情報をサービス要求サーバーに求めます。ここで、インスタント メッセージング プロキシがインターセプ
トします。フィルタリング プロセスはその後、セッション サーバーとの通信でクライアント名が発表された後で、
別のログオン手順を使用します。
ベンダー Yahoo クライアントとは対照的に、ベンダー ICQ クライアントは Internet Explorer 接続設定を無視し
ます。
Yahoo の下でのインスタント メッセージング トラフィックのフィルタリング
Yahoo プロトコルの下で進行中のインスタント メッセージング トラフィックのフィルタリングを設定するとき、以
下の知識が役立ちます。
要求が送信されるインスタント メッセージング サーバーのリストが非常に長くなることがあります。以下は使用さ
れている、または使用されたことがあるサーバーのホスト名のリストです。これまでに現れた新しいサーバーはリス
トに追加することが必要な場合があります。
116
•
vcs.msg.yahoo.com
•
scs.msg.yahoo.com
•
vcs1.msg.yahoo.com
•
scs-fooa.msg.yahoo.com
•
vcs2.msg.yahoo.com
•
scs-foob.msg.yahoo.com
•
scs.yahoo.com
•
scs-fooc.msg.yahoo.com
•
cs.yahoo.com
•
scs-food.msg.yahoo.com
•
relay.msg.yahoo.com
•
scs-fooe.msg.yahoo.com
McAfee Web Gateway 7.2
製品ガイド
プロキシ
インスタント メッセージング
•
relay1.msg.dcn.yahoo.com
•
scs-foof.msg.yahoo.com
•
relay2.msg.dcn.yahoo.com
•
scsd.msg.yahoo.com
•
relay3.msg.dcn.yahoo.com
•
scse.msg.yahoo.com
•
mcs.msg.yahoo.com
•
scsf.msg.yahoo.com
•
scs.msg.yahoo.com
•
scsg.msg.yahoo.com
•
scsa.msg.yahoo.com
•
scsh.msg.yahoo.com
•
scsb.msg.yahoo.com
7
サーバーへの正常なログオンを行うために、認証なしでクライアントは以下の URL にアクセスできなければなりま
せん。
•
http://vcs1.msg.yahoo.com/capacity
•
http://vcs2.msg.yahoo.com/capacity
このため、アプライアンスで施行された Web フィルタリング規則により使用されるホワイトリストにこの URL を
挿入する必要があります。
[インターネットに直接接続]オプションが Yahoo クライアントの設定の中で有効になっている場合でも、Internet
Explorer の接続設定を引き続き使用している場合があります。これが原因となり、プロセスの後の段階でログオン
が失敗することがあります。したがって、ホワイトリストに URL *login.yahoo.com* も挿入することをお勧め
します。
インスタント メッセージング フィルタリングの問題
インスタント メッセージング フィルタリングの問題には、たとえば、クライアントとサーバー間の接続や施行され
たフィルタリング ルールの適用などが含まれる場合があります。
キープアライブ データ パケットはインスタント メッセージ トラフィックの一部として定期的な間隔で送信され、通
信パートナーが引き続き接続され、応答可能であることを示します。IM プロトコルとクライアント ソフトウェアに
応じて、間隔は 20 ～ 80 秒間の間で変動します。これらのデータ パケットは、アプライアンスで施行されるフィル
タリング ルールにより処理されません。
トラブルシューティングの状況でそのようなデータ パケットを検出した場合、どのルールが引き続き実行されている
のかを確認するために、ルール エンジン トレーシング機能を使用することができます。
クライアントがサーバーにログインのために要求を送信するとき、適切な設定が行われている場合は、アプライアン
スにリダイレクトされます。しかし、クライアントは同時に、SSL セキュア認証を必要とする別のサーバーにログイ
ンを試みることもできます。これが失敗した場合、クライアントはアプライアンスへの接続を停止することもできま
す。
一部のクライアントはまた、サーバーへのログオンの失敗後に基本的なトラブルシューティング テストを実行するた
めのオプションも提供しています。
McAfee Web Gateway 7.2
製品ガイド
117
7
プロキシ
共通のプロキシ設定の構成
共通のプロキシ設定の構成
ネットワーク モードの特定の設定に加えて、共通のプロキシ設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、共通のプロキシ設定を構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
118 ページの「プロキシ設定 」
プロキシ設定
プロキシ設定は、アプライアンスで実施できるネットワーク モードの特定の機能および共通機能に使用されます。
ネットワーク設定
ネットワーク モードの実装の設定
ネットワーク モードが選択されると、これらの設定の下にこのモードの特定の設定が表示されます。
表 7-14 ネットワーク設定
オプション
定義
[プロキシ（オプション WCCP）] 選択すると、明示的プロキシ モードが使用されて、WCCP サービスは Web ト
ラフィックをアプライアンスにリダイレクトできます。
[プロキシ HA]
選択すると、高可用性機能を備えた明示的プロキシ モードが使用されます。
[透過型ルーター]
選択すると、透過型ルーター モードが使用されます。
[透過型ブリッジ]
透過型ブリッジ モードが使用されます。
HTTP プロキシ
HTTP プロトコルでアプライアンス上でプロキシを実行するための設定
このプロトコルは、Web ページおよびその他のデータ（高度なセキュリティのための SSL 暗号化も提供）の転送に
使用されます。
表 7-15 HTTP プロキシ
オプション
定義
[HTTP プロキシ]
選択すると、HTTP プロトコルでアプライアンス上でプロキシが実行されます
[HTTP ポート定義リスト]
クライアント リクエストをリスンするアプライアンスのポートのリスト
[FTP over HTTP の匿名ログイ
ン]
HTTP プロキシとして実行されるアプライアンスにより、FTP サーバーにリクエ
ストが送信されるときに、匿名ユーザーとしてログオンする場合のユーザー名
[FTP over HTTP の匿名ログイン ユーザー名上のパスワード
のパスワード]
118
McAfee Web Gateway 7.2
製品ガイド
プロキシ
プロキシ設定
7
FTP プロキシ
FTP プロトコルの下でアプライアンス上でプロキシを実行するための設定
このプロトコルは、制御機能とデータ転送のために個別の接続を使用して、ファイル転送に使用されます。
表 7-16 FTP プロキシ
オプション
定義
[FTP プロキシの有効にする]
選択すると、FTP プロトコルでアプライアンス上でプロキシが実行されます
[FTP ポート定義リスト]
クライアント リクエストをリスンするアプライアンスのポートのリスト
ICAP サーバー
ICAP クライアントとの通信でリクエストと応答を変更するアプライアンス上で ICAP サーバーとして実行するとき
の設定
表 7-17 ICAP サーバー
オプション
定義
[ICAP サーバーの有効にする] 選択すると、ICAP サーバーがアプライアンス上で実行されます。
[ICAP ポート定義リスト]
ICAP クライアントからのリクエストをリスンするアプライアンスのポートのリス
ト
Web キャッシュ
アプライアンスの Web キャッシュを有効にする設定
Web キャッシュを有効化するのに加えて、キャッシュの読み取りと書き込みを制御するルール セットを施行する必
要があります。
表 7-18 Web キャッシュ
オプション
定義
[キャッシュを有効にする]
選択すると、Web キャッシュがアプライアンス上で実行されます。
HTTP(S)、FTP、ICAP のタイムアウト
HTTP、HTTPS、FTP、ICAP プロトコルの下での接続時のタイムアウトの設定
表 7-19 HTTP(S)、FTP、ICAP のタイムアウト
オプション
定義
[初期接続のタイムアウト]
リクエストを受け取らない場合に、新しく開いた接続が閉じるまでの時間（秒）
[接続のタイムアウト]
未完了のリクエスト通信中にクライアントまたはサーバーがアクティブでない
場合、接続が閉じるまでの時間（秒数）
[クライアント接続タイムアウト]
クライアントへのプロキシとして実行中のアプライアンスからの接続が、リク
エスト間で閉じるまでの時間（秒）
[未使用の HTTP サーバーの最大ア サーバーへのプロキシとして実行中のアプライアンスからの接続が、リクエス
ト間で閉じるまでの時間（秒）
イドル時間]
DNS 設定
ドメインドメイン名サーバーとの通信の設定
McAfee Web Gateway 7.2
製品ガイド
119
7
プロキシ
プロキシ設定
表 7-20 DNS 設定
オプション
定義
[IP プロトコル バージョ 通信に使用される IP プロトコルのバージョンに関する情報
ンの設定]
•（バージョン オプション:）
• [受信接続と同じ ]— これが選択されると、受信接続ですでに使用中のプロトコル バ
ージョンが使用されます
• [IP4 ]— これが選択されると、IP プロトコルのバージョン 4 が使用されます
• [IP6 ]— これが選択されると、IP プロトコルのバージョン 6 が使用されます
• [フォールバックとしてその他のプロトコル バージョンを使用 ]— これが選択される
と、2 つのバージョンの 1 つが使用できない場合は、もう一方のプロトコル バージョ
ンが使用されます。
[DNS キャッシュの最小 キャッシュに保管されたデータが削除されるまでの最小時間（秒数）
TTL]
[DNS キャッシュの最大 ャッシュに保管されたデータが削除されるまでの最大時間（秒数）
TTL]
Yahoo
Yahoo プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行するための設定
表 7-21 Yahoo
オプション
定義
[Yahoo プロキシを有効にする]
これが選択されると、アプライアンスは Yahoo プロトコルの下でインスタン
ト メッセージングのプロキシとして実行されます
[リスナー アドレス]
クライアント リクエストをリスンするプロキシの IP アドレスとポート番号
[0.0.0.0:80 経由のファイル転送を これが選択されると、ファイル転送はこの IP アドレスとポートを使用できま
す
サポート]
[ログイン サーバー]
リクエストを送信する前にユーザーがログオンするサーバーのホスト名とポー
ト番号
[中継サーバー（日本）]
ファイル転送時に中継ステーションとして使用されるサーバーのホスト名とポ
ート番号
[Yahoo クライアント接続タイムア クライアントへのインスタント メッセージング プロキシが閉じるまでの時間
（秒）
ウト]
[Yahoo サーバー接続タイムアウト] サーバーへのインスタント メッセージング プロキシが閉じるまでの時間
（秒）
ICQ
OSCAR
（Open System for Communication in Real Time）プロトコルの下のインスタント メッセンジングの実
行のための設定
120
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
プロキシ設定
表 7-22 ICQ
オプション
定義
[ICQ プロキシを有効にす これが選択されると、アプライアンスは OSCARの下でインスタント メッセージングの
プロキシとして実行されます
る]
[ログインとファイル転送 ログオンとファイル転送を処理するインスタント メッセージング プロキシとポート番
プロキシ ポート]
号として実行中のアプライアンスの IP アドレス
• [追加ファイル転送プロキシ ポートを有効にする] — これを選択すると、ファイル転
送を処理するために追加ポートを使用できます
• [追加ファイル転送プロキシ ポート ]— ファイル転送を処理する追加の IP アドレス
とポート番号
[BOS リスナー ポート]
ファイル転送などとは反対に、チャット メッセージを含む BOS (Basic OSCAR
Service) リクエストをリスンするためのインスタント メッセージング プロキシがふっ
ジ yされるアプライアンスとポート番号の IP アドレス
[ICQ ログイン サーバー] リクエストを送信する前にユーザーがログオンするサーバーのホスト名とポート番号
[ICQ サービス リクエス
ト サーバー]
リクエストを処理するサーバーのホスト名とポート番号
[ICQ ファイル転送プロト ファイル転送を処理するサーバーのホスト名とポート番号
コル]
[ICQ クライアント接続タ クライアントへのインスタント メッセージング プロキシが閉じるまでの時間（秒）
イムアウト]
[ICQ サーバー接続タイム サーバーへのインスタント メッセージング プロキシが閉じるまでの時間（秒）
アウト]
Windows Live Messenger
Windows Live Messenger プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行す
るための設定
表 7-23 ICQ
オプション
定義
[Windows Live Messenger
プロキシを有効にする]
これが選択されると、Windows Live Messenger の下でインスタント メッセンジ
ャーのプロキシがアプライアンスで実行されます
[Windows Live Messenger
NS プロキシ リスナー 1]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレ
スとクライアント リクエストをリスンする 1 つ目のポートの番号
[Windows Live Messenger
NS プロキシ リスナー 2]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレ
スとクライアント リクエストをリスンする 2 つ目のポートの番号
[Windows Live Messenger
SB プロキシ ポート]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレ
スと SB
（Switchboard)モードでクライアント リクエストをリスンするポートの番
号
[Windows Live Messenger
クライアント接続タイムアウ
ト]
クライアントへのインスタント メッセージング プロキシが閉じるまでの時間（秒）
[Windows Live Messenger
サーバー接続タイムアウト]
サーバーへのインスタント メッセージング プロキシが閉じるまでの時間（秒）
XMPP
XMPP プロトコルの下でアプライアンス上でインスタント メッセージング プロキシを実行するための設定
これは、Google Talk、Facebook チャット、Jabber、その他のいくつかのインスタント メッセージング サービス
に使用されるプロトコルです。
McAfee Web Gateway 7.2
製品ガイド
121
7
プロキシ
プロキシ設定
表 7-24 XMPP
オプション
定義
[XMPP プロキシを有効にす
る]
これが選択されると、XMPP プロトコルの下でインスタント メッセージングのプロ
キシがアプライアンスで実行されます
[プロキシ ポート]
インスタント メッセージング プロキシが実行されるアプライアンスの IP アドレス
と XMPP プロトコルの下で送信されるリクエストをリスンするポートの番号
[クライアント接続タイムアウ クライアントへのインスタント メッセージング プロキシが閉じるまでの時間（秒）
ト]
[サーバー接続のタイムアウ
ト]
サーバーへのインスタント メッセージング プロキシが閉じるまでの時間（秒）
詳細設定
プロキシ機能の詳細設定
表 7-25 詳細設定
オプション
定義
[クライアント接続の最大数]
ライアントへのプロキシとして実行されるアプライアンスからの接続最大数
0 を指定すると、最大数が設定されないことを意味します。
[稼働中のスレッド数]
Web オブジェクトのフィルタリングと送信用のプロキシとしてアプライアンス
が実行されるときに使用されるスレッド数
[AV スキャンのスレッド数]
ウイルスおよびその他のマルウェアによる感染について、プロキシとしてアプ
ライアンスが実行されるときに Web オブジェクトをスキャンするために使用さ
れるスレッド数
[TCP 遅延なしを使用]
これを選択すると、データ パケットをアセンブリするために、Nagle アルゴリ
ズムをを使用しないことによってプロキシ接続の遅延を回避します。
このアルゴリズムは、指定された量のデータが収集されるまで、パケットが送
信されないようにします。
[DNS キャッシュの最大 TTL 秒
数]
DNS キャッシュにホスト名情報を保管する最大時間（秒数）
[長時間接続によるタイムアウト
エラー（分単位）]
エラーのためにアクティブでない長時間接続が閉じるまでの時間
（分）
[長時間実行している接続の確認間 長時間実行している接続で送信される確認メッセージの間隔（分単位）
隔（分単位）]
[内部パス ID]
エラー メッセージを表示するスタイル シートのリクエストなど、内部リクエス
ト（クライアントから受信するリクエストでない）を転送するためにアプライ
アンスが使用するパスの ID
[本文を含めることができない応答 これが選択されると、ICAP プロトコル下の通信で送信される応答は、本文を含
で RESPmod をバイパスする]
まない場合に RESPMOD モードに従って変更されません
[エラー テンプレートで埋め込ま これが選択されると、アプライアンスで実装されるログ ハンドラーのルール セ
れる進行状況更新とオブジェクト ットは、指定された更新とオブジェクトを扱うように処理されます。
のコール ログ ハンドラー]
[プロキシを使用するローカル ポ
ートを通じた接続を許可する]
これが選択されると、ローカル ポートはプロキシとして実行中のアプライアン
スでのリクエストに使用できます。
[プロキシを使用するローカル ポ
ートを通じた接続を許可する]
これが選択されると、HTTP または HTTPS プロキシとして実行中のアプライア
ンスで受信するリクエストから、ホップバイホップのヘッダーが削除されます。
[HTTP(S):すべてのホップバイホ これが選択されると、HTTP または HTTPS プロキシとして実行中のアプライア
ンスで受信するリクエストから、ホップバイホップのヘッダーが削除されます。
ップのヘッダーを削除する]
122
McAfee Web Gateway 7.2
製品ガイド
プロキシ
リバース HTTPS プロキシ
7
表 7-25 詳細設定 (続き)
オプション
定義
[HTTP(S):プロキシ ループを検出 これが選択されると、HTTP または HTTPS プロキシとして実行されるアプライ
するためにヘッダーを通じて検査 アンスで受信したリクエストで、ループを検出するために、ヘッダーを通じた
検査が行われます
する]
[HTTP(S):ホスト ヘッダーよりも これが選択されると、HTTP または HTTPS プロキシとして実行中のアプライア
優先される絶対 URL からのホス ンスで受信されるリクエストで、絶対 URL に対応するホスト名が、リクエスト
ヘッダーに含まれるホスト名よりも優先されます
ト]
リバース HTTPS プロキシ
リバース HTTPS プロキシ構成を使用して、クライアントが、マルウェアや特定のメディア タイプなどの不必要なデ
ータを HTTPS プロトコルの下で、Web サーバーにアップロードできないようにすることができます
この構成で、HTTPS トラフィックはプロキシが実行されているアプライアンスにリダイレクトされます。それは検
査され、最終的にアプライアンスで施行されたルールに従って、転送またはブロックされます。
以下のようにこれを構成することができます。
•
透過型ブリッジまたはルーターをセットアップします
•
特定の Web サーバーへのアクセスがリクエストされるときに、アプライアンスを直接ポイントする DNS をセッ
トアップします
アプライアンスへのリダイレクションはまた、CONNECT ヘッダーの使用に依存するプロキシ認識接続を構成するこ
とによっても達成できます。
しかし、この方法では受信リクエストのヘッダーを整理するために追加ネットワーク デバイスが必要となります。し
たがって、お勧めしません。
ネットワークを構成するのに加え、SSL 証明書の処理を構成する必要があります。
任意に、リバース HTTPS プロキシのスムーズな操作を確保するために、SSL 関連でない追加の設定を構成できま
す。
透過型ブリッジまたはルーター モードの HTTPS トラフィックのリダイレクト
透過型ブリッジまたはルーター モードでは、ポート リダイレクト ルール（ポート転送ルールとも呼ばれる）を使用
して HTTPS トラフィックをアプライアンスのプロキシ ポートに仕向けることができます。
リダイレクトされたリクエストは SSL セキュア通信として取り扱われるように保証する必要もあります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、トラフィックをリダイレクトするアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[ネットワーク設定]セクションで、[透過型ブリッジ]（または[透過型ルーター]）を選択してください。
特定の透過型ブリッジ（またはルーター）設定のセクションが表示されます。
4
[ポート転送]の[追加]をクリックします。
[ポート転送の追加]ウィンドウが開きます。
McAfee Web Gateway 7.2
製品ガイド
123
7
プロキシ
リバース HTTPS プロキシ
5
新しいポート転送ルールに対して、以下のとおり構成します。
•
[プロトコル名] — HTTP
この設定により、HTTP および HTTPS プロトコルの両方の接続が対象になります。
•
[元の宛先ポート] — 443
リクエストの宛先となる Web サーバーが HTTP プロトコルでも同様に到達できる場合、ここにポート 80 を
追加できます（カンマで区切る）。このタイプのトラフィックはまた、アプライアンスにも仕向けられます。
•
[宛先のプロキシ ポート] — 9090
これは、アプライアンスのデフォルト プロキシ ポートです。
6
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいルールが表示されます。
7
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
8
9
以下の項目が構成されていることを確認してください。
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — 443
ほかの設定はデフォルト値のままにして、[OK]をクリックします。
ウィンドウが閉じ、リストに新しい HTTP プロキシ ポートが表示されます。
10 [変更の保存]をクリックします。
アプライアンスに、DNS エントリーによりリダイレクトされたリクエストをリ
スンさせる
HTTPS プロトコル下のリクエストが DNS エントリーに従ってアプライアンスにリダイレクトされる場合、アプライ
アンスのプロキシを適切なポートで直接リスンするように設定できます。また、SSL セキュア接続のみが有効になる
ようにする必要もあります。
開始する前に
アプライアンスをこのような方法で構成する場合、以下の点を確認してください。
• アプライアンスが DNS ルックアップを行うとき、要求された Web サーバーのホスト名がアプライ
アンスに解決されません。
このことは、アプライアンスの /etc/hosts ファイルに Web サーバーの IP アドレスを直接入力す
るか、適切に構成された内部 DNS サーバーを使用することにより、行うことができます。
•
コンテンツの検査を処理するルール セットがアプライアンスに施行され、有効に設定あｓれます。
SSL スキャナー ルール セットのネストされたルール セットとして、デフォルトのルール セットで
適切なルール セットが指定されます。
DNS エントリーを使用するとき、ポート転送ルールの目的はほかの宛先のリクエストをアプライアンスに転送する
ことなので、ポート転送ルールは適用できません。しかし、DNS エントリーのため、アプライアンスはすでに宛先
となります。
また、SSL セキュア接続のみが有効になるようにする必要もあります。
124
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
リバース HTTPS プロキシ
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、リクエストをリスンするアプライアンスを選択し、[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]を選択します。
3
[HTTP プロキシ ポート]の下で、[HTTP プロキシを有効にする]が選択されていることを確認し、[追加]をクリッ
クします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
4
新しい HTTP プロキシ ポートの転送ルールに対して、以下のとおり構成します。
•
[リスナー アドレス ]— 0.0.0.0:443
この設定により、アプライアンスは IP アドレスにかかわらず、任意の Web サーバーのリクエストをリスン
するようになります。ここに特定の IP アドレスを指定して、該当するサーバーのリクエストをリスンするア
プライアンスに限定することもできます。
複数のネットワーク インターフェース カードをアプライアンス上で実行している場合、ネットワーク インタ
ーフェース カードと同じ数だけの Web サーバーを、IP アドレスをカンマで区切って指定できます
5
•
[透過型 SSL 接続を設定] — 選択済み
•
[SSL として扱われるポート] — *
ほかの設定はデフォルト値のままにして、[OK]をクリックします。
ウィンドウが閉じ、リストに新しいプロキシ ポートが表示されます。
Web サーバーが HTTPS プロトコルでアクセスできるように設定されている場合は、リスナー アドレス
0.0.0.0:80 または特定の Web サーバーのアドレスをもつ別の HTTP プロキシを追加する必要があります。
6
[変更の保存]をクリックします。
リバース HTTPS プロキシ構成の SSL 証明書
リバース HTTPS プロキシ構成は通常、クライアントによる不必要なデータのアップロードに対して、制限された数
の Web サーバーを保護するようにセットアップされます。これらのサーバーの SSL 証明書をインポートし、それら
をアプライアンス構成に追加する必要があります。
リバース HTTPS プロキシ構成では、アプライアンスは SSL セキュア モードでクライアントと通信します。しかし、
SSL ハンドシェイク中にアプライアンスがクライアントに送信した SSL 証明書は、SSL Scanner モジュールでは
発行できません。したがって、アプライアンスは、クライアントがアクセスをリクエストしている Web サーバーの
元の証明書を使用します。
SSL クライアント コンテンツの設定を構成するときに、これらの証明書をインポートできます。
アプライアンスはクライアントに送信するための適切な証明書を見つけるために、いくつかの方法を使用します。
クライアントを送信するための証明書の選択
指定された状況で、どの証明書を送信するかを確認するために、アプライアンスはインポートされた証明書のリスト
をスキャンします。このリストで、証明書は、それらが属する Web サーバーのホスト名にマップされます。アプラ
イアンスは、クライアントがアクセスをリクエストしたホストの名前にマップされる証明書を送信します。
明示的プロキシ セットアップで、このホスト名は CONNECT リクエストのヘッダーで送信され、アプライアンスに
認識されます。
McAfee Web Gateway 7.2
製品ガイド
125
7
プロキシ
リバース HTTPS プロキシ
透過型セットアップでは、アプライアンスはホスト名を検出するために、以下の方法を使用します。
•
クライアントが SNI 拡張を送信する場合、ホスト名は明示的プロキシ構成でそれを検出するのと同様の方法で見
つけることができます。
•
クライアント リクエストが DNS エントリーに従ってアプライアンスにリダイレクトされる場合、ホスト名は転
送を構成するときに指定される IP アドレスにより判明します。
この場合、アプライアンスがリスンするように構成されたすべての IP アドレスに対する適切な値に、URL.Host
プロパティを設定するというルールで、ルール セットを作成することも必要になります。これにより、アプライ
アンスはフィルタリングまたは許可されたときに、リクエストを転送する場所を知ることができます。
•
透過型セットアップが DNS エントリーによるリダイレクションを使用しない場合、アプライアンスはハンドシ
ェイク メッセージをクライアントがリクエストした Web サーバーに送信し、Web サーバーから受信した証明書
から共通名を抽出し、この共通名を使用して、適切なホスト名を検出します。
この方法では、アプライアンスと Web サーバーも SSL セキュア モードで通信することを必要とします。このモ
ードが使用されることを保証するために、アプライアンスの設定を構成することができます。
リバース HTTPS プロキシ構成での SSL 証明書設定の作成
これらの設定を構成する場合、リバース HTTPS プロキシ構成で Web サーバーに使用される SSL 証明書の設定を作
成し、証明書をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA なしで SSL クライアント コンテキストを有効にする]を選択します。
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、追加する設定の名前を入力します。たとえば、Imported web server certificates
などです。
5 ［オプション］[コメント] フィールドで、設定の平文コメントを入力します。
6 ［オプション］[権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[SSL クライアント コンテキストの定義（証明書認証なし）]セクションで、設定パラメーターを構成します。
a
インライン リスト[ホストまたは IP によりサーバー証明書を選択する]のツールバーで、[追加]をクリックし
ます。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[インポート]をクリックし、[サーバー証明書のインポート] ウィンドウのオプションを追加して、Web サー
バーの SSL 証明書をインポートます。
c
必要に応じて[証明書マッピングへのホストの追加]ウィンドウのその他パラメーターを構成します。
d
[OK]をクリックします。
ウィンドウが閉じ、SSL 証明書を Web サーバーのホスト名にマッピングする新しいエントリがインライン
リストに表示されます。
e
126
より多くのマッピング エントリをインライン リストに追加する場合、サブステップ a から d を繰り返しま
す。
McAfee Web Gateway 7.2
製品ガイド
プロキシ
リバース HTTPS プロキシ
f
7
Web サーバーへの接続が SSL セキュアか否かに従って、[SSL Scanner 機能はクライアント接続にのみ適
用]を選択または選択解除します。
この接続を保護しない場合、HTTPS から HTTP へネットワーク プロトコルを変更するルールを作成する必要
があります。
g
必要に応じて SSL クライアント コンテキストのその他設定パラメーターを構成します。
h
[OK]をクリックします。
[設定の追加]ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
8
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
9
[変更の保存]をクリックします。
デフォルト ルール セット システムの、SSL スキャナー ルールで提供されるクライアント コンテキスト設定のた
め、ルールのこれらの設定を使用できます。
リバース HTTPS プロキシ構成での URL.Host プロパティの設定
クライアント リクエストが リバース HTTPS プロキシ構成の DNS エントリーによりアプライアンスにリダイレク
トされる場合、転送要求するアプライアンスに Web サーバーの IP アドレスを URL.Host プロパティの値としてセ
ットする必要があります。
リクエストのフィルタリングが許可される結果を導いた後で、アプライアンスは要求された Web サーバーにそれを
転送するために、リクエストと共に送信された URL.Host プロパティを使用します。
リクエストが DNS エントリーに従ってリダイレクトされる場合、Web サーバーは IP アドレスでアプライアンスに
認識されます。URL.Host プロパティが値として Web サーバーの IP アドレスをもつ場合、アプライアンスはリク
エストを適切な宛先に転送します。
URL.Host プロパティの値を IP アドレスに設定することは、ルールによって行うことができます。アプライアンス
がリクエストを転送する各 Web サーバーに対してそのようなルールを作成する必要があります。
これらのルールは、独自のルール セットに含むことができます。
タスク
•
127 ページの「URL.Host プロパティの設定のためのルール セットの作成 」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セ
ットを作成できます。
•
128 ページの「URL.Host プロパティを設定するためのルールの作成 」
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
URL.Host プロパティの設定のためのルール セットの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールとともに、ルール セットを作成で
きます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
McAfee Web Gateway 7.2
製品ガイド
127
7
プロキシ
リバース HTTPS プロキシ
4
[名前]の下で、新しいルール セットに適した名前を入力します。たとえば、[Set value of URL.Host to IP
address]などです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の[リクエストと IM] を選択します。
7
[このルール セットを適用]の[常に]を選択します。
8
[オプション][コメント]の下に、ルール セットに関する平文テキストのコメントを入力します。
9 ［オプション］[権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
URL.Host プロパティを設定するためのルールの作成
URL.Host プロパティの値として Web サーバーの IP アドレスを設定するルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、新しいルールを作成したルール セットを選択します。たとえば、[Set value of
URL.Host to IP address]などです。
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、URL.Host の値を 10.141.101.51 を設定するなど、新しいルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のとおり、ルール条件を構成します。
a
左列のプロパティのリストから、[URL.Destination.IP] を選択します。
b
中央列のオペレーターのリストから、[イコール]を選択します。
c
右列の[比較]の下の演算子フィールドに「、IP アドレスを入力します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[続行]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[プロパティ
の値を設定]を選択します。
[プロパティ設定の追加]ウィンドウが開きます。
10 プロパティは以下のとおりセットします。
a
[このプロパティのセット]の下で、[URL.Host]を選択します。
b
[この文字列の結合]の下で、[追加]をクリックします。
[文字列を入力してください]ウィンドウが開きます。
128
McAfee Web Gateway 7.2
製品ガイド
7
プロキシ
リバース HTTPS プロキシ
c
[パラメーター値)]フィールドで、このルールで使用する IP アドレスを持つ Web サーバーのホスト名を入力
します。
d
[OK]をクリックします。
ウィンドウが閉じ、ホスト名が[プロパティ設定の追加]ウィンドウに表示されます。
11 [OK]をクリックします。
ウィンドウが閉じ、URL.Host プロパティを設定するイベントが[イベント]の下に表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、値の設定ルールで作成したルール セット内に新しいルールが表示されます。
13 作成するその他すべての値設定ルールに対して、ステップ 3 ～ 12 を繰り返してください。
14 [変更の保存]をクリックします。
リバース HTTPS プロキシ構成のための完全なオプション アクティビティ
ネットワーク設定と SSL 証明書の取り扱いを構成するのに加えて、いくつかのほかのアクティビティを行い、リバ
ース HTTPS プロキシのスムーズな操作を保証することができます。
•
プロキシ ループ検出のアクティブ化解除
•
アプライアンス ポートへのアクセス制限
•
Web サーバーへのアクセス制限
•
複数 Web サーバーへの対応
タスク
•
129 ページの「プロキシ ループ検出のアクティブ化解除 」
アプライアンスは、クライアント リクエストの［経由］ヘッダーを評価することで、プロキシ ループを
検出できます。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお
勧めします。
•
130 ページの「アプライアンス ポートへのアクセス制限 」
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユー
ザー インターフェースとファイル サーバー設定を適宜、構成する必要があります。
•
130 ページの「Web サーバーへのアクセス制限 」
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、
制限された数の特定の Web サーバーを保護することです。したがって、この構成のためには、これらの
サーバーのみにアクセスを許可し、他のサーバーはブロックする必要があります。
•
133 ページの「複数 Web サーバーへの対応 」
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリク
エストを転送します。
プロキシ ループ検出のアクティブ化解除
アプライアンスは、クライアント リクエストの［経由］ヘッダーを評価することで、プロキシ ループを検出できま
す。リバース HTTPS プロキシ構成でこの検出プロセスのアクティブ化を解除することをお勧めします。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、プロキシ ループ検出のアクティブ化を解除するアプライアンスを選択し[プロキシ
(HTTP(S)、FTP、ICAP、および IM)]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
129
7
プロキシ
リバース HTTPS プロキシ
3
[詳細設定]セクションで、[HTTP(S):プロキシ ループ検出のために、経由ヘッダーを検査]の選択を解除します。
4
[変更の保存]をクリックします。
アプライアンス ポートへのアクセス制限
リバース HTTPS プロキシ構成で、アクセスはアプライアンスのプロキシ ポートに制限されます。ユーザー インタ
ーフェースとファイル サーバー設定を適宜、構成する必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ポート アクセスを制限するアプライアンスを選択し、[ユーザー インターフェース]
を選択します。
3
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート（デフォルト: 9090)。
4
[ファイル サーバー]を選択します。
5
[HTTP コネクター ポート]の下で、アプライアンスのプロキシ ポート（デフォルト: 9090)。
6
[変更の保存]をクリックします。
Web サーバーへのアクセス制限
リバース HTTPS プロキシ構成の目的は、クライアントからの不必要なデータ アップロードに対して、制限された数
の特定の Web サーバーを保護することです。したがって、この構成のためには、これらのサーバーのみにアクセス
を許可し、他のサーバーはブロックする必要があります。
他のサーバーへのアクセスがリクエストされ、ブロックされたら、アプライアンスにこれらの接続を閉じさせること
もお勧めします。
制限付きアクセス:
•
保護する Web サーバーのリストを作成します
•
ブロック ルールのルール セットを作成します
•
他の Web サーバーへのアクセスをブロックし、リクエストをブロックした後でクライアントの接続を閉じるルー
ルを作成します
タスク
130
•
131 ページの「保護された Web サーバー リストの作成 」
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
•
131 ページの「ブロック ルールのルール セットの作成 」
リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックするルールのルール セットを
作成できます。
•
132 ページの「Web サーバーへのアクセスをブロックするルールの作成 」
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサ
ーバーへのアクセスをブロックするルールを作成できます。
McAfee Web Gateway 7.2
製品ガイド
プロキシ
リバース HTTPS プロキシ
7
保護された Web サーバー リストの作成
リバース HTTPS プロキシ構成で保護するサーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 保護された Web サーバーなど
• ［オプション］[コメント ]— 新しいリストに関するテキスト形式のコメント
•
[タイプ ]— ワイルドカード式
4 ［オプション］権限タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [WildcardExpression] の下のリスト ツリーに表
示されます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
7
保護する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで区
切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
ブロック ルールのルール セットの作成
リバース HTTPS プロキシ構成の Web サーバーへのアクセスをブロックするルールのルール セットを作成できま
す。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートします。
3
ツリーの上の[追加]をクリックし、[ルール セット]を選択します。
[新しいルール セットの追加]ウィンドウが開きます。
4
[名前]の下で、新しいルール セットの名前を入力します。たとえば、リバース HTTPS プロキシ構成で Web サ
ーバーをブロックするなどです。
5
[有効にする]が選択されていることを確認します。
6
[適用先]の下で、[リクエストと IM]を選択します。
McAfee Web Gateway 7.2
製品ガイド
131
7
プロキシ
リバース HTTPS プロキシ
7
[このルール セットを適用]の[次の条件に該当する場合に適用する]を選択します。[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
8
以下のとおり、ルール セット条件を設定します。
a
[プロパティ] リストから、[URL.Protocol]を選択します。
b
[演算子]リストから、[等しい] を選択します。
c
[オペランド]で、https と入力します。
d ［オプション][コメント ]で、新しいルール セットに平文テキストのコメントを入力します。
9 ［オプション］[権限]タブをクリックして、ルール セットへのアクセスが許可されるユーザーを構成します。
10 [OK]をクリックします。
ウィンドウが閉じ、新しいルール セットがルール セット ツリーに表示されます。
Web サーバーへのアクセスをブロックするルールの作成
Web サーバーがリバース HTTPS プロキシ構成で保護されたサーバーのリストにないとき、これらのサーバーへのア
クセスをブロックするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ブロック ルールに作成するルール セットを選択します。たとえば、[リバース
HTTPS プロキシ構成で Web サーバーをブロックする]です。
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、ルールの名前を入力します。たとえば、保護された Web サーバーにのみアクセスを許可
するです。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のとおり、ルール条件を構成します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーターのリストから、[リストで一致する]を選択します。
c
右列の演算子のリストから、構成する Web サーバーを選択します。たとえば、[保護された Web サーバー]
などです。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックし、[ブロック]を選択して、このアクションのデフォルト設定をそのまま使用します。
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[イベント]
を選択します。
[イベントの追加]ウィンドウが開きます。
132
McAfee Web Gateway 7.2
製品ガイド
プロキシ
リバース HTTPS プロキシ
7
10 イベントを次の手順で構成します。
a
[イベント] リストから、[解決方法を有効にする]を選択します。
b
[設定リスト]から、[クライアントとの接続を維持しない]を選択します。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じ、作成した新しいルール セット内にルールが表示されます。
13 [変更の保存]をクリックします。
複数 Web サーバーへの対応
アプライアンスは、負荷分散を達成し、冗長性を確保するために、種々の Web サーバーに連続的なリクエストを転
送します。
これを行うためには、
•
ルール セット ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートする
•
次のホップ プロキシ リストを作成する
•
次のホップ プロキシ設定の作成
•
保護されたサーバーのリストの Web サーバーが要求されたときに、リストと設定を使用し、「次のホップ プロキ
シを有効にする」イベントをトリガーするルールを作成します
リストは保護サーバーのリストも使用します。このリストに対して、これらのサーバーへのアクセスを制限する
ために作成されたリストを使用できます。
タスク
•
133 ページの「次のホップ プロキシ リストを作成する 」
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ
プロキシとしてアドレス指定される Web サーバーのリストを作成できます。
•
134 ページの「次のホップ プロキシ設定の作成 」
保護された Web サーバー リストからサーバーが要求されたときに、「ネクスト ホップ プロキシを有効
にする」イベントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
•
135 ページの「
「ネクスト ホップ プロキシを有効にする」イベントのルールの作成 」
保護されたサーバーのリストの Web サーバーが要求されたときに、「ネクスト ホップ プロキシを有効
にする」イベントをトリガーするルールを作成できます。
次のホップ プロキシ リストを作成する
適切なルールが「ネクスト ホップ プロキシを有効にする」イベントをトリガーするときに次のホップ プロキシとし
てアドレス指定される Web サーバーのリストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの上で、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
McAfee Web Gateway 7.2
製品ガイド
133
7
プロキシ
リバース HTTPS プロキシ
3
リストに以下の設定を構成します。
•
[名前] — リストの名前、たとえば、 次のホップ プロキシとして保護された Web サーバーなど
• ［オプション］[コメント] — 新しいリストに関するテキスト形式のコメント。
•
[入力] — NextHopProxy
4 ［オプション］[権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
5
[OK]をクリックします。
このウィンドウは閉じ、新しいリストが[カスタム リスト] 、 [NextHopProxy]の下のリスト ツリーに表示され
ます。
6
エントリをリストに入力するには、設定パネルの上の[追加]をクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
複数のエントリを一度に追加するためには、[複数を追加]をクリックします。
7
解決する Web サーバーの URL に一致するワイルドカード式を 1 つ以上入力します。複数エントリはカンマで区
切ります。
8
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいエントリが表示されます。
9
[変更の保存]をクリックします。
次のホップ プロキシ設定の作成
保護された Web サーバー リストからサーバーが要求されたときに、「ネクスト ホップ プロキシを有効にする」イベ
ントをトリガーするルールのネクスト ホップ プロキシ設定を作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ネクスト ホップ プロキシを有効にする]を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
以下の設定パラメーターを構成します。
•
[名前] — 設定名、たとえば、 保護された Web サーバーなど
• （オプション）[コメント ]— 新しい設定に関するテキスト形式のコメント
4
5
[ネクスト ホップ プロキシ サーバーー]で、次のように構成します。
a
[ネクスト ホップ プロキシ サーバーのリスト]から、作成したネクスト ホップ プロキシ リストを選択しま
す。たとえば、ネクスト ホップ プロキシとして保護された Web サーバーーなどです。
b
[ラウンド ロビン]が選択されていることを確認してください。
c
[プロキシ スタイル リクエスト]の選択を解除します。
[OK]をクリックします。
ウィンドウが閉じ、新しい設定が設定ツリーに表示されます。
6
134
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
プロキシ
リバース HTTPS プロキシ
7
「ネクスト ホップ プロキシを有効にする」イベントのルールの作成
保護されたサーバーのリストの Web サーバーが要求されたときに、「ネクスト ホップ プロキシを有効にする」イベ
ントをトリガーするルールを作成できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、[ネクスト ホップ プロキシ] ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[ルールの追加]をクリックします。
[ルールの追加]ウィンドウが選択した[名前]ステップとともに開きます。
4
[名前]フィールドで、たとえば、保護された Web サーバーをネクスト ホップ プロキシとしてアドレス指定す
る などのルールの名前を入力します。
5
[ルール条件]を選択し、[以下の条件に一致する場合]、[追加]をクリックします。
[条件の追加]ウィンドウが開きます。
6
7
以下のとおり、ルール条件を構成します。
a
左列のプロパティのリストから、[URL.Host] を選択します。
b
中央列のオペレーやーのリストから、[リストで一致しない]を選択します。
c
右列の演算子のリストから、構成した Web サーバー リストを選択し、[保護された Web サーバー]など、こ
れらのサーバーへのアクセスを制限します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
8
[アクション]をクリックして、デフォルトの[続行]のままにします。.
9
[イベント]をクリックし、それから[追加]をクリックして、表示されたドロップダウン メニューから[イベント]
を選択します。
[イベントの追加]ウィンドウが開きます。
10 イベントを次の手順で構成します。
a
[イベント] リストから、[ネクスト ホップ プロキシを有効にする]を選択します。
b
[設定]リストから、このルールに構成した設定を選択します。たとえば、[保護された Web サーバー]などで
す。
11 [OK]をクリックします。
ウィンドウが閉じて、[イベント]の下に新しいイベントが表示されます。
12 [完了]をクリックします。
[ルールの追加]ウィンドウが閉じて、新しいルールがネクスト ホップ プロキシ ルール セットに表示されます。
13 [変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
135
7
プロキシ
プロキシ自動構成
プロキシ自動構成
クライアントの Web ブラウザーのアプライアンスで 1 つ以上のプロキシ自動設定（PAC）ファイルを利用可能にす
ることができます。ブラウザーは、特定の Web ページにアクセスできるようにするプロキシを検索するために、そ
れらを使用できます。
プロキシ自動構成ファイルのファイル拡張子は通常、.pac です。アプライアンスにいくつか設定できます。たとえ
ば、「proxy.pac」や「webgateway.pac」などです。
プロキシ自動構成ファイルが WPAD (Web Proxy Auto-Discovery) プロトコルに準拠している場合、ファイル名は
「wpad.dat」になります。したがって、アプライアンスには 1 度しか存在できません。
.pac ファイルを使用可能にする
プロキシー自動構成に対してクライアントのブラウザーに「.pac」ファイルを使用可能にします。
タスク
1
アプライアンスの「/opt/mwg/files」フォルダーに「.pac」ファイルを保管します。
2
ブラウザーを開始し、ネットワーク構成設定に進みます。
3
[接続]セクションで、[設定]をクリックします。
4
[自動プロキシー構成 URL]を選択し、「 .pac」ファイルのパスとファイル名を入力します。
たとえば、以下のように使用します。
http://mwgappl.webwasher.com:4711/files/proxy.pac
クライアントにファイルをダウンロードするための専用ポートを使用させたい場合、このポートを最初に構成す
る必要があります。
専用ポートが使用されない場合、クライアントはユーザー インターフェースに対して HTTP ポートに仕向けられ
ます（デフォルトのポート番号は 4711 です）。
5
[OK]をクリックします。
wpad.dat ファイルをダウンロードするルールの作成
クライアントの Web ブラウザーにより wpad.dat のダウンロードを有効にするためには、アプライアンスの適切な
ポートにダウンロード リクエストを転送するルールを構成する必要があります。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、wpad.dat ファイルを作成するアプライアンスを選択し、[ポート転送]をクリックし
ます。
3
[ポート転送ルール]の[追加]をクリックします。
[AppliancePortForwarding の追加]ウィンドウが開きます。
4
136
ポート転送ルールが以下のとおりの設定で構成されます。
•
[ソース ホスト] — 0.0.0.0
•
[ターゲット ポート] — 80
McAfee Web Gateway 7.2
製品ガイド
プロキシ
Helix プロキシの使用
•
[宛先ホスト ]— 127.0.0.1
•
[宛先ポート] — <ファイル ダウンロード ポート>
7
<ファイル ダウンロード ポート>として、ユーザー インターフェースの HTTP ポート（デフォルト:4711）
または構成された専用ポートのいずれかを入力します。
5
[OK]をクリックします。
ウィンドウが閉じて、リストにルールが表示されます。
wpad ホストの自動検出の構成
wpad.dat ファイルが保管されるホストとして、Web ブラウザーにアプライアンスを検索するために自動検出を使
用させます。
タスク
1
Web ブラウザーを開始し、ネットワーク構成設定に進みます。
2
[接続]セクションで、[設定]をクリックします。
3
[このネットワークの自動検出プロキシ設定]を選択します。
4
[OK]をクリックします。
Helix プロキシの使用
Helix プロキシ－は、リアルタイム ストリーミング データを取り扱うサードパーティのプロキシです。
これはアプライアンスのユーザー インターフェースから最初にアクセスされませんが、管理システムにより提供され
たものなど、コマンド ライン インターフェースからアクセスできます。
Helix プロキシにアクセスした後で、固有のユーザー インターフェースのプロキシを管理できます。
Helix プロキシの使用の構成
コマンド ライン インターフェースから、Helix プロキシの使用を構成できます。
タスク
1
コマンド ライン インターフェースで、Helix プロキシのアクティベーション コマンドを入力します。
このコマンドは、以下のようなことが実行可能です。
service helix-proxy activate
初期管理者アカウントのユーザー名とパスワードを入力するように求められます。
2
両方を入力します。
Helix プロキシが開始します。
開始後に、アプライアンスの「 /opt/helix-proxy」フォルダーのプロキシの構成ファイルを検索でき、必要
に応じて個別に修正できます。
3
以下のコマンドとともに Helix プロキシのユーザー インターフェースを接続します。
http://<Helix プロキシの IP アドレス>:21774/admin/index.html
ユーザー インターフェースがログオン ウィンドウに表示されます。
McAfee Web Gateway 7.2
製品ガイド
137
7
プロキシ
セキュア ICAP
4
ステップ 2 のユーザー名とパスワードを入力します。
ログオンが成功したら、プロキシのユーザー インターフェースが使用できるようになります。
5
必要に応じて、Helix プロキシの詳細構成のためこのインターフェースを使用します。
6
リアル プレイヤー アプリケーションを構成して、プロキシとしてアプライアンスを使用します。
以下のような方法でこれを完了します。
a
リアル プレイヤーを開始します。
b
ユーザー インターフェースで、プロキシ設定に進みます。
c
例えば、[RTSP]
（Real-Time Streaming Protocol）フィールドなどの適切な入力フィールドで、ポート番号
として 554 をもつアプライアンスの IP アドレスを入力します。
セキュア ICAP
アプライアンスが ICAP プロトコルの下でサーバーとクライアントのロールをとるとき、コミュニケーションを
SSL セキュア モードで実行できます。
このモードを使用するために、クライアントからの SSL セキュア リクエストを受け取るアプライアンスの各 ICAP
ポートのサーバー証明書をインポートする必要があります。クライアントは、証明書を送信する必要はありません。
ICAP サーバーに対して ICAP クライアントとしてのロールのアプライアンスから仕向けられるリクエストには、そ
のサーバーとの SSL セキュア通信を有効にするために、サーバー アドレスに仕様として ICAPS を含める必要があ
ります。
アプライアンスはクライアント証明書を ICAP サーバーに送信しません。
XMPP プロキシ
アプライアンスのインスタント メッセージ通信をフィルタリングするとき、使用できるメソッドの 1 つは、XMPP
(拡張されたメッセージングおよび存在の有無に関するプロトコル) の下でプロキシをセットアップすることです。
このプロトコルは、Jabber の名前でも知られます。たとえば、Facebook チャットや Google トークに参加する際
に XMPP クライアントとサーバーの間で行き来するために使用されます。
[構成] 、 [プロキシ] の下でユーザー インターフェースの XMPP プロキシの設定を構成できます。
SSL スキャナー ルール セットがアプライアンスで有効に設定されていない場合、XMPP クライアントとこのアプラ
イアンスの間で行き来するトラフィックは暗号化されませんが、アプライアンスで有効なすべてのルールによりフィ
ルタリングされます。クライアントが暗号化されていなトラフィックを受け付けない場合、接続は閉じます。
SSL スキャナー ルールが有効に設定されているとき、アプライアンスの他のルールによりフィルタリングするため
に使用できるように、SSL スキャニングを使用してトラフィックは暗号化され、検査されます。
138
McAfee Web Gateway 7.2
製品ガイド
8
認証
アプライアンスでユーザーの「フィルタリング」ができます。つまり、認証できるユーザーのみに Web アクセスを
許可することが可能という意味です。
認証はデフォルトによ実施されませんが、事前定義された認証セットが存在し、それを使用することができます。
施行できる認証のタイプには、以下のものがあります。
•
標準認証 — HTTP、HTTPS、または FTP などの標準プロトコルの下で、Web アクセスに対してリクエストを送
信するユーザーの認証を構成できます。
デフォルト ルール セット システムの認証ルール セットが有効なときに、ユーザー情報はデフォルトで、内部ユ
ーザー データベースから取得されます。
この設定を変更して、NTLM、LDAP、Kerberos、およびその他など、別の方法を設定できます。
•
インスタント メッセージング認証 — Yahoo、Windows Live Messenger、ICQ、その他などのインスタント メ
ッセージング プロトコルの下で、Web アクセスに対してリクエストを送信するユーザーの認証を構成できます。
管理者アカウントとロールをセットアップし、維持することにより、アプライアンスへの管理者アクセスを制御する
こともできます。
目次
認証プロセス
認証の構成
認証モジュールの構成
認証設定
異なる認証方法の実装
認証を構成するためのシステム設定の使用
認証と許可のルール セット
インスタント メッセージング認証
クライアント証明書認証
管理者アカウント
認証プロセス
認証できない場合、認証はネットワークのユーザーが、Web へアクセスできないことを確認します。認証プロセス
は、たとえば、内部データベース、または Web サーバー内のユーザー情報を確認します。それにしたがってアクセ
スをブロックまたは許可します。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する認証ルール
•
データベースからユーザーに関する情報を取得する認証モジュール
McAfee Web Gateway 7.2
製品ガイド
139
8
認証
認証の構成
認証ルール
認証ルール セットは、デフォルトのルール セット システムに含まれていますが、デフォルトでは有効になっていま
せん。認証されていないユーザーを認証するルールを含み、特定のリストにユーザー グループの 1 つとして属して
いないユーザーから、リクエストをブロックします。
またルール セットは、リクエストが送信された、またはリクエストされた URL の IP アドレスに基づいて、認証ス
キップのリクエストを送信するユーザーを許可するホワイトリスト ルールも含んでいます。
IM およびクッキー認証など、認証のその他タイプの追加ルール セットは、ルール セット ライブラリで利用可能で
す。
ルールは、これらのルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
認証モジュール
データベースからユーザーに関する情報を取得する認証モジュール
（エンジンと呼ばれる）モジュールは、Web オブ
ジェクトへのアクセスをリクエストするユーザーが認証されていることを知る必要があるルールに呼び出されます。
この情報を取得するには、他にも次の方法があります。
•
[NTLM]－Windows ドメイン サーバー上のデータベースを使用
•
[NTLM Agent ]— Windows ベース システムの外部エージェントを使用して NTLM 認証方式を適用します
•
[ユーザー データベース]－アプライアンスにある内部データベースを使用
デフォルト ルール セット システムのルールセットが有効なときに、この方法はデフォルトで使用されます。
•
[LDAP ]－LDAP サーバー上のデータベースを使用
•
[Novell eDirectory]－LDAP サーバーのロールを担うサーバーにあるディレクトリからのデータを使用
•
[RADIUS]－RADIUS サーバー上のデータベースを使用
•
[Kerberos]－Kerberos サーバー上のデータベースを使用
•
[認証サーバー]－他の外部サーバーのデータベースを使用
認証モジュールの設定を構成して、認証プロセスの認証方法およびその他パラメーターを指定します。
認証の構成
認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
デフォルト ルール セット システムの認証と許可ルール セットを有効にします。
2
ユーザー データベース ルール セットでネストされた認証を確認します。
このルール セットは、認証されていないユーザーを認証するための単一のルールを含んでいます。
ルール条件は、認証モジュールの設定を含んでおり、ユーザー データベース認証の使用方法を指定します。これ
は、ユーザーの認証情報が、アプライアンスの内部情報から取得されるということです。
3
140
必要に応じてデフォルト ルール セットを変更します。
McAfee Web Gateway 7.2
製品ガイド
認証
認証モジュールの構成
8
たとえば、以下の操作を実行できます。
•
認証モジュールの共通パラメーターを変更します
•
ユーザー データベース方法の特定パラメーターを変更します
•
NTLM または LDAP など、異なる認証方法を実行します
•
新しい認証方法の特定パラメーターを変更します
4
インスタント メッセージ認証など、ライブラリからルール セットをインポートし、通信の異なるタイプに認証を
検討します。
5
変更を保存します。
認証モジュールの構成
認証モジュールを構成し、ユーザー情報を取得してユーザーを認証する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、認証のためにルール セットを選択します。
デフォルトのルール セット システムでは、これは認証と許可ルール セットです。
3
ユーザー認証を制御するルールを選択し、ルール条件で指定された設定をクリックします。
ルール セット システムのルール セットでこれは、たとえば、[Authenticate with User Database] ルール セ
ットでネストされたルール [Authenticate with User Database] であり、設定名は[ユーザー データベース]で
す。
[設定の編集]ウィンドウが開きます。これは認証モジュールの設定を提供します。
4
必要に応じて、これらの設定を構成します。
5
[OK]をクリックしてウィンドウを閉じます。
6
[変更の保存]をクリックします。
関連トピック:
141 ページの「認証設定 」
認証設定
認証設定は、認証モジュールが認証するユーザーの情報を探す方法を構成するために使用されます。
認証方法
認証方法を選択するための設定
McAfee Web Gateway 7.2
製品ガイド
141
8
認証
認証設定
表 8-1 スキャン エンジンの選択
オプション
定義
[認証方法]
認証方法を選択するためのリスト
以下から 1 つを選択できます。
• NTLM
• Novell eDirectory
• NTLM-Agent
• RADIUS
• ユーザー データベース • Kerberos
• LDAP
• 認証サーバー
方法を選択した後、指定した設定が共通設定の下に表示されます。
認証テスト
特定の認証情報のあるユーザーが、認証されるかどうかをテストするための設定
表 8-2 認証テスト
オプション
定義
[ユーザー]
テストされるユーザー名
[パスワード]
テストされたパスワード
[認証ユーザー]
テストの実行。
[テスト結果 ]
テストの結果を指定します。
共通認証パラメーター
すべての認証方法で共通の設定
表 8-3 共通認証パラメーター
オプション
定義
[プロキシ領域]
認証をリクエストされたユーザーから、リクエストを受信するプロキシの場所
[認証試行タイムアウト] 認証が正常に完了しない場合に、認証プロセスが停止する前に経過する時間（秒）
[認証キャッシュの使用] 選択されると、認証情報がキャッシュに保存されます。
すると認証は、認証サーバーまたは内部ユーザー データベースから取得した情報ではな
く、保存されている情報に基づくようになります。
[認証キャッシュ TTL]
認証情報がキャッシュに保存される時間（秒）
詳細パラメーター
高度な認証を構成する設定
この設定はすべての認証方法と同じです。したがって、共通設定の後にここに説明されます。ユーザー インターフェ
ースで、現在表示されている認証方法に対して、指定の設定に従います。
142
McAfee Web Gateway 7.2
製品ガイド
8
認証
認証設定
表 8-4 詳細パラメーター
オプション
定義
[常にプロパティ値
を評価する]
選択されると、プロパティへ値を割り当てる新しい評価は、このプロパティの処理を含むルー
ルが毎回実行されます。
キャッシュにプロパティに対する値が保存された場合、使用されません。
通常キャッシュ値が使用され、パフォーマンスを向上させることを推奨する一方、プロパティ
の新しい評価がっ必要な状況になる可能性があります。
これらの状況で、同じプロパティは認証ルール内かつ認証モジュールの同じ設定で、1 回以上
使用されます。新しい評価は、毎回ほとんどの現在値がプロパティに割り当てられていること
を確認します。
NTLM 固有のパラメーター
NTLM 認証方式の設定
表 8-5 NTLM 固有のパラメーター
オプション
定義
[デフォルト NTLM ドメイ
ン]
認証情報を検索するために使用されるデフォルト Windows ドメインの名前
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイン
の 1 つです。
[グローバル グループを取得 選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が
検索されます。
する]
[ローカル グループを取得す 選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検
索されます。
る]
[グループ名の前にドメイン 選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
名を付ける（domain
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
\group) ]
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式（安全性が低い）で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効に 選択されると、認証情報がこのキャッシュに保存されます。
する]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間（秒）
[国際文字のサポート]
クライアントから送信されたリクエストにデフォルトで使用される文字セット。たと
えば、ISO-8859-1 など。
NTLM-Agent 固有のパラメーター
NTLM-Agent 認証方法の設定
McAfee Web Gateway 7.2
製品ガイド
143
8
認証
認証設定
表 8-6 NTLM-Agent 固有のパラメーター
オプション
定義
[安全なエージェント接続を 選択されると、NTML エーエンとと通信するために使用される接続は、SSL セキュア
通信です。
使用する]
[認証接続のタイムアウト
(秒)]
アクティビティが発生しない場合に、NTLM-Agent への接続が閉じる前に経過する時
間（秒）
[エージェントの定義 ]
NTLM 認証の実行のために利用可能なエージェントのリスト
[デフォルト NTLM ドメイ
ン]
認証情報を検索するために使用されるデフォルト Windows ドメインの名前
これは、[構成]トップレベル メニューの[アプライアンス] タブで設定されたドメイン
の 1 つです。
[グローバル グループを取得 選択すると、Windows ドメイン サーバーでグローバル ユーザー グループの情報が
検索されます。
する]
[ローカル グループを取得す 選択すると、Windows ドメイン サーバーでローカル ユーザー グループの情報が検
索されます。
る]
[グループ名の前にドメイン 選択されると、このグループの認証情報がドメイン サーバーから送信されるとき、
名を付ける（domain
Windows ドメインの名前がユーザー グループの名前の前に表示されます。
\group) ]
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式（安全性が低い）で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送
信される前に暗号化されます。
[NTLM キャッシュを有効に 選択されると、認証情報がこのキャッシュに保存されます。
する]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存
されている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間（秒）
国際文字のサポート－クライアントから送信されたリクエストにデフォルトで使用さ
れる文字セット。たとえば、ISO-8859-1 など。
[国際文字のサポート]
クライアントから送信されたリクエストにデフォルトで使用される文字セット。たと
えば、ISO-8859-1 など。
ユーザー データベース固有のパラメーター
ユーザー データベース認証方法の設定
表 8-7 ユーザー データベース固有のパラメーター
オプション
定義
[クライアントにドメイン
名とマシン名を送信する]
選択されると、アプライアンスおよびそれが割り当てられたドメインの名前は、リクエ
ストを送信した認証されるユーザーであるクライアントに送信されます。
[基本認証を有効にする]
選択されると、基本 NTLM 認証方法が認証ユーザーに適用されます。
すると、認証のためにユーザーが提出する情報は、平文形式（安全性が低い）で
Windows ドメイン サーバーに送信されます。
[統合認証を有効にする]
選択されると、統合 NTLM 認証方法が認証ユーザーに適用されます。
すると、ユーザーが認証のために提出する情報は、Windows ドメイン サーバーに送信
される前に暗号化されます。
144
McAfee Web Gateway 7.2
製品ガイド
8
認証
認証設定
表 8-7 ユーザー データベース固有のパラメーター (続き)
オプション
定義
[NTLM キャッシュを有効 選択されると、認証情報がこのキャッシュに保存されます。
にする]
すると認証は、Windows ドメイン サーバーから取得される情報ではなく、この保存さ
れている情報に基づくようになります。
[NTLM キャッシュ TTL]
認証情報がこのキャッシュに保存される時間（秒）
[国際文字のサポート]
クライアントから送信されたリクエストにデフォルトで使用される文字セット。たとえ
ば、ISO-8859-1 など。
LDAP 固有のパラメーター
LDAP 認証方法の設定
表 8-8 LDAP 固有のパラメーター
オプション
定義
[接続する LDAP サーバー]
認証情報を取得する LDAP サーバーのリスト
[証明機関のリスト]
Secure LDAP
（S-LDAP）接続が LDAP サーバーとの通信に使用される場合に、証
明書を提供する証明機関のリスト
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名
[パスワード]
ユーザー名のパスワード
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンドウを
開きます。
[国際文字のサポート]
クライアントから送信されたリクエストにデフォルトで使用される文字セット。た
とえば、ISO-8859-1 など。
[LDAP バージョン 3 を有効に これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
する ]
[LDAP ライブラリに参照に従 これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サーバー
にリダイレクトされます。
うことを許可する]
[接続がライブか確認]
[LDAP 動作のタイムアウト]
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時間
（分）
通信が行われない場合に、LDAP サーバーへの接続が閉じる前に経過する時間
（秒）
[ユーザー オブジェクトの基本 ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別された名前(DN)
の識別名]
[ユーザー名を DN にマッピン 選択されると、認証するユーザー名は DN へマップする必要があります
（識別名）。
グする]
この名前は、LDAP サーバーのディレクトリにあるユーザーを識別します
[ユーザー オブジェクトを検索 ユーザー属性の参照を制限するために用語をフィルタリングする
するための表現をフィルタリン
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用
グする]
されます。
[ユーザー属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバーで
参照されます。
[取得するユーザー属性]
LDAP サーバーから取得するユーザー属性のリスト
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列。たとえば、/（スラ
ッシュ）など。
[グループ属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー グループ属性は LDAP
サーバーで参照されます。
McAfee Web Gateway 7.2
製品ガイド
145
8
認証
認証設定
表 8-8 LDAP 固有のパラメーター (続き)
オプション
定義
[グループ オブジェクトの基本 グループ属性の検索が始まる LDAP サーバーのディレクトリの識別された名前(DN)
の識別名]
[グループ オブジェクトを検索 グループ属性の参照を制限するために用語をフィルタリングする
するための表現をフィルタリン
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として使用
グする ]
されます。
[取得するユーザー属性]
LDAP サーバーから取得するグループ属性のリスト
Novell eDirectory 固有のパラメーター
Novell eDirectory 認証方法の設定
表 8-9 Novell eDirectory 固有のパラメーター
オプション
定義
[接続する LDAP サーバー]
認証情報を提供するために LDAP サーバーのロールを担う eDirectory サーバ
ーのリスト
[証明機関のリスト]
Secure LDAP
（S-LDAP）接続が LDAP サーバーとの通信に使用される場合
に、証明書を提供する証明機関のリスト
[認証情報]
LDAP サーバーにログオンするためのアプライアンスのユーザー名
[パスワード]
ユーザー名のパスワード
[設定]ボタンをクリックすると、新しいパスワードを構成するためのウィンド
ウを開きます。
[国際文字のサポート]
クライアントから送信されたリクエストにデフォルトで使用される文字セッ
ト。たとえば、ISO-8859-1 など。
[LDAP バージョン 3 を有効にする ] これが選択されると、LDAP プロトコルのバージョン 3 が使用されます
[LDAP ライブラリに参照に従うこ
とを許可する]
これが選択されると、ユーザー情報の検索は、LDAP サーバーからその他サー
バーにリダイレクトされます。
[接続がライブか確認]
LDAP サーバーへの接続がまだアクティブかどうかを確認する間に経過する時
間（分）
[LDAP 動作のタイムアウト]
通信が行われない場合に、LDAP サーバーへの接続が閉じる前に経過する時間
（秒）
[eDirectory ネットワーク アドレ
ス属性]
eDirectory サーバーで使用されているネットワーク アドレスを提供する属性
の名前
[eDirectory ネットワーク ログイ
ン時間属性]
eDirectory サーバーで使用されているログオン時間を提供する属性の名前
[eDirectory ネットワーク最小更新 eDirectory サーバーからの情報が更新される前の閉じるまでの時間（秒）
間隔]
[ユーザー オブジェクトの基本の識 ユーザー属性の検索が始まる LDAP サーバーのディレクトリの識別された名前
別名]
(DN)
[ユーザー名を DN にマッピングす 選択されると、認証するユーザー名は DN へマップする必要があります（識別
る]
名）。この名前によって、LDAP サーバーのディレクトリ内のユーザーを識別
します。
[ユーザー オブジェクトを検索する ユーザー属性の参照を制限するために用語をフィルタリングする
ための表現をフィルタリングする]
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数として
使用されます。
[ユーザー属性を取得する]
146
McAfee Web Gateway 7.2
選択されている場合、ユーザーを認証するためにユーザー属性は LDAP サーバ
ーで参照されます。
製品ガイド
8
認証
認証設定
表 8-9 Novell eDirectory 固有のパラメーター (続き)
オプション
定義
[取得するユーザー属性]
LDAP サーバーから取得するユーザー属性のリスト
[属性結合文字列]
参照によって見つかったユーザー属性を分割するための文字列。たとえば、/
（スラッシュ）など。
[グループ属性を取得する]
選択されている場合、ユーザーを認証するためにユーザー グループ属性は
LDAP サーバーで参照されます。
[グループ オブジェクトの基本の識 グループ属性の検索が始まる LDAP サーバーのディレクトリの識別された名前
別名]
(DN)
[グループ オブジェクトを検索する グループ属性の参照を制限するために用語をフィルタリングする
ための表現をフィルタリングする ]
ユーザー名をフィルタリング用語の代わりに使用する場合、u% が変数とし
て使用されます。
[取得するユーザー属性]
LDAP サーバーから取得するグループ属性のリスト
RADIUS 固有のパラメーター
RADIUS 認証方法の設定
表 8-10 RADIUS 固有のパラメーター
オプション
定義
[RADIUS サーバー定義]
認証情報が取得される RADIUS サーバーのリスト
[デフォルトのドメイン名] 他のドメインが指定されていない場合に情報を取得するドメインの名前
[共有秘密キー]
RADIUS サーバーへのアクセスを取得するためにアプライアンスに使用されるパスワ
ード
[Radius 接続のタイムアウ トラフィックが行われない場合に、RADIUS サーバーへの接続が閉じる前に経過する
時間（秒）
ト (秒)]
[国際文字のサポート]
クライアントから送信されたリクエストにデフォルトで使用される文字セット。たと
えば、ISO-8859-1 など。
[コードを含む属性の値]
RFC 2865 によると、ユーザー グループ情報とともに取得される属性のコード値
たとえば、「クラス」属性のコードは 25 です。
[ベンダー ID のあるベンダ ユーザー グループ情報の検索においてベンダー関連のデータを取得するためのベンダ
ー固有の属性]
ー ID
RFC 2865 によると、ベンダー ID はベンダー属性の一部であり、それに多数のサブ
属性が続きます。そのコード値は 26 です。
[ベンダーのサブ属性タイ
プ]
RFC 2865 によると、ベンダー属性に含まれるサブ属性のタイプのコード値
すべてのベンダーはこの構造に従っていないので、ここで 0 の値を指定することをお
勧めします。これは認証モジュールがすべての入手可能なベンダー情報を取得するこ
とを可能にします。
認証サーバー固有のパラメーター
認証サーバー方法の設定
McAfee Web Gateway 7.2
製品ガイド
147
8
認証
異なる認証方法の実装
表 8-11 認証サーバー固有のパラメーター
オプション
定義
[認証サーバー URL]
この方法で認証情報を参照するために使用されるサーバーの URL
[クライアント ID 必須]
選択すると、認証サーバーはユーザーが要求を送信したクライアントの ID を要求し
ます。
[Cookie に認証結果を保存]
これが選択されると、認証サーバーから取得した情報が cookie に保存されます。
Cookie 認証が実装されている場合は、ユーザーが 2 度も認証しなくても良いよう
に、それぞれのユーザーが送信する次のリクエストに Cookie を追加します。
[サーバーに持続 Cookie を許 選択されている場合、Cookie を複数のリクエストを認証サーバーに送信するために
持続して使用できる
可する]
[認証サーバーのための
Cookie TTL（秒）]
リクエストとともにサーバーに送信される Cookie が保存される時間（秒）
[Cookie プリフィックス]
Cookie 用にアプライアンスから提供される MWG_Auth などのプリフィックス。
異なる認証方法の実装
デフォルトのルール セットのユーザー データベース認証方式を使用したくない場合は、NTLM、LDAP、および他の
異なる認証方法を実装できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ユーザーを認証するためのルールを含むルール セット、たとえば、デフォルトの
[Authentication and Authorize] のルール セットに移動して、ネストされた [Authenticate with User
Database] ルール セットを選択します。
ネストされたルール セットのルールが設定パネルに表示されます。
3
[Authenticate with User Database] のルールを選択し、ルールの条件で [ユーザー データベース]をクリック
します。
[設定の編集]ウィンドウが開きます。
4
[認証方法]で提供されているリストから認証方法、たとえば、[NTLM]を選択します。
5
必要に応じて選択された方法の共通および特定のパラメーターを構成します。
6
[OK]をクリックしてウィンドウを閉じます。
7
[変更の保存]をクリックします。
認証方法の変更後は、それに応じて認証モジュールの設定、認証ルール、ネストされたルール セットの名前変更を適
切に行うことをお勧めします。
たとえば、NTLM を選択した後は、設定を NTLM に、およびルールとネストされたルール セットの両方を
Authenticate with NTLM に名前を変更します。
認証モジュールでは、デフォルト設定の名前を変更する代わりに、異なる名前やパラメーターの値のあるさまざまな
設定を保持することもできます。
148
McAfee Web Gateway 7.2
製品ガイド
8
認証
認証を構成するためのシステム設定の使用
認証を構成するためのシステム設定の使用
一部の認証方法について、認証モジュールの設定ではなく、アプライアンス システムの設定を構成する必要がありま
す。
これは、認証方法として NTLM を実装しているときに適用されます。この場合、Windows ドメインにアプライアン
スを参加させ、システム設定で、Windows ドメイン メンバーシップ設定を構成する必要があります。
これはまた、Kerberos 認証モデルにも適用されます。これは、Kerberos 管理システム設定を使用して行われま
す。
Kerberos 管理システムの設定
Kerberos 管理システムの設定は、Kerberos 認証方法の特別な設定です。
Kerberos 管理システム
Kerberos 認証方法の設定
表 8-12 Kerberos 管理システム
オプション
定義
[キーのタブ ファイ
ル]
Kerberos サーバーにアクセスするのに必要なマスター キーを含むファイルのための入力フ
ィールド
ファイル名を入力するか、[参照]ボタンを使用してファイルを参照し、フィールドにその名前
を入力します。
Kerberos 方法に従って認証するためのチケットが発行されると、マスター キーがアプライ
アンスに読み込まれ、チケットを検証するのに使用されます。
Web リクエストをアプライアンスにダイレクトする負荷分散装置が実行している場合、負荷
分散装置のためにチケットは発行され、アプライアンスで検証されます。その場合、リクエ
ストがアプライアンスにダイレクトされるかどうかは確認されません。
[Kerberos 領域]
認証の目的のために構成されている管理ドメイン
Kerberos サーバーは、このドメインの境界内では、ホストからリクエストを提出するか、サ
ービスを使用するユーザーを認証する権限があります。
領域名は大文字小文字を区別しますが、通常は大文字のみが使用され、領域名を関連する
DNS ドメインと同じように表すことをお勧めします。
[アプライアンスとク アプライアンスとそのクライアントのシステム時間に許容される最大時間差（秒）
ライアントの最大時
Kerberos を認証方法として構成することは、特定のブラウザーがリクエストを送信するのに
間差]
使用される場合に、問題につながる可能性があります。
• Microsoft Internet Explorer の 7.0 より低いバージョンが使用される場合は、
Kerberos 認証は全く不可能なこともあります。
• このエクスプローラーが Windows XP で実行されている場合は、Kerberos 認証は予期通
りに動作しない可能性があります。
• Mozilla Firefox が使用される場合、Kerberos 認証方法を有効にするために、この認証方
法をブラウザーの設定で構成する必要があります。
[キャッシュを有効に 選択されている場合、認証のために発行されたチケットは 1 回以降使用できません。
する]
このオプションを選択すると、認証パフォーマンスが低下します。
McAfee Web Gateway 7.2
製品ガイド
149
8
認証
認証を構成するためのシステム設定の使用
アプライアンスを Windows ドメインに参加させる
NTLM 認証方法を使用する場合は、認証モジュールにドメイン サーバーに保存されているユーザー情報を取得させる
ために、アプライアンスを Windows ドメインに参加させる必要があります。
アプライアンスは 1 つ以上のドメインに参加させることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、参加するアプライアンスを選択し、[Windows ドメイン メンバーシップ]を選択しま
す。
設定パネルでドメインのリストが表示されます。最初はリストが空です。
3
ドメインをリストに入力するには、[参加]をクリックします。
[ドメイン参加]ウィンドウが開きます。
4
ドメイン名の構成、ドメイン コントローラー、ウィンドウでのその他の設定。
5
[OK]をクリックします。
ウィンドウが閉じて、リストに新しいドメインが表示されます。これでアプライアンスは、このドメインのメン
バーなりました。
複数のドメインを追加するには、ステップ 3 から 5 を繰り返します。
ツールバーのその端おアイコンを使用して、￥たとえば、リスト エントリーを変更したり、アプライアンスをドメイ
ンに残すなど、リストを操作してください。
関連トピック:
150 ページの「Windows ドメイン メンバーシップの設定 」
Windows ドメイン メンバーシップの設定
Windows ドメイン メンバーシップの設定は、Windows ドメインにアプライアンスを参加させるために使用されま
す。
ドメイン参加
アプライアンスを Windows ドメインに参加させるための設定
表 8-13 ドメイン参加
オプション
定義
[Windows ドメイン名]
ドメインの名前
[McAfee Web Gateway アカウント アプライアンスのアカウントの名前
名]
[既存のアカウントの上書き]
選択されている場合、既存のアカウントが上書きされます。
[NTLM バージョン 2 の使用]
選択されている場合、NTLM バージョン 2 が使用されます。
[この NTLM ドメインへのリクエス
トのタイムアウト]
応答が受信されなかった場合、アプライアンスからドメイン コントローラー
に送信されたリクエストの処理が停止する前に経過する時間（秒）
[構成済みドメイン コントローラー] 認証情報を取得するためにアプライアンスが接続できるドメイン コントロー
ラーのリスト
エントリーはコンマで区切る必要があります。
150
McAfee Web Gateway 7.2
製品ガイド
8
認証
認証と許可のルール セット
表 8-13 ドメイン参加 (続き)
オプション
定義
[アクティブなドメイン コントロー
ラーの数]
同時にアクティブにできる構成済みドメイン コントローラーの最大数
[管理者名]
アプライアンスがドメインに参加するときに作成されるアカウントのユーザ
ー名。
許容範囲は 1 ～ 10 です。
ユーザー名とパスワードはこの目的のみに使用され、保存されません。
[パスワード]
管理者名のパスワードです。
認証と許可のルール セット
認証と許可のルール セットは、認証のデフォルト ルール セットです。
デフォルト ルール セット－ 認証と許可
条件 — Always
サイクル – Requests (and IM), responses, embedded objects
ルール セットの条件は、リクエストを送信する接続で使用されるプロトコルが HTTP または HTTPS の場合、ルー
ル セットが適用されることを示しています。
以下のルール セットは、このルール セット内にネストされています。
•
Authenticate with User Database
•
許可
ルール セットにはそれ自体に、ネストされたルール セットの前に処理される、2 つのルールがあります。
Client IP の認証は必要なのだろうか?
Client.IP is in range list Unauthorized IPs –> Stop Rule Set –> Stop Rule Set
このルールは、Client.IP プロパティを使用して、リクエストを送信したクライアントの有する IP アドレスが許
可されていない IP アドレスの範囲リストに入っているかどうかを確認します。
入っている場合、ルール セットの処理が停止します。ユーザーを認証するためのアクティビティは遂行されませ
ん。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
URL の許可は必要なのか?
URL is in list Unauthorized URLs –> Stop Rule Set –> Stop Rule Set
このルールは、URL プロパティを使用して、アクセスのリクエストがあった URL が許可されていない URL のリ
ストに入っているかどうかを確認します。
入っている場合、ルール セットの処理が停止します。ユーザーを認証するためのアクティビティは遂行されませ
ん。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Authenticate with User Database
このネストされたルール セットは、認証されていないユーザーに認証するように求めます。その認証方法は、内部ユ
ーザー データベースから情報を取得することです。
McAfee Web Gateway 7.2
製品ガイド
151
8
認証
インスタント メッセージング認証
ネストされたデフォルト ルール セット－Authenticate with User Database
条件 – Connection.Protocol equals HTTP OR Connection.Protocol equals HTTPS
サイクル － リクエスト（および IM）
ルール セットの条件は、ユーザーがまだ認証されていない、または認証プロセスを受けて認証に失敗した場合に、ル
ール セットが適用されます。 .
ルール セットには、以下のルールが含まれます。
Authenticate with User Database
Authentication.Authenticate<User Database> equals false–> Authenticate<Default>
このルールは、Authentication.Authenticate プロパティを使用して、Web アクセスのためにリクエストを送
信するユーザーが認証済みかどうかを確認します。そのプロパティに伴うのは、認証モジュールの設定です。それ
らの設定は、アプライアンスにある内部ユーザー データベースから情報を取得するのが、認証方法として使用され
ていることを示します。
内部データ ベースからの情報によってユーザーが認証されていない場合、ルールが適用され、認証アクションが実
行されます。処理が停止し、ユーザーに認証を求めるメッセージが表示されます。アクションの設定は、メッセー
ジがデフォルト値で表示されるように指定しています。
次のリクエストがアプライアンスで受信される場合
（同じユーザーによる認証リクエストでも可能）、処理が続行さ
れます。
許可
ネストされたルール セットは、ホワイトリストに載っているユーザー グループからのリクエストのみを許可します。
ネストされたデフォルト ルール セット－許可
条件 — Always
サイクル － リクエスト（および IM）
ルール セットには、以下のルールが含まれます。
許可されているユーザー グループのユーザーのみを許可する
Authentication.UserGroups none in list Allowed User Groups–> Block<Authorized Only>
このルールは、Authentication.UserGroups プロパティを使用して、指定されているホワイトリストのグルー
プのメンバーであるユーザーのみにアクセスを許可します。
ユーザーがリストにあるグループにない場合は、ルールが適用されてすべてのルールの処理が停止します。リクエ
ストは Web サーバーには渡されません。
アクション設定は、リクエストしているユーザーに通知を送信することを指定します。
処理は次のリクエストで続行します。
インスタント メッセージング認証
インスタント メッセージング認証は、ネットワークのユーザーに権限がない場合は、インスタント メッセージング
サービスを通じて Web にアクセスできないようにします。認証プロセスはユーザー情報をルックアップし、未認証
のユーザーを認証するかどうかを問い合わせます。
このプロセスには、以下の要素が含まれています。
152
•
プロセスを制御する認証ルール
•
認証モジュール。別のデータベースからユーザーに関する情報を取得します。
McAfee Web Gateway 7.2
製品ガイド
認証
インスタント メッセージング認証
8
認証ルールは Web に対してアクセスを要求したユーザーの認証に関する情報をログするためにイベントを使用でき
ます。
この場合、ロギング モジュールもまたプロセスに含まれます。
認証ルール
アプライアンスのデフォルトでは、インスタント メッセージング認証は実装御されませんが、ライブラリから IM
認証ルール セットをインポートできます。
このルール セットには、Web アクセスを要求しているユーザーがすでに認証されているかどうかを確認するために
ユーザー情報をルックアップするルールが含まれています。情報のルックアップに使用される方式はユーザー データ
ベース方式です。
ユーザー データベースで情報が見つからない権限をもたないユーザーは、認証のために資格情報を送信するように指
示されます。
別のルールは、ユーザーが認証されるか、権限を持たないユーザーについては資格情報を求めるために、認証サーバ
ー方式を使用して情報をルックアップします。
認証モジュールはこれらのルールによりコールされ、適切なデータベースからユーザー情報を取得します。
ライブラリ ルール セットのルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
認証モジュール
認証モジュール
（エンジンとも呼ばれる）は、内部または外部データベースからのユーザーを認証するために必要な情
報を取得します。このモジュールは認証ルールによりコールされます。
ユーザー情報を取得するために別の方法は、モジュール設定で指定されます。適宜、2 つの設定がインスタント メッ
セージング通信のライブラリ ルール セットに表示されます。
•
IM 認証サーバーのユーザー データベース
•
認証サーバー IM
これらの設定は、ルール セット ライブラリ がライブラリからルールセットがインポートされるときに実装されま
す。
たとえば、認証サーバー方式の元でユーザー情報が取得されたサーバーを指定するためなどに、これらの設定をを行
うことができます。
ログ記録モジュール
インスタント メッセージング認証のライブラリ ルール セットには、認証関連のデータをログするルールが含まれ
る。たとえば、Web アクセスを要求したユーザーのユーザー名や要求された Web オブジェクトの URL などです。
ログ記録は FileSystemLogging モジュールにより処理され、この設定を行うこともできます。
インスタント メッセージ認証の構成
インスタント メッセージ認証を実行し、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから IM 認証ルール セットをインポートします。
2
ルール セットにあるルールを確認し、必要に応じて修正します。
McAfee Web Gateway 7.2
製品ガイド
153
8
認証
インスタント メッセージング認証
たとえば、以下の操作を実行できます。
3
•
ユーザー データベースまたは認証サーバー方法の認証モジュールの設定を変更します。
•
インスタント メッセージ認証についての情報のログを処理するログ モジュールの設定を変更します。
変更を保存します。
インスタント メッセージ認証の認証モジュールの構成
認証モジュールを構成し、インスタント メッセージ サービスのユーザーを認証する必要がある情報を取得する方法
を指定します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
認証モジュールを呼び出すルールを検索します。
ライブラリ ルール セットには、ユーザー データベースに対してクライアントを認証する および 証されていない
クライアントを認証サーバーにリダイレクトするがあります。
5
ルール条件で、構成する設定の設定名をクリックします。
Authentication.uthenticate プロキシの隣にこの名前が表示されます。
ライブラリ ルール セットでは、これはIM 認証サーバーのユーザー データベースまたは認証サーバー IM設定で
す。
[設定の編集]ウィンドウが開きます。これは認証モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
141 ページの「認証設定 」
インスタント メッセージ認証のファイル システム ログ記録 モジュールの構成
ファイル システム ログ記録モジュールを構成し、インスタント メッセージ認証に関連する情報をログ記録する方法
を指定できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、インスタント メッセージ認証のためにルール セットを選択します。
ライブラリからルール セットをインポートした場合、これは IM 認証です。
このルール セットのルールは設定パネルに表示されます。
3
154
[詳細を表示]が選択されていることを確認します。
McAfee Web Gateway 7.2
製品ガイド
8
認証
インスタント メッセージング認証
4
ファイル システム ログ記録モジュールを呼び出すルールを検索します。
ライブラリ ルール セットでは、これはルール認証ページの表示です。
5
ルール イベントで、モジュールの設定名をクリックします。
ライブラリ ルール セットでは、この名前は IM ログ記録です。
[設定の編集]ウィンドウが開きます。ファイル システム ログ記録モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
350 ページの「ファイル システム ログ設定 」
IM 認証ルール セット
IM 認証ルール セットは、インスタント メッセージング認証のライブラリ ルール セットです。
ライブラリ ルール セット－IM 認証
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
以下のルール セットは、このルール セット内にネストされています。
•
IM 認証サーバー
•
IM プロキシ
IM 認証サーバー
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、ユーザー データベース方式を適用します。
ネストされたライブラリ ルール セット－IM 認証サーバー
条件– Authentication.IsServerRequest equals true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、インスタント メッセージング サービスのユーザーの認証がリクエストされた場合、ルー
ル セットが適用されると指定します。
このルール セットは、以下のルールを含みます。
ユーザー データベースに対してクライアントを認証する
Authentication.Authenticate<User Database at IM Authentication server> equals false–>
Authenticate<IM 認証>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルール
の条件にあるプロパティに従う設定が、この認証のためのユーザー データベース方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
McAfee Web Gateway 7.2
製品ガイド
155
8
認証
インスタント メッセージング認証
認証ページの表示
Always–> Redirect<Show IM Authenticated> —
Set User-Defined.logEntry =
“[”
+ DateTime.ToISOString
+ “]””
+ URL.GetParameter (“prot”)
+ ““auth””
+ Authentication.Username
+ ““ ””
+ URL.GetParameter (“scrn”)
+ “““
FileSystemLogging.WriteLogEntry (User-Defined.logEntry)<IM Logging>
このルールは、インスタント メッセージングのユーザーによってクライアントから認証サーバーに送信されたリク
エストをリダイレクトし、ユーザーにリダイレクトのことを通知するためにメッセージを表示します。
アクション設定が、IM 認証の表示のテンプレートがメッセージに使用されるように指定します。
このルールはイベントも使用し、認証リクエストのログ エントリーの値を設定します。ログ ファイルにこのエント
リーを書き込むのに 2 つめのイベントを使用します。このイベントのパラメーターがログ エントリーを指定しま
す。
イベントの設定はログ ファイル、およびそれが維持される方法を指定します。
IM プロキシ
このネストされたルール セットは、インスタント メッセージングのユーザーの認証を処理します。ユーザー情報取
得のために、認証サーバー方式を適用します。
ネストされたライブラリ ルール セット－IM プロキシ
条件－Connection.Protocol.IsIM equals true AND IM.MessageCanSendBack is true
サイクル — Requests (and IM), responses, embedded objects
ルール セットの条件は、ユーザーがインスタント メッセージング プロトコルの下での接続でチャット メッセージま
たはファイルを送信して、メッセージがアプライアンスからユーザーにすでに返信できる場合に適用されるルール セ
ットを指定します。
ルール セットには、以下のルールが含まれます。
認証されていないユーザーを認証サーバーにリダイレクトする
Authentication.Authenticate<Authentication Server IM> equals false–> Authenticate<IM 認証
>
このルールは Authentication.Authenticate プロパティを使用して、インスタント メッセージング プロトコ
ルの下でチャット メッセージまたはファイルを送信するユーザーが認証されているかどうかを確認します。ルール
の条件にあるプロパティに従う設定が、この認証での認証サーバー方法を指定します。
ユーザーがこの方法で認証されていない場合、処理が停止し、ユーザーに認証を求めるメッセージが表示されます。
アクション設定は、ユーザーに認証メッセージを表示するために使用される IM 認証テンプレートを指定します。
次のユーザー リクエストが受信されるときに、処理は続行されます。
156
McAfee Web Gateway 7.2
製品ガイド
認証
クライアント証明書認証
8
クライアント証明書認証
クライアント証明書の提出は、アプライアンスのユーザー インターフェースへのアクセス方法として構成できます。
この方法はクライアント証明書認証 または X.509 認証と呼ばれます。
クライアント証明書認証は、アプライアンスのプロキシ機能を構成するとき、認証手順の選択できる方法の 1 つで
す。
プロキシ構成に使用する場合、以下が方法に適用されます。
•
ユーザー名およびパスワードは、NTLM または LDAP など他の方法の場合と同じく、リクエストを送信するユー
ザーの認証に必要ありません。
•
方法はクライアントの Web ブラウザーから、明示的プロキシ モードで構成されたアプライアンスへ SSL セキュ
ア通信で送信するリクエストで実行可能です。
•
この通信で使用されるプロトコルは HTTPS です。
SSL ハンドシェイクがアプライアンスとクライアント間の通信の最初の手順の 1 つとして実行されるとき、クライ
アント証明書が送信されます。リクエストはそれから認証サーバーへリダイレクトされ、証明書を検証します。
有効な場合、クライアントとリクエストを最終的に適切な Web サーバーへ送信するため、認証が正常に完了します。
構成のノードとして複数のアプライアンスを実行するとき、リクエストがもともと実行されたノードの認証サーバー
が存在することが重要です。
また、正常な認証の後の Web への送信は、同じモードで完了する必要があります。
クライアント証明書認証の認証サーバーの使用は、ルールによって制御されています。認証サーバー ルール セット
をインポートし、ネストされたルール セットでルールを変更でき、適切な証明書の使用を有効にします。
また、方法を実行し、クライアント証明書認証を適用する必要があります。これを行うために推奨される方法は、
cookie 認証を使用することです。
この方法が実行される場合、認証はリクエストの送信元であるクライアントに必要ですが、cookie は証明書が提出
され 1 度有効であると認識された後、このクライアントに設定されます。証明書の送信は、そのクライアントからの
後続リクエストには必要ありません。
この方法で処理されたクライアント証明書認証を持つルール セットをインポートおよび変更できます。
クライアント証明書認証のための証明書の使用
クライアント証明書認証方法の下では認証を実行するさまざまなタイプの証明書が必要です。この認証は、SSL セキ
ュア通信で実施されます。
クライアント証明書
クライアント証明書は、アプライアンスへリクエストを送信するクライアントの識別情報を認証するために必要です。
クライアントが信頼される場合のみ、それが送信されるリクエストが受け付けられます。リクエストと共に送信され
た証明書が信頼されているルート CA
（証明機関）によって署名されている場合のみ、クライアントが信頼されます。
クライアント証明書認証方式では、認証にクライアント証明書も使用されます。リクエストと共に送信された証明書
が信頼されている証明機関によって署名されている場合のみ、認証が正常に完了します。
サーバー証明書
サーバー証明書は、SSL セキュア通信に含まれるサーバーの識別情報を認証するために必要です。
サーバーは通信の最初の段階で送信される証明書がクライアントによっても信頼されているルート CA
（証明機関）に
よって署名されている場合のみ、クライアントにより信頼されます。
McAfee Web Gateway 7.2
製品ガイド
157
8
認証
クライアント証明書認証
クライアント証明書認証方式では、認証サーバーにサーバー証明書も使用されます。
ルート CA
ルート CA
（証明書機関）は、その他の証明書に署名するインスタンスです。
SSL セキュア通信では、ルート CA は通信プロセスで表示できる証明書として表示されます。
ルート CA がクライアントまたはサーバーにより信頼される場合、それにより署名されている証明書も同様に信頼さ
れ、このことは、クライアントまたはサーバーが署名済みの証明書などを送信した場合に、それが信頼されることを
意味します。
クライアント証明書認証のためのルール セット
クライアント証明書認証を実装するためのルール セットは、ルール セット ライブラリで利用可能です。
認証サーバー（X509 認証の場合）ルール セット
認証サーバー（X509 認証の場合）ルール セットは、クライアント証明書認証方法の下で認証サーバーの使用を扱う
ために、ネストされたいくつかのルール セットを使用します。
•
•
SSL エンドポイント終了 — SSL セキュア通信でリクエストの扱いを準備します
•
受信 HTTPS 接続を受け付ける — 認証サーバーに送信できる証明書を示します
•
コンテンツ検査 — リクエストで送信されるコンテンツの検査を有効にします
認証サーバー リクエスト — 認証サーバーが正常に完了した後で、認証後にさらに処理をするアプライアンスで
プロキシにリクエストをリダイレクトして戻します
クッキーはリクエストが送信されたクライアントに対してセットされている場合、リクエストもまた、リダイレ
クトされます。
認証は認証サーバーで正常に完了できなかった場合、ユーザーはユーザー データベースで認証の認証情報を送信
するように指示されます。
•
その他すべてをブロック — 認証が正常に完了しなかったリクエストをブロックします
Cookie 認証（X509 認証の場合）ルール セット
Cookie 認証
（X509 認証の場合）ルール セットは、クライアント証明書認証方法の使用を開始し、cookie の設定を
扱うためにいくつかのネストされたルール セットを使用します。
•
158
HTTP（S）プロキシで Cookie 認証 — cookie でクライアント証明書認証を扱うネストされたルール セットを
含みます
•
認証されたクライアントの Cookie を設定する — クライアントに対して一度認証が正常に完了した後で
cookie 認証を設定し、さらに処理するためのアプライアンスのプロキシにクライアントが戻すリクエストを
リダイレクトします
•
認証サーバーでのクライアントの認証 — cookie が認証サーバーにセットされていないクライアントから送信
されたリクエストをリダイレクトします
McAfee Web Gateway 7.2
製品ガイド
認証
クライアント証明書認証
8
認証サーバーへのリクエストのリダイレクト
クライアント認証の認証方法の下で、リクエストは送信されたクライアントの証明書を検証するための認証サーバー
にリダイレクトされます。リダイレクトはアプライアンスの特別なリスナー ポートまたは固有のホスト名を使用して
行うことができます。
特別なリスナー ポートの使用
リクエストは、たとえばポート 444 などの特別なリスナー ポートを使用して認証サーバーにリダイレクトできます。
アプライアンスの IP アドレスが 192.168.122. 199 であることを想定すると、リクエストは以下により認証サー
バーにリダイレクトされます。
https://192.168.122.119:444/
しかし、プロキシを使用した例外がリクエストを送信するクライアントの Web ブラウザーに対して設定されている
かどうかを考えることが重要です。
•
プロキシ例外が設定されていません — プロキシ例外が設定されていない場合、すべてのリクエストはアプライア
ンスでリスンしているプロキシ ポートに送信されます。これは、デフォルトではポート 9090 です。
ポート 9090 が設定済みのプロキシ ポートの場合、https://192.168.122.119:444/ へのリクエストさえも
ポート 9090 に到着します。
ファイアウォールがネットワーク設定の一部である場合、クライアントからポート 444 への接続がない場合、フ
ァイアウォール ルールからの例外は必要アありません。
リクエストが確実に認証サーバー 444 にリダイレクトされるようにするか、この目的で使用する別の値にリダイ
レクトされるようにするためには、認証サーバー
（X509 認証の場合）ルール セットの条件で URL.Port プロパ
ティに対して設定される必要があります。
URL.Port プロパティの値は、リクエストにより指定される URL に含まれるポートです。リクエストが実際にポ
ート 9090 に到着する場合でも、これは、たとえば 444 です。
•
設定済みのプロキシ例外 — プロキシ例外は種々の理由に対して構成できます。たとえば、Web ブラウザーはロ
ーカル ホストにアクセスするためのプロキシを使用しないように設定できました。
https://192.168.122.119:444/ へのリクエストは、ポート 9090 に到着しません。
ブラウザーは宛先に直接アクセスするように設定したため、ポート 444 のアプライアンスに接続を試みます。こ
のことは、ポート番号 444 でリスナー ポートをセットアップする必要があることを意味します。
ファイアウォール ルールが所定の位置にある場合、ポート 444 にリクエストが到着することを許可するために、
例外もまた必要です。
リクエストが適切なルールにより確実に処理されるためには、444、またはこの目的で使用する別の値は、認証
サーバー（X509 認証の場合）ルール セットの条件で URL.Port プロパティに対して設定される必要がありま
す。
Proxy.Port プロパティの値は、リクエストが実際に到着するポートです。たとえば、認証サーバーにリダイレク
トするリクエストを受け取るために、この番号をもつ＠ポートをセットアップする場合、これは 444 になりま
す。
一意のホスト名の使用
一意のホスト名、たとえば authserver.local.mcafee を使用して認証サーバーにリクエストをリダイレクトするこ
とできます。この名前を使用して、リクエストは以下により認証サーバーにリダイレクトされます。
https://authserver.mcafee.local
リクエストが送信されるクライアントは、DNS を使用してホスト名をルックアップしようとはしません。URL はほ
とんどの場合解決される可能性が低く、クライアントは接続できないからです。
McAfee Web Gateway 7.2
製品ガイド
159
8
認証
クライアント証明書認証
リクエストが適切なルールにより確実に処理されるためには、このホスト名は認証サーバー
（X509 認証の場合）ルー
ル セットの条件でURL.Host プロパティの値として設定されなければなりません。
クライアント証明書の認証の実施
クライアント証明書認証方式は、認証に対するリクエストと共に送信されるクライアント証明書を使用します。アプ
ライアンスでこの方法を実装するためには、以下の高レベル手順を実行します。
タスク
1
認証サーバー（X509 認証の場合）ルール セットをインポートします。
2
ネストされたルール セットを変更して、適切な証明書の使用を構成します。
3
アプライアンスのプロキシ ポートを使用していない Web ブラウザーにより送信されたリクエストに対して、リ
スナー ポートを構成します。
4
クライアント証明書認証が適用される方法を構成します。
クライアント証明書認証が一度適用され、正常に完了した後で、認証のために Cookie を使用するために、
Cookie 認証（X509 認証用）をインポートし、変更できます。
5
アプライアンスに対してリクエストを送信するために使用される Web ブラウザーで使用される
認証サーバー（X509 認証の場合）ルール セットのインポート
アプライアンスでクライアント証明書認証方式を実装するためには、この方法で認証を処理するルール セットがなけ
ればなりません。この目的のために、認証サーバー（X509 認証の場合）ルール セットをインポートできます。
ルール セット ツリーの最上部にルール セットを挿入することをお勧めします。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[認証サーバー（X509 認証の場合）]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、［OK］ をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
5
ルール セット条件を確認し、必要に応じて変更します。
インポートした後で、条件は以下のとおりです。
URL.Port equals 444 or Proxy.Port equals 444.
これにより、ルール セットはそのポートが受け取るすべてのリクエストに適用されるようになります。別のポー
トを使用する場合は、ここでポート番号を指定してください。
160
McAfee Web Gateway 7.2
製品ガイド
8
認証
クライアント証明書認証
サーバー証明書の使用を設定するためのルール セットの変更
認証サーバー（X509 認証の場合）ルール セットは、適切なサーバー証明書が認証サーバーに送信されるようにする
ために変更する必要があります。ネストされたルール セットで変更が行われます。
別のホスト名と IP アドレスの下で認証サーバーに到達することができるため、アプライアンスが別のサーバー証明
書を毎回、送信できるようにし、ホスト名または IP アドレスが証明書の共通名と一致するようにすることになりま
す。
このためには、各ホスト名または IP アドレスに対してサーバー証明書をインポートして、それをサーバー証明書の
リストに追加する必要があります。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[認証サーバー（X509 認証の場合）]を展開します。
2
ネストされた[SSL エンドポイント終了]ルール セットを展開し、このルール セット内で、ネストされた[受信
HTTPS 接続を受け付ける]ルール セットをクリックします。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[SSL コンテキストの定義]セクションで、サーバー証明書のリストを見直します。
5
サーバー証明書をリストに追加するには、
a
リストの上の[追加]アイコンをクリックします。
[証明書マッピングへのホストの追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
[サーバー証明書のインポート]ウィンドウが開きます。
d
[参照]をクリックして、インポートする証明書を参照します。
e
このアクティビティを繰り返して、証明書と共にキーと証明書チェーンをインポートします。
f
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書情報が[証明書マッピングへのホストの追加]ウィンド
ウに表示されます。
6 （オプション） [コメント]フィールドに、サーバー証明書に関する平文コメントを入力します。
7
[OK]をクリックします。
ウィンドウが閉じて、リストにサーバー証明書が表示されます。
8
[SSL Scanner 機能はクライアント接続にのみ適用]チェックボックスが選択されていることを確認します。
これにより、アプライアンスはネットワークのその他のサーバーに照会せずに、クライアントからのリクエスト
を受け付けるようになります。これは、この通信では必要とされていません。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
161
8
認証
クライアント証明書認証
証明機関の使用を設定するためのルール セットの変更
認証サーバー
（X509 認証の場合）ルール セットは、適切なルート CA
（証明書機関）が確実に設定されるように変更
する必要があります。ネストされたルール セットで変更が行われます。
クライアント証明書は、アプライアンスで維持されているリストからの証明書機関により署名された場合に信頼性が
あります。信頼されたクライアント証明書のインスタンスを署名するリストにすべての証明書機関をインポートする
必要があります。
タスク
1
[ポリシー] 、 [ルール セット]を選択し、[認証サーバー（X509 認証の場合）]を展開します。
2
ネストされた[SSL 認証サーバー リクエスト]ルール セットを展開します。
3
I[クライアント証明書をユーザーに問い合わせる]ルールで、[X509 認証]モジュール設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[クライアント証明書指定パラメーター]セクションで、証明書機関のリストを見直します。
5
証明書機関をリストに追加するには、
a
リストの上の[追加]アイコンをクリックします。
[証明機関の追加]ウィンドウが開きます。
b
[ホスト]フィールドで、証明書を送信する必要があるホスト名または IP アドレスを入力します。
c
[インポート]をクリックします。
ローカル ファイル システムにアクセスするウィンドウが開きます。
d
インポートする証明書権限ファイルを参照します。
e
[OK]をクリックします。
ウィンドウが閉じ、インポートが実行されます。証明書が[証明機関の追加]ウィンドウに表示されます。
6
[信頼できる]チェックボックスが選択されていることを確認します。
7 （オプション） [コメント]フィールドに、証明機関に関する平文コメントを入力します。
8
[OK]をクリックします。
ウィンドウが閉じて、リストに証明書機関が表示されます。
9
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
アプライアンスのリクエストを受信するリスナー ポートの構成
アプライアンスへ送信されるリクエストは、プロキシ ポートまたは特別なリスナー ポートで受信できます。プロキ
シ ポートはデフォルトでポート 9090 です。
プロキシ ポートへの到着からリクエストを防ぐプロキシの例外が作成された場合、リスナー ポートを構成する必要
があります。
162
McAfee Web Gateway 7.2
製品ガイド
8
認証
クライアント証明書認証
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、リスナー ポートを構成するアプライアンスを選択し[プロキシ (HTTP(S)、FTP、
ICAP、および IM)]をクリックします。
プロキシ設定が設定パネルに表示されます。
3
[HTTP プロキシ] セクションまで下にスクロールします。
4
[HTTP プロキシを有効にする]が選択されていることを確認します。
5
[HTTP ポート定義リスト]のツールバーで、[追加]アイコンをクリックします。
[HTTP プロキシ ポートの追加]ウィンドウが開きます。
6
以下のようにリスナー ポートを構成します。
a
[リスナー アドレス] フィールドで、0.0.0.0:444を入力します。
リクエストの受信を待機している異なるポートを使用する場合、ここに入力します。
b
[SSL として扱われるポート] フィールドで、* を入力します。
c
その他すべてのチェックボックスが選択されていることを確認します。
7
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
8
[変更の保存]をクリックします。
9
アプライアンスを再起動して、リスナー ポートの構成が有効になっていることを確認します。
Cookie 認証（X509 認証の場合）ルール セットのインポート
クライアント証明書認証方式がアプライアンスで使用されるとき、Cookie 認証（X509 認証の場合）ルール セット
により、この方式の使用を開始できます。
認証を必要としない機能のルール セットの後、ただし、フィルタリング機能を処理するルール セットの前にこのル
ール セットを挿入することをお勧めします。
これにより、認証が失敗したためにリクエストがブロックされるときに、フィルタリング機能が実行されないように
なります。これにより、リソースが節約され、パフォーマンスが改善します。
ルール セット システムがデフォルト システムに類似している場合、SSL スキャナーとグローバル ホワイトリスト
ルール セットの後、ただし、コンテンツ フィルタリングと Gateway Antimalware ルール セットの前にこのルー
ル セットを挿入できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ルール セットを挿入する場所にナビゲートし、[追加]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
163
8
認証
クライアント証明書認証
3
[最上位レベル ルール セット]をクリックし、[ライブラリからのルール セットのインポート]を選択します。
[ルール セット ライブラリから追加]ウィンドウが開きます。
4
[Cookie 認証（X509 認証の場合）]ルール セットを選択し、[OK]をクリックします。
このインポートから競合が発生した場合、それらはルール セットのリストの隣に表示されます。解決するための
推奨手順の 1 つに従い、［OK］ をクリックします。
ルール セットがルール セット ツリーのネストされたルール セットに挿入されます。
受信リクエストのリスナー ポートを変更するためのルール セットの変更
ポート 444 の代わりに使用する受信リクエストのリスナー ポートを設定するための Cookie 認証 (X509 認証の場
合）を変更することができます。これは、デフォルト ポートです。ネストされたルール セットで変更が行われます。
プロキシ例外がアプライアンスのプロキシ ポートにリクエストが到着できないようにしている場合、特別なリスナ
ー ポートが受信リクエストを受け取るために使用されなければなりません。ポート 444 またはこの目的に対して設
定された別のポートで到着するリクエストが認証サーバーに転送されます。
タスク
1
[ポリシー] 、 [ルールセット]を選択し、[Cookie 認証（X509 認証の場合）]を展開します。
2
ネストされた[HTTP（S）プロキシで Cookie 認証]ルールセットを展開し、このルール セット内で、ネストされ
た[認証サーバーでクライアントを認証する]ルール セットをクリックします。
3
I[クライアント コンテキストの設定]ルールで、[プロキシ証明書]イベント設定をクリックします。
[設定の編集]ウィンドウが開きます。
4
[認証サーバー固有のパラメーター]セクションで、[認証サーバー URL]フィールドの URL を見直します。
URL はデフォルトで次のとおりです。
https://$<propertyInstance useMostRecentConfiguration="false" propertyId=
"com.scur.engine.system.proxy.ip"/>$:444
ルールが処理されると、$...$ の部分がアプライアンスの IP アドレスで置き換えられます。
5
別のリスナー ポートを設定するためには、ここにこのポートの番号を入力してください。
6
[設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
7
[変更の保存]をクリックします。
クライアント証明書のブラウザーへのインポート
適切なクライアント証明書は Web ブラウザーで使用でき、SSLで保護された通信でアプライアンスにリクエストと
共に送信される必要があります。
証明書のインポート手順は、ブラウザーにより異なり、変更される場合があります。ブラウザー メニューは、使用し
ているオペレーティング システムによって異なります。
以下は、クライアント証明書を Microsoft Internet Explorer と Mozilla Firefox にインポートするための 2 つの考
えられる手順です。
164
McAfee Web Gateway 7.2
製品ガイド
8
認証
クライアント証明書認証
タスク
•
165 ページの「クライアント証明書の Microsoft Internet Explorer へのインポート 」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft
Internet Explorer で利用可能にできます。
•
166 ページの「クライアント証明書の Mozilla Firefox へのインポート 」
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla
Firefox で利用可能にできます。
クライアント証明書の Microsoft Internet Explorer へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Microsoft Internet
Explorer で利用可能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[インターネット オプション]を順にクリックします。
[インターネット オプション]ウィンドウが開きます。
2
[コンテンツ]タブをクリックします。
3
[証明書]セクションで、[証明書]をクリックします。
[証明書]ウィンドウが開きます。
4
[インポート]をクリックします。
［証明書のインポート ウィザード］が表示されます。
5
このウィザード ページで、次の手順に従ってください。
a
[証明書のインポート ウィザードの開始]ページで、[次へ]をクリックします。
b
[インポートする証明書ファイル]ページで、[参照]をクリックし、証明書ファイルを保存してある場所に移動
します。
c
[ファイル名] フィールドに「*.pfx」と入力し、[Enter] キーを押します。
d
証明書ファイルを選択し、[開く]をクリックし、[次へ]をクリックします。
e
[パスワード]ページで、[パスワード]フィールドにパスワードを入力します。[次へ] をクリックします。
f
[証明書ストア]ページで、[証明書をすべて次のストアに配置する]をクリックします。
g
同じページの[証明書ストア]セクションで、[個人用]を選択し、[次へ]をクリックします。
h
[証明書のインポート ウィザードの完了]ページで、[完了] をクリックします。
6
[OK]をクリックして表示されるメッセージを確認します。
7
[閉じる]をクリックしてから[OK]ををクリックして、[証明書]と[インターネット オプション]を閉じます。
McAfee Web Gateway 7.2
製品ガイド
165
8
認証
管理者アカウント
クライアント証明書の Mozilla Firefox へのインポート
クライアント証明書をインポートして、SSL で保護された通信でそれを使用するために、Mozilla Firefox で利用可
能にできます。
開始する前に
証明書ファイルをインポートするためには、ローカル ファイル システム内に保存する必要があります。
タスク
1
ブラウザーを開き、最上部のメニュー バーで、[ツール]、[オプション]を順にクリックします。
[オプション]ウィンドウが開きます。
2
[詳細設定] をクリックして、[暗号化] をクリックします。
3
[暗号化] タブの[証明書] セクションで [証明書の表示] をクリックします。
[証明書マネージャー]ウィンドウが開きます。
4
[インポート]をクリックします。
ローカルのファイル マネージャーが開きます。
5
保存した証明書ファイルに移動し、[開く]をクリックします。
6
必要に応じて、パスワードを入力し、次に[OK]をクリックします。
管理者アカウント
管理者アカウントは、アプライアンスまたは外部サーバーでセットアップおよび管理することができます。ロールは
管理者の異なるアクセス権限で作成できます。
管理者アカウントの追加
初期セットアップの際にアプライアンス システムで作成されたアカウントに、管理者アカウントを追加できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[追加]をクリックします。
[管理者の追加]ウィンドウが開きます。
3
アカウントのユーザー名、パスワード、および他の設定を追加します。次に、[OK]をクリックします。
ウィンドウが閉じて、アカウント リストに新しいアカウントが表示されます。
4
[変更の保存]をクリックします。
関連トピック:
167 ページの「管理者アカウントの設定 」
166
McAfee Web Gateway 7.2
製品ガイド
認証
管理者アカウント
8
管理者アカウントの編集
初期設定時にアプライアンス システムにより作成されるものを含め、管理者アカウントを編集できます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、[編集]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
[管理者の編集]ウィンドウが開きます。
3
必要に応じてアカウントの設定を編集します。次に、[OK]をクリックします。
ウィンドウを閉じると、アカウントがアカウント リストに変更が表示されます。
4
[変更の保存]をクリックします。
関連トピック:
167 ページの「管理者アカウントの設定 」
管理者アカウントの削除
少なくとも 1 つでも残れば、管理者アカウントも削除することができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[内部管理者アカウント]で、アカウントを選択し、[削除]をクリックします。
アカウントを選択する前に、[フィルター]フィールドにフィルタリング用語を入力してそれに一致する名前のア
カウントのみを表示できます。
削除を確認するためのウィンドウが開きます。
3
[変更の保存]をクリックします。
管理者アカウントの設定
管理者アカウント設定は、管理者の認証情報とロールを構成するために使用されます。
管理者アカウントの設定
管理者アカウントの設定
表 8-14 管理者アカウントの設定
オプション
定義
[ユーザー名]
管理者のユーザー名
[パスワード]
管理者パスワード
[パスワードの繰り返 パスワードをチェックして確認するための、パスワードの繰返し
し]
2 つのパスワード フィールドが使用可能になる前に、管理者の編集ウィンドウで、[パスワー
ドを新しく設定]を選択する必要があります。
McAfee Web Gateway 7.2
製品ガイド
167
8
認証
管理者アカウント
表 8-14 管理者アカウントの設定 (続き)
オプション
定義
[ロール]
管理者のロールを選択するためのリスト
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名
この名前の構成はオプションです。
現在の設定でテスト
特定の認証情報を持つ管理者がアプライアンスで許可されるかどうかのテストの設定
表 8-15 現在の設定でテスト
オプション
定義
[ユーザー ]
テストされるユーザー名
[パスワード]
テストされたパスワード
[テスト]
テストの実行。
テストの結果を表示するために、[認証テスト結果]ウィンドウが開きます。
管理者のロールの管理
管理者アカウントを構成するために、ロールを作成して、使用できます。
1 つの管理者ロールは初期設定時にアプライアンス システムによりすでに作成されています。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
管理者ロールを追加するには、以下の手順に従います。
a
[ロール]で、[追加]をクリックします。
[ロールの追加]ウィンドウが開きます。
b
[名前]フィールドで、ロール名を入力します。
c
ダッシュボード、ルール、リスト、および他の項目でのアクセス権限を構成します。
d
[OK]をクリックします。
ウィンドウが閉じて、管理者ロールのリストに新しいロールが表示されます。
3
[編集]および[削除]オプションをロールの編集と削除と同じように使用します。
4
[変更の保存]をクリックします。
新しく追加されたり、編集されるロールは、管理者アカウントに割り当てることができます。
関連トピック:
169 ページの「管理者のロールの設定 」
168
McAfee Web Gateway 7.2
製品ガイド
認証
管理者アカウント
8
管理者のロールの設定
管理者のロールの設定は、管理者に割り当てられたロールの構成に使用されます。
管理者のロールの設定
管理者のロールの設定
表 8-16 管理者のロールの設定
オプション
定義
[ユーザー名]
管理者のユーザー名
[パスワード]
管理者パスワード
[パスワードの繰り
返し]
パスワードをチェックして確認するための、パスワードの繰返し
[ロール]
管理者のロールを選択するためのリスト
2 つのパスワード フィールドが使用可能になる前に、[管理者の編集]ウィンドウで、[パスワ
ードを新しく設定]を選択する必要があります。
[追加]および[編集]オプションを使用して、ロールを追加および編集できます。
追加および編集されたロールは管理者ロールのリストに表示されます。
[名前]
アカウントが設定された人物の本名
この名前の構成はオプションです。
外部アカウントの管理の構成
管理者アカウントを外部認証サーバーで管理し、外部的に保存されているユーザー グループおよび個々のユーザーを
アプライアンスのロールにマッピングすることができます。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[管理者アカウントは外部ディレクトリ サーバーで管理する]をクリックします。
追加の設定が表示されます。
3
[認証サーバーの詳細]で、外部サーバーの設定を構成します。
これらの設定は、アプライアンスの認証モジュールがサーバーから情報を取得する方法を決定します。
4
[認証グループ = ロール マッピング]の設定を使用して、外部サーバーに保存されているユーザー グループおよ
び個々のユーザーをアプライアンスのロールにマップします。
a
[追加]をクリックします。
[グループ/ユーザーのロール 名マッピングの追加] ウィンドウが開きます。
b
必要に応じてグループまたはユーザーと一致するフィールドの隣のチェックボックスを選択し、フィールド内
にグループまたはユーザーの名前を入力します。
c
[OK]をクリックします。
d
[マッピングされるロール]で、ロールを選択します。
e
[OK]をクリックします。
ウィンドウが閉じ、リストに新しいマッピングが表示されます。
f
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
169
8
認証
管理者アカウント
同じ方法で[編集]および[削除]オプションを使用し、マッピングを編集および削除できます。
170
McAfee Web Gateway 7.2
製品ガイド
9
クォータの管理
クォータ管理は Web の使用状況をネットワークのユーザーに通知する手段です。このようにして、ネットワークの
リソースとパフォーマンスが過剰な影響を受けないようにすることができます。
クォータとその他の制限は次のいくつかの方法で開始されます。
•
時間クォータ — ユーザーが Web の使用に費やすことができる時間を制限します
•
ボリューム クォータ — ユーザーが Web の使用に費やすことができるボリュームを制限します
•
警告 — ユーザーが Web 使用料に費やすことができる時間を制限しますが、制限しないことにした場合、設定し
た時間制限を超えることができます
•
権限のあるオーバーライド — 警告と同じ方法で Web の使用にユーザーが費やすことができる時間を制限します
しかし、時間制限は権限のあるユーザーのアクションによってのみ超えることができます。たとえば、教室の先
生などです。
•
ブロッキング セッション — Web オブジェクトのアクセスをユーザーが試みた後に指定の時間だけ Web へのア
クセスをブロックします。その場合、アクセスは許可されません
クォータとその他の制限は手段を個別に、または組み合わせて課することができます。
目次
Web ページ上でクォータおよびその他の制限を課す
時間のクォータ
ボリュームのクォータ
警告
許可オーバーライド
セッションのブロック
クォータのシステム設定
Web ページ上でクォータおよびその他の制限を課す
クォータおよびその他の制限を課することにより、Web の使用を指示し、ネットワーク リソースの消費を制限でき
ます。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するクォータ管理
•
URL、IP アドレス、その他など、ユーザーと特定の Web オブジェクトに関して制限を課するルールにより使用
されるクォータ管理リスト
•
時間とボリュームのクォータ、セッション時間、プロセスのその他のパラメーターを取り扱うために呼び出され
るクォータ管理モジュール
McAfee Web Gateway 7.2
製品ガイド
171
9
クォータの管理
Web ページ上でクォータおよびその他の制限を課す
クォータ管理ルール
クォータとその他の制限の管理を制御するルールは、時間クォータまたはコーチング ルール セットなど、制限のタ
イプに応じて異なるルール セットに含まれています。
これらのルール セットのルールは、時間やボリュームに設定された制限を超えているかどうかをチェックし、最終的
にさらに Web アクセスが要求された場合にそれをブロックします。これらはまた、ユーザーが新しいセッションで
続行することにするときに、リクエストをリダイレクトします。
クォータ管理ルール セットはデフォルトのルール セット システムでは実装されませんが、ルール セット ライブラ
リからインポートできます。ライブラリ ルール セット名は時間のクォータ、ボリュームのクォータ。警告、許可オ
ーバーライド、セッションのブロックです。
ライブラリ ルール セットで実装されるルールを見直し、それらを変更または削除し、また固有のルールを作成する
こともできます。
クォータ管理リスト
クォータおよびその他の制限の管理のためのルール セットは、Web オブジェクトとユーザーのリストを使用して、
制限を適宜、課します。このリストには、ルール セットの条件が含まれます。
たとえば、リストは多くの URL を含み、時間のクォータ ルール セットはその条件にこのリストをもっています。
すると、このルール セットとその中のルールは、ユーザーがリスト上の URL のアクセスする場合のみ適用されま
す。IP アドレスまたはメディア タイプのリストも同じように使用できます。
このリストにエントリーを追加したり、エントリーを削除することが可能です。固有のリストも作成して、クォータ
管理ルール セットで使用することができます。
クォータ管理モジュール
クォータ管理モジュール
（またはエンジンと呼ばれる）は、クォータ管理プロセスの時間とボリュームのパラメーター
を扱い、使った時間またはボリュームと残りの時間またはボリューム、セッション時間、およびその他の値に関して
調べるために、プロセスのルール チェックによりチェックされます。
それぞれのタイプの制限に対してモジュールがあります。たとえば、時間のクォータまたは警告モジュールです。
これらのモジュールを設定することにより、クォータ管理プロセスに適用する時間とボリュームを指定します。たと
えば、時間のクォータ モジュールを設定するときは、ユーザーは 1 日当たり何時間何分、特定の URL または IP ア
ドレスをもつ Web オブジェクトにアクセスできるかを指定します。
セッション時間
クォータ管理モジュールに対してできる設定の中に、セッション時間もあります。これは、ユーザーが 1 回のセッシ
ョンで Web の使用にかけられる時間です。
172
McAfee Web Gateway 7.2
製品ガイド
クォータの管理
時間のクォータ
9
セッション時間は、時間のクォータ、ボリュームのクォータ、およびクォータ管理機能のその他のパラメーター０に
対して、個別に設定され、それぞれ異なる処理が行われます。
•
時間のクォータのセッション時間－時間のクォータを構成する場合、セッション時間を構成する必要があります。
ユーザーはセッション時間を経過するたびに、セッション時間として構成されている時間の量がユーザーの時間
のクォータから差し引かれます。
時間のクォータが使い切られていない限り、ユーザーは新しいセッションを開始できます。時間のクォータを超
過した場合、ユーザーが送信するリクエストはブロックされて、ブロック メッセージが表示されます。
•
ボリュームのクォータのセッション時間－ボリュームのクォータを構成する場合、セッション時間はユーザーの
ボリュームのクォータに影響しません。
それでも、Web アクセスに使用された時間の量をユーザーに通知するために、セッション時間を構成することは
できます。セッションの時間を経過する場合、構成されたボリュームが消費されていない限り、ユーザーは新し
いセッションを開始することができます。
セッション時間を 0 に設定すると、セッション時間は構成およびユーザーに通知されなくなります。
•
他のクォータ管理機能のセッション時間－セッション時間は警告、許可オーバーライド、およびセッションのブ
ロックを含む他のクォータ管理機能に対しても構成できます。それにより、警告、許可オーバーライド、または
セッションのブロックも利用できます。
警告および許可オーバーライドでセッション時間が経過した場合、ユーザーが送信するリクエストはブロックさ
れます。
リクエストがブロックされた理由を説明するメッセージがユーザーに表示されます。時間のクォータも構成され
ていてそれが使い切られていない限り、ユーザーは新しいセッションを開始することができます。
セッションのブロックに対して設定されるセッション時間は、特定のユーザーにより送信されたリクエスト中に
ブロックされる時間を示します。この時間が経過すると、時間のクォータが構成されていてそれが使い切られて
いない限り、ユーザーからのリクエストは再び許可されるようになります。
クォータ管理機能の組み合わせ
特定のクォータ管理機能を使用して Web の使用を制限することは、他のクォータ管理機能の使用に影響を与えませ
ん。たとえば、時間のクォータとボリュームのクォータはアプライアンスで別々に実装されます。
しかし、これらの機能を意味のある方法に組み合わせることができます。
たとえば、いくつかの URL カテゴリーへのアクセスでは警告を指定すると同時に、他のカテゴリーでは許可オーバ
ーライドの認証情報をリクエストすることができます。
さらに他のカテゴリーのグループで、アクセスを試行するユーザーを構成された期間ブロックすることができます。
時間のクォータ
時間のクォータを構成することで、ネットワークのユーザーが Web の使用にかけられる時間を制限できます。
時間のクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー－時間のクォータが URL カテゴリーに関連する場合、ユーザーは特定のカテゴリー、たとえば、
オンライン ショッピングなどに該当する URL にアクセスするために制限された時間のみが許可されます。
•
IP アドレス－時間のクォータが IP アドレスに関連する場合、特定の IP アドレスからリクエストを送信するユ
ーザーは Web の使用のために制限された時間のみが許可されます。
•
ユーザー名－時間のクォータがユーザー名に関連する場合、ユーザーは Web の使用のために制限された時間のみ
が許可されます。アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
McAfee Web Gateway 7.2
製品ガイド
173
9
クォータの管理
時間のクォータ
これらのパラメーターは、時間のクォータのためにあるライブラリ ルール セットのルールによって使用されます。
時間のクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web を使用している時間は、アプライアンスに保存されています。あるユーザーに対して構成されてい
る時間のクォータを超過した場合、このユーザーが送信するリクエストはブロックされます。ユーザーに対してリク
エストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
Web の使用は、1 日、1 週間、1 月あたりの時間に制限できます。
時間のクォータの構成
時間のクォータを構成し、Web の使用に費やすネットワークのユーザーの時間を制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、時間のクォータのルールを含むルール セット、たとえば、[時間のクォータ] ライブ
ラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされてるルール セットを選択します。
たとえば、URL カテゴリに関連する時間のクォータを構成するには、[URL 構成での時間のクォータ ]を選択し
ます。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、[時間のクォータの URL カテゴリ ブラックリスト]のリスト名を選択します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集（カテゴリ）]ウィンドウが開きます。
5
ブロック リストに URL カテゴリを追加します。次に、[OK] をクリックして、ウィンドウを閉じます。
6
1 つのルールの条件で、[URL カテゴリの構成]設定名をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間と、1 日、1 週間、および 1 月あたりの時間のクォータを構成します。次に、[OK] をクリック
して、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
174 ページの「時間のクォータの設定 」
時間のクォータの設定
時間のクォータ設定は、時間のクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
時間のクォータの設定
174
McAfee Web Gateway 7.2
製品ガイド
クォータの管理
時間のクォータ
9
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
表 9-1 1 日あたり、1 週間あたり、1 月あたりの時間のクォータ、およびセッション時間
オプション
定義
[1 日あたり（1 週間あたり、1 月あたり） これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
の時間のクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセ
ッション時間に適用されます。
... の時間（時間と分数） . .
選択された時間単位またはセッション時間に適用する時間のクォータを構成するための設定
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、１週間当たりの時間クォータを選択している場合、見出しは１週間当たりの時間クォータの時間と分と表
示されます。
表 9-2 ... の時間（時間と分数） . .
オプション
定義
[時間]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される時間数
[分]
1 日あたり、1 週間あたり、1 月あたり、またはセッション時間に許容される分数
実際の構成された時間のクォータ
構成された時間のクォータの表示
表 9-3 実際の構成された時間のクォータ
オプション
定義
[1 日あたり（1 週間あたり、1 月あたり）の時間のクォー
タ]
許容される 1 日、1 週間、または 1 月あたりの時間
[セッション時間]
許容されるセッション時間
時間のクォータ ルール セット
j時間のクォータ ルール セットは、Web 使用量に時間のクォータを課するライブラリ ルール セットです。
ライブラリ ルール セット－時間のクォータ
条件－SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests
（and IM）
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成での時間のクォータ
•
IP 構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成での時間のクォータ
このルール セットは、初期状態では有効になっていません。
McAfee Web Gateway 7.2
製品ガイド
175
9
クォータの管理
時間のクォータ
URL 構成での時間のクォータ
このネストされたルール セットは、URL カテゴリーに関連する時間のクォータを処理します。
ネストされたライブラリ ルール セット－URL 構成での時間クォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Time Quota
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーが URL カテゴリーに関連する時間クォータのブロックリストにカテゴリーが分類
される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Time.lsActivationRequest equals true –> Redirect<Redirection After Time Session
Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間セッションを超過したか確認する
Quota.Time.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeSessionBlocked>
このルールは Quota.Time.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時間を
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
時間のクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionTimeQuotaBlocked>
このルールは Quota.Time.Exceeded プロパティを使用し、ユーザーが構成された時間のクォータを超過した
かどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックされます。
プロパティとともに指定される URL カテゴリーの構成 設定は、時間のクォータを処理するためのモジュールの設
定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成での時間のクォータ
このネストされたルール セットは、IP アドレスに関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット－IP 構成での時間クォータ
条件－Client.IP is in list 時間のクォータの IP ブラックリストのリスト
サイクル - Requests
（and IM）
ルール セットの条件は、ユーーが IP アドレスに関連する時間クォータのブロックリストにある IP アドレスで、ク
ライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
［IP 構成］であるルール条件に表示されるモジュール セットを除き、URL 構成での
時間のクォータルール セットと同じです。
176
McAfee Web Gateway 7.2
製品ガイド
クォータの管理
ボリュームのクォータ
9
認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、ユーザー名に関連する時間のクォータを処理しています。
ネストされたライブラリ ルール セット－認証済みユーザーの構成での時間クォータ
条件－Authenticated.RawUserName is in list 時間のクォータのユーザー ブラックリスト
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザー名に関連した時間クォータのブロックリストにユーザー名があるユーザーによりリ
クエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成での時間のクォータルール セットと同じです。
ボリュームのクォータ
ボリュームのクォータを構成することで、ネットワークのユーザーが Web からダウンロードできる Web オブジェ
クトのボリューム（GB および MB で測定）を制限できます。
ボリュームのクォータは、以下のさまざまなパラメーターに関連する可能性があります。
•
URL カテゴリー－ユーザーには、特定のカテゴリー、たとえば、ストリーミング メディアなどに該当する URL
を使用する場合は、制限されたボリュームのみ、Web オブジェクトのダウンロードが許可されています。
•
IP アドレス－特定の IP アドレスからダウンロードのリクエストを送信するユーザーには、制限されたボリュー
ムのみが許可されています。
•
ユーザー名－ユーザーはある制限されたボリュームまで Web オブジェクトのダウンロードが許可されています。
アプライアンスでの認証に送信したユーザー名でユーザーは識別されます。
•
メディア タイプ－ユーザーはある制限されたボリュームまで特定のメディア タイプに属する Web オブジェクト
のダウンロードが許可されています。
これらのパラメーターは、ボリュームのクォータのためにあるライブラリ ルール セットのルールによって使用され
ます。ボリュームのクォータに関連する他のパラメーターを使用する独自のルールも作成することが可能です。
ユーザーが Web からダウンロードするボリュームについての情報は、アプライアンスに保存されます。あるユーザ
ーに対して構成されているボリュームのクォータを超過した場合、このユーザーが送信するリクエストはブロックさ
れます。ユーザーに対してリクエストがブロックされた理由を説明するメッセージが表示されます。
認証に提出したユーザー名でユーザーは識別されます。リクエストとともにユーザー名が送信されていない場合、
Web の使用は記録され、リクエストの送信元であるクライアント システムの IP アドレスはブロックされるか、あ
るいは許可されます。
Web のダウンロードは、1 日、1 週間、1 月あたりにダウンロードされるボリュームに制限できます。
ボリュームのクォータの構成
ボリュームのクォータを構成し、Web の使用中に消費するネットワークのユーザーのボリュームを制限できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、ボリュームのクォータのルールを含むルール セット、たとえば、[ボリュームのクォ
ータ] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
McAfee Web Gateway 7.2
製品ガイド
177
9
クォータの管理
ボリュームのクォータ
3
適切なネストされたルール セット、たとえば、[IP 構成でのボリュームのクォータ]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[ボリュームのクォータの IP ブロックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集（カテゴリ）]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
適切なパラメーター、たとえば、セッション時間と、1 日あたり、1 週間あたり、および 1 月あたりのボリュー
ムのクォータなどを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
178 ページの「ボリューム クォータの設定 」
ボリューム クォータの設定
ボリュームのクォータ設定は、ボリュームのクォータ管理を処理するモジュールを構成するために使用されます。
1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
ボリュームのクォータの設定
時間単位またはセッション時間が選択されたら、次のセクションの見出しはそれに応じて表示されます。
表 9-4 1 日あたり、1 週間あたり、1 月あたりのボリュームのクォータ
オプション
定義
[1 日あたり（1 週間あたり、1 月あたり） これが選択されていると、次のセクションで構成されるクォータが選択
した時間単位に適用されます。
のボリュームのクォータ]
[セッション時間]
これが選択されていると、次のセクションで構成されるクォータがセッ
ション時間に適用されます。
... のボリューム . .
選択された時間単位またはセッション時間に適用するボリュームのクォータを構成するための設定
このセクションの見出しは、前のセクションで選択された項目によって異なります。
たとえば、１週間当たりのボリュームのクォータを選択している場合、見出しは１週間当たりのボリュームのクォー
タの時間と分と表示されます。
たとえば、セッション時間を選択している場合、見出しは時間と分と表示されます。
178
McAfee Web Gateway 7.2
製品ガイド
クォータの管理
ボリュームのクォータ
9
表 9-5 ... のボリューム . .
オプション
定義
[GiB]
ボリュームに許可される GiB の数。
[MIB]
ボリュームに許可される MiB の数。
実際の構成されたボリュームのクォータ
構成されたボリュームのクォータを表示する
表 9-6 実際の構成されたボリュームのクォータ
オプション
定義
[1 日あたり（1 週間あたり、1 月あたり）のボリューム 許容される 1 日、1 週間、または 1 月あたりのボリュ
ーム
のクォータ]
[セッション時間]
許容されるセッション時間
ボリュームのクォータ ルール セット
ボリューム クォータ ルール セットは、Web 使用量にボリューム クォータを課するライブラリ ルール セットです。
ライブラリ ルール セット－ボリュームのクォータ
条件－SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests
（and IM）
このルール セットの条件は、ルール セットが SSL セキュア 通信に加え、CONNECT コマンドが最初に使用され
ていない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
• URL 構成での時間のクォータ
• IP 構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
• 認証済みユーザーの構成での時間のクォータ
このネストされたルール セットは、初期状態では有効になっていません。
ライブラリ ルール セット－ボリュームのクォータ
条件－SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests
（and IM）
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成でのボリュームのクォータ
•
IP 構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
McAfee Web Gateway 7.2
製品ガイド
179
9
クォータの管理
ボリュームのクォータ
•
認証済みユーザーの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
•
メディア タイプの構成でのボリュームのクォータ
このルール セットは、初期状態では有効になっていません。
URL 構成でのボリュームのクォータ
このネストされたルール セットは、URL カテゴリーに関連するボリュームのクォータを処理します。
ネストされたライブラリ ルール セット－URL 構成でのボリュームのクォータ
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Volume Quota
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーが URL カテゴリーに関連するボリュームのクォータのブロックリストにカテゴリ
ーが分類される URL にリクエストを送信するときに、ルール セットが適用されることを指定します。
ルール セットは、以下のルールを含みます。
新しい時間セッション開始後にリダイレクト
Quota.Volume.lsActivationRequest<URL Category Configuration> equals true –>
Redirect<Redirection After Volume Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリューム セッションを超過したか確認する
Quota.Volume.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時
間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロッ
クされます。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
ボリュームのクォータを超過したか確認する
Quota.Time.Exceeded<URL Category Configuration> equals true –>
Block<ActionVolumeSessionBlocked>
このルールは Quota.Volume.Exceeded プロパティを使用し、ユーザーが構成されたボリュームのクォータを
超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロックさ
れます。
プロパティとともに指定される URL カテゴリーの構成 設定は、ボリュームのクォータを処理するためのモジュー
ルの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成でのボリュームのクォータ
このネストされたルール セットは、IP アドレスに関連するボリュームのクォータを処理しています。
180
McAfee Web Gateway 7.2
製品ガイド
クォータの管理
警告
9
ネストされたライブラリ ルール セット－IP 構成でのボリュームのクォータ
条件－Client.IP is in list ボリュームのクォータの IP ブラックリスト
サイクル - Requests
（and IM）
ルール セットの条件は、ユーーが IP アドレスに関連するボリュームのクォータのブロックリストにある IP アドレ
スで、クライアントからのリクエストが送信されるとき、ルール セットがされることを指定しています。
このルール セットのルールは、
［IP 構成］であるルール条件に表示されるモジュール セットを除き、URL 構成での
ボリュームのクォータルール セットと同じです。
認証済みユーザーの構成でのボリュームのクォータ
このネストされたルール セットは、ユーザー名に関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット－認証済みユーザーの構成でのボリュームのクォータ
条件－Authenticated.RawUserName is in list ボリュームのクォータのユーザー ブラックリスト
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザー名に関連したボリュームのクォータのブロックリストにユーザー名があるユーザー
によりリクエストが送信されるとき、ルール セットが適用されることを指定しています。
このルール セットのルールは、認証ユーザー構成であるルール条件に表示されるモジュール セットを除き、URL 構
成でのボリュームのクォータルール セットと同じです。
メディア タイプの構成でのボリュームのクォータ
このネストされたルール セットは、メディア タイプに関連するボリュームのクォータを処理しています。
ネストされたライブラリ ルール セット－メディア タイプの構成でのボリュームのクォータ
条件 – MediaType.FromFileExtension at least one n list Media Type Blocklist for Volume Quota
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーがボリュームのクォータ管理のために特別に維持されているブロック リストにあ
るメディア タイプに属する Web オブジェクト リクエストを送信するときに、ルール セットが適用されることを指
定しています。
このルール セットのルールは、［メディア タイプ構成］であるルール条件に表示されるモジュール セットを除き、
URL 構成でのボリュームのクォータルール セットと同じです。
警告
警告クォータを構成することおで、ネットワークのユーザーが Web を使用する時間を制限できますが、続行を選択
する場合は許可されます。
ユーザーの Web の使用について警告を出すには、特定期間の警告セッションを構成します。ユーザーのこのセッシ
ョン時間が経過すると、ブロック メッセージが表示されます。すると、ユーザーは新しいセッションの開始を選択で
きます。
URL カテゴリ、IP アドレス、およびユーザー名などの警告ライブラリ ルール セットで使用されているパラメーター
に関連する警告を構成することができます。他のパラメーターを使用して独自のルールを作成することもできます。
McAfee Web Gateway 7.2
製品ガイド
181
9
クォータの管理
警告
警告の構成
警告を構成してネットワークのユーザーに対して Web の使用を制限できますが、構成された時間制限を過ぎた後に
Web の使用を選択したときに続行を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、警告のルールを含むルール セット、たとえば、[警告] ライブラリ ルール セットを拡
張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成での警告]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[警告の IP ブラックリスト]をクリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集（カテゴリ）]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
182 ページの「警告設定 」
警告設定
警告設定は、警告を処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
警告セッションの期間を構成するための設定
表 9-7 セッション時間の時間と分数
182
オプション
定義
[日]
警告セッションの日数
[時間]
警告セッションの時間数
[分]
警告セッションの分数
McAfee Web Gateway 7.2
製品ガイド
9
クォータの管理
警告
警告ルール セット
警告ルール セットは、実行を選択した場合ユーザーが送信できる Web の使用状況に制限が課せられるライブラリ
ルール セットです。
ライブラリ ルール セット－警告
条件－SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests
（and IM）
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で警告
•
IP 構成で警告
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で警告
このルール セットは、初期状態では有効になっていません。
URL 構成で警告
このネストされたルール セットは、URL カテゴリに関連する警告を処理します。
ネストされたライブラリ ルール セット－URL 構成で警告
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Coaching
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーが URL カテゴリに関連する警告のブロック リストに該当するカテゴリにある
URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
新しい警告セッション開始後にリダイレクト
Quota.Coaching.lsActivationRequest equals true –> Redirect<Redirection After Coaching
Session Activation>
このルールは、セッション時間を超過してユーザーが新しいセッションで続行すると選択した後、ユーザーに再び
Web オブジェクトにアクセスできるようにリクエストをリダイレクトします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
警告セッションを超過したか確認する
Quota.Coaching.Session.Exceeded<URL Category Configuration> equals true –>
Block<ActionCoachingSessionBlocked>
このルールは Quota.Coaching.SessionExceeded プロパティを使用し、ユーザーが構成されたセッション時
間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエストはブロッ
クされます。
プロパティとともに指定される［URL カテゴリの構成］設定は、警告を処理するためのモジュールの設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
IP 構成での警告クォータ
このネストされたルール セットは、IP アドレスに関連する警告を処理します。
McAfee Web Gateway 7.2
製品ガイド
183
9
クォータの管理
許可オーバーライド
ネストされたライブラリ ルール セット－IP 構成で警告
条件－Client.IP is in list 警告の IP ブラックリスト
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーが警告のために IP アドレスに関連するブロック リストにある IP アドレスを有す
るクライアントからリクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される IP 構成を除き、URL 構成での警告ルー
ル セットと同じです。
認証済みユーザーの構成で警告
このネストされたルール セットは、ユーザー名に関連する警告を処理します。
ネストされたライブラリ ルール セット－認証済みユーザーの構成で警告
条件－Authenticated.RawUserName is in list 警告のユーザー ブラックリスト
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーがユーザー名に関連する警告のためにブロック リストにユーザー名がリストされ
ているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定に表示される 認証されたユーザー構成を除き、URL 構
成での警告ルール セットと同じです。
許可オーバーライド
許可オーバーライドを許可するセッションでは、セッション時間を構成できます。
このセッション時間が経過すると、ユーザー リクエストはブロックされ、ブロック メッセージが表示されます。こ
のメッセージでは、新しいセッションを開始するためにユーザー名とパスワードの提出も求められます。
これらの認証情報は、許可されているユーザーのものである必要があります。たとえば、教室の状況で、許可オーバ
ーライド セッションの終了後にブロックされるユーザーは生徒であり、許可されたユーザーは教師だということはあ
り得ます。
ユーザーの認証は、構成された認証方法に従って実行されます。しかし、この方法を構成するとき、統合認証モード
を含むことはできません。
ブロック メッセージは、ブロックされたユーザーの許可オーバーライド セッションの期間を指定するオプションも
提供しています。
このユーザーのために構成される期間は、許可オーバーライドのモジュール設定の一部として、すべての他のユーザ
ーのために構成されている期間を超えない必要があります。
URL カテゴリ、IP アドレス、およびユーザー名などのライブラリ ルール セットで使用されているパラメーターに関
連する許可オーバーライドを構成することができます。他のパラメーターを使用して独自のルールを作成することも
できます。
184
McAfee Web Gateway 7.2
製品ガイド
9
クォータの管理
許可オーバーライド
許可オーバーライドの構成
許可オーバーライドを構成し、ユーザーの Web 使用を制限できますが、許可ユーザーのアクションを通過する構成
された時間制限を許可します。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、許可オーバーライドのルールを含むルール セット、たとえば、[許可オーバーライ
ド] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
3
適切なネストされたルール セット、たとえば、[IP 構成での許可オーバーライド]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[許可オーバーライドの IP ブラックリスト]をク
リックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集（カテゴリ）]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッション時間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
185 ページの「許可オーバーライド設定 」
許可オーバーライド設定
許可オーバーライド設定は、許可オーバーライドを処理するモジュールを構成するために使用されます。
最大セッション時間の時間と分数
許可オオーバーライドにおけるセッションの最大時間の長さを構成する設定
表 9-8 最大セッション時間の時間と分数
オプション
定義
[日]
許可オーバーライド セッションの日数
[時間]
許可オーバーライド セッションの時間
[分]
許可オーバーライド セッションの分数
McAfee Web Gateway 7.2
製品ガイド
185
9
クォータの管理
許可オーバーライド
許可オーバーライド ルール セット
許可オーバーライド ルール セットは、許可ユーザーのアクションを通して通すことができる、Web の使用状況に時
間制限を課するライブラリ ルール セットです。
ライブラリ ルール セット－許可オーバーライド
条件－SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests
（and IM）
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セット内にネストされています。
•
URL 構成で許可オーバーライド
•
IP 構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
•
認証済みユーザーの構成で許可オーバーライド
このルール セットは、初期状態では有効になっていません。
URL 構成で許可オーバーライド
このネストされたルール セットは、URL カテゴリに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット－URL 構成で許可オーバーライド
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Authorized
Override
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーが URL カテゴリに関連する許可オーバーライドのブロック リストに該当するカテ
ゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
許可オーバーライドの認証の後にリダイレクトする
Quota.AuthorizedOverride.lsActivationRequest<URL Category Configuration> equals true
AND Authentication.Authenticate<User Database> equals true –> Redirect<Redirection After
Authorized Session Activation>
このルールは、セッション時間を超過した後に、ユーザーに再び Web オブジェクトと、新しいセッションが検証
された状態で続行するためにユーザーが提出した認証情報にアクセスできるように、リクエストをリダイレクトし
ます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
許可オーバーライド セッションを超過したか確認する
Quota.AuthorizedOverride.SessionExceeded<URL Category Configuration> equals true –>
Block<Action Authorized Override Blocked>
このルールは Quota.AuthorizedOverride.SessionExceeded プロパティを使用し、ユーザーが構成された
セッション時間を超過したかどうかを確認します。超過した場合は、Web にアクセスするためのユーザー リクエ
ストはブロックされます。
プロパティとともに指定される［URL カテゴリの構成］設定は、許可オーバーライドを処理するためのモジュール
の設定です。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
186
McAfee Web Gateway 7.2
製品ガイド
クォータの管理
セッションのブロック
9
IP 構成で許可オーバーライド
このネストされたルール セットは、IP アドレスに関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット－IP 構成で許可オーバーライド
条件－Client.IP is in list IP Blocklist for Authorized Override
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーが許可オーバーライドのために IP アドレスに関連するブロック リストにある IP
アドレスを有するクライアントからリクエストを送信するときに、ルール セットが適用されることを指定していま
す。
このルール セットのルールは、ルール条件のモジュール設定の IP 構成を除き、URL 構成で許可オーバーライド ル
ール セットと同じです。
認証済みユーザーの構成で許可オーバーライド
このネストされたルール セットは、ユーザー名に関連する許可オーバーライドを処理します。
ネストされたライブラリ ルール セット－認証済みユーザーの構成で許可オーバーライド
条件－Authenticated.RawUserName is in list User Blocklist for Authorized Override
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーがユーザー名に関連する認可オーバーライドのためにブロック リストにユーザー
名がリストされているユーザー リクエストを送信するときに、ルール セットが適用されることを指定しています。
このルール セットのルールは、ルール条件のモジュール設定の 認証済みユーザーの構成を除き、URL 構成で許可オ
ーバーライド ルール セットと同じです。
セッションのブロック
セッションのブロックを構成することで、構成された期間にユーザーによって送信されたリクエストをブロックでき
ます。
許可されていないカテゴリに分類した URL のリクエストなど、ユーザーが構成ルールに従ってブロックするリクエ
ストを送信した後、セッションのブロックが課せられます。
これは Web オブジェクトへの不要なアクセスをより厳格に処理する Web セキュリティ ポリシーを施行する方法
の 1 つです。
ライブラリ ルール セットに使用されているパラメーターに関連するセッションのブロックを構成できます。他のパ
ラメーターを使用して独自のルールを作成することもできます。
ブロック セクションの構成
許可されていない Web オブジェクトにアクセスを試みた後、ブロック セクションを構成し、構成された期間にわた
ってユーザーのセッションをブロックできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セットのツリーで、セッションのブロックのルールを含むルール セット、たとえば、[セッションのブロ
ック] ライブラリ ルール セットを拡張します。
ネストされたルール セットが表示されます。
McAfee Web Gateway 7.2
製品ガイド
187
9
クォータの管理
セッションのブロック
3
適切なネストされたルール セット、たとえば、[IP 構成でのセッションのブロック]を選択します。
一般的な設定とルール セットのルールは、設定パネルで表示されます。
4
ルール セットの条件で、適切なブロック リスト名、たとえば、[セッションのブロックの IP ブラックリスト]を
クリックします。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを示し
ます。
[リストの編集（カテゴリ）]ウィンドウが開きます。
5
ブロック リストに適切なエントリ、たとえば、IP アドレスを追加します。次に、[OK] をクリックして、ウィン
ドウを閉じます。
6
1 つのルールの条件で、適切な設定名、たとえば、[IP 構成]をクリックします。
[設定の編集]ウィンドウが開きます。
7
セッションのブロック期間など、適切なパラメーターを構成します。次に、[OK] をクリックして、ウィンドウを
閉じます。
8
[変更の保存]をクリックします。
関連トピック:
188 ページの「ブロック セッションの設定 」
ブロック セッションの設定
ブロック セッション設定は、ブロック セッションを処理するモジュールを構成するために使用されます。
セッション時間の時間と分数
セッションのブロックの期間を構成するための設定
表 9-9 セッション時間の時間と分数
オプション
定義
[日]
セッションのブロックの日数
[時間]
セッションのブロックの時間数
[分]
セッションのブロックの分数
セッションのブロック ルール セット
セッションのブロック ルール セットは、許可されていない Web オブジェクトへのアクセスを試みた後、Web セッ
ションのブロックのライブラリ ルール セットです。
ライブラリ ルール セット－セッションのブロック
条件－SSL.Client.Context.IsApplied equals true OR Command.Name does not equal
“CONNECT”
サイクル - Requests
（and IM）
このルール セットの条件は、ルール セットが SSL セキュア通信に加え、CONNECT コマンドが最初に使用されて
いない他の通信方法にも適用されることを指定しています。
以下のルール セットは、このルール セットでネストされています。URL 構成でセッションのブロック
188
McAfee Web Gateway 7.2
製品ガイド
クォータの管理
クォータのシステム設定
9
URL 構成でセッションのブロック
このネストされたルール セットは、URL カテゴリに関連するセッションのブロックを処理します。
ネストされたライブラリ ルール セット－URL 構成でセッションのブロック
条件 – URL.Categories<Default> at least one in list URL Categories Blocklist for Blocking
Sessions
サイクル - Requests
（and IM）
ルール セットの条件は、ユーザーが URL カテゴリに関連するセッションのブロックのブロック リストに該当するカ
テゴリにある URL リクエストを送信するときに、ルール セットが適用されることを指定しています。
ルール セットは、以下のルールを含みます。
セッションのブロックがアクティブな場合、ユーザーをブロックする
BlockingSession.IsBlocked<Blocking Session Configuration> equals true –> Block<Blocking
Session Template>
このルールは、BlockingSession.IsBlocked プロパティを使用して、リクエストを送信するユーザーに対して
セッションのブロックがアクティブにされているかどうか確認します。アクティブな場合は、リクエストがブロッ
クされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
カテゴリがセッションのブロックのカテゴリ リストにある場合、セッションのブロックをアクティブにする
URL.Categories<Default> at least one in list Category List for Blocking Session –> Continue
— BlockingSession.Activate<Blocking Session Configuration>
このルールは、URL.Categories プロパティを使用して、ユーザーがアクセスをリクエストする URL が、セッシ
ョンのブロック用に特別に維持されているブラックリストのカテゴリに該当するかどうかを確認します。リストに
あるカテゴリに該当する場合、セッションのブロックはそのユーザーに対してアクティブにされます。
BlockingSession.Activate イベントは、セッションのブロックをアクティブにするために使用されます。イベ
ント設定は、イベントで指定されます。
クォータのシステム設定
クォータのシステム設定は、クォータ管理に関連する時間間隔の一般的な設定です。
アプライアンスが一元管理構成のノードの場合、その他ノードとのデータ同期の時間間隔も設定できます。
これらの設定は、[構成]トップレベル メニューの[アプライアンス]タブで構成されます。
[警告]の名前
（クォータではなく）で表示されることもありますが、クォータ管理に提供されるすべてのオプションに
どちらの場合も適用されます。
（許可オーバーライド、セッションのブロック、警告、時間のクォータ、ボリュームの
クォータ）。
同期と保存のクォータの間隔（分）
クォータ管理に関連する時間間隔の設定
McAfee Web Gateway 7.2
製品ガイド
189
9
クォータの管理
クォータのシステム設定
表 9-10 同期と保存のクォータの間隔（分）
オプション
定義
[保存間隔]
現在のクォータの値、たとえば、特定のユーザーによって消費されたボリュームのバイト数などが
アプライアンスに保存される前に経過する時間（分）
[更新されたク 一元管理の構成において、現在のクォータの値がアプライアンスからすべてのノードに分配される
ォータのデータ 前に経過する時間（分）
を送信する間
分配されるデータには、最後にアプライアンスからデータが分配された後に発生したクォータの値
隔]
への変更が含まれます。
[基本同期の間 一元管理の構成において、クォータの値がすべてのノードで同期される前に経過する時間（分）
隔]
この同期は、すべてのアプライアンスにある現在のクォータ値のスナップショットをとります。個
々のユーザーにとって最新である値は、すべてのアプライアンスに分配されます。
値は、一時的に非アクティブであって、その間に更新を受信しなかったノードにも分配されます。
さらに、値は構成に新しく追加されたノードに分配されるため、以前の更新は受信されません。
[～ 後にデータ クォータのデータベースでデータが削除される前に経過する時間（日）
ベースをクリー
データが削除される前に、データが無効であるかどうかの確認が実行されます。クォータ管理機能
ンアップ]
のために構成された時間間隔が経過した場合、データは無効です。
たとえば、特定のバイトの量が 1 か月の間に消費されるボリュームのクォータとして構成されてい
る場合、次の月が始まると、ユーザーが実際に消費した量は無効になります。すると、[～ 後にデ
ータベースをクリーンアップ]オプションで構成されている時間も経過している場合、クリーンア
ップはこのデータを削除します。
時間のクォータの場合、保存されているデータは 1 月で無効になります。他のクォータ管理機能で
は、他の時間間隔もクリーンアップに関連しています。たとえば、警告と許可オーバーライドで
は、許容されているセッション時間が経過する前はクリーンアップを実行することできません。
190
McAfee Web Gateway 7.2
製品ガイド
10
Web フィルタリング
ネットワークのユーザーが Web にアクセスするためのリクエストを送信すると、これらのリクエストだけではなく、
アプライアンスは Web から返された応答もフィルタリングします。リクエストまたは応答とともに送信される埋め
込みオブジェクトもフィルターされます。
Web フィルタリングはさまざまな方法で実行されます。施行し、変更が可能なルールにより制御されます。アプラ
イアンスのデフォルト フィルタリングには以下が含まれます。
•
ウイルスとマルウェア フィルタリング — 感染される Web オブジェクトへのアクセスをブロックします
•
URL フィルタリング — 特定の URL をもつ Web オブジェクトへのアクセスをブロックします
•
メディア タイプ フィルタリング — 特定のメディア タイプに属する Web オブジェクトへのアクセスをブロック
します
グローバル ホワイトリスト登録では、上記のフィルタリング方法のいずれかのルールを適用する前は、Web オブジ
ェクトへのアクセスを許可します。SSL スキャニングは SSL セキュア接続を使用して送信されるリクエストの最終
的なフィルタリングとブロックを有効にします。
目次
ウイルスおよびマルウェアのフィルタリング
URL フィルタリング
メディア タイプ フィルタリング
アプリケーション フィルタリング
ストリーミング メディア フィルタリング
グローバル ホワイトリスト登録
SSL スキャン
Data Loss Prevention
ウイルスおよびマルウェアのフィルタリング
ウイルスとマルウェアのフィルタリングは、ネットワークのユーザーが感染した Web オブジェクトにアクセスでき
ないことを確認します。フィルタリング プロセスは、感染を検出し、アクセスを適宜、ブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
特定の Web オブジェクトをさらなるフィルタリングから除外するルールに使用されるホワイトリスト
•
マルウェア対策モジュールは、適切なルールによって呼び出され、Web オブジェクトをスキャンしてウイルス感
染およびその他のマルウェア感染を検出
McAfee Web Gateway 7.2
製品ガイド
191
10
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
フィルタリング ルール
ウイルスおよびマルウェアのフィルター処理を制御するルールは通常、1 つのルール セットに含まれます。このルー
ルセットのキー ルールは、Web オブジェクトがウイルスまたはその他のマルウェアに感染している場合、Web オブ
ジェクトへのアクセスがブロックされるものです。
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
ウイルスとマルウェア フィルタリングについてアプライアンスで施行されているルールを見直し、それらを変更また
は削除し、固有のルールを作成することもできます。
デフォルト ルール セット システムが施行されると、ウイルスとマルウェア フィルタリングのルール セットが含ま
れます。その名前は、Gateway Antimalwareです。
ホワイトリスト
ホワイトリストは、ホワイトリスト登録ルールを使用することで、特定の Web オブジェクトにブロック ルールをス
キップさせます。このことは、これらのオブジェクトに対してスキャニングが行われないことを意味します。URL 、
メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリーを追加したり、エントリーを削除することが可能です。また、独自のリストを作成し、ホワ
イトリスト登録ルールに使用させることも可能です。
ブロッキング リストはリストのエントリーではなくマルウェア対策モジュールの検出に依存するため、ブロック リ
ストは通常ウイルスおよびマルウェアのフィルタリングでは使用されません。
マルウェア対策対策モジュール
マルウェア対策モジュールは、マルウェア対策エンジンとも呼ばれます。それはオブジェクトをスキャンし、ウイル
スやその他マルウェアによる感染を検出します。このモジュールの検出に従って、ブロック ルールが Web オブジェ
クトへのアクセスをブロックしたり、通過させたりします。
マルウェア対策モジュールがコールされて実行され、Web オブジェクトをスキャンすると、デフォルトで実行中の
2 つのモジュールを組み合わせます。これらのモジュールは、マルウェア対策モジュールのサブモジュールとして見
られる場合があります。
それぞれのサブモジュールは、異なるスキャニング方法を使用します。マルウェア対策モジュールの設定を構成する
とき、追加または単独でサードパーティのサブモジュールが実行するようにデフォルト モードを変更できます。
デフォルトにより実行される 2 つのサブモジュールは McAfee Gateway Anti-Malware engine、および
McAfee Anti-Malware engine です。後者は Web オブジェクトの感染を検出するためにウイルス署名を使用し
ます。
しかし、この方法はすでにわかっていて、署名が登録されているウイルスおよびその他のマルウェアのみを検出でき
ます。さらに上位の Web セキュリティを確保するために、McAfee Gateway Anti-Malware エンジンは新しいウイ
ルスやマルウェアを検出するために積極的な方法も使用します。
サブモジュールの一時的な過負荷を避けるために、リクエストがスキャニング前に移動されるマルチウェア防止キュ
ーを設定できます。
ウイルスおよびマルウェアのフィルタリングの構成
このプロセスがネットワークの要件に対応するように、ウイルスおよびマルウェアのフィルタリングを構成すること
が可能です。
以下の高レベル手順を完了します。
192
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
10
タスク
1
ウイルスおよびマルウェアのフィルタリングのルール セットでルールを確認します。
デフォルトでは、これはGateway Antimalware ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ホワイトリスト ルールの有効化または無効化
•
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
•
マルウェア対策モジュールが Web オブジェクトのスキャンのため呼び出されるとき、実行するサブモジュー
ルの組み合わせを変更します。
デフォルトで、この組み合わせには以下のサブモジュールが含まれています。
•
•
McAfee Gateway マルウェア対策
•
McAfee マルウェア対策
マルウェア対策モジュールのその他設定の変更
3
必要に応じてマルウェア対策キューを構成し、Web オブジェクトをスキャンするモジュールの負荷を避けます。
4
変更を保存します。
マルウェア対策モジュールの構成
マルウェア対策モジュールを構成し、Web オブジェクトのウイルスおよびその他マルウェアによる感染をスキャン
する方法変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ウイルスおよびマルウェア フィルタリング用のルールを含むルール セットを選択しま
す。
デフォルトでは、これはGateway Antimalware ルール セットです。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
マルウェア対策モジュールを呼び出すルールを検索します。
デフォルトで、これはルール Block if virus was found です。
5
ルール条件で、設定名をクリックします。
この名前がAntimalware.Infectedプロパティの隣に表示されます。デフォルトで、これは Gateway
Antimalware です。
[設定の編集]ウィンドウが開きます。これはマルウェア対策モジュールの設定を提供します。
McAfee Web Gateway 7.2
製品ガイド
193
10
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
6
必要に応じて、これらの設定を構成します。次に、[OK] をクリックして、ウィンドウを閉じます。
7
[変更の保存]をクリックします。
関連トピック:
195 ページの「マルウェア対策設定 」
Web オブジェクトのスキャンに対するモジュールの組み合わせの変更
マルウェア対策モジュールの設定を構成する場合、Web オブジェクトのスキャンを実行するサブモジュールの組み
合わせを変更できます。
異なるサブモジュールをマルウェア対策モジュール
（またはエンジン）の名前で実行し、スキャンを実行できます。ア
プライアンスで使用できるサブモジュールは、購入したライセンスによって異なります。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
マルウェア対策設定にアクセスします。
a
ルール セット ツリーで、ウイルスおよびマルウェア フィルタリング用のルールを含むルール セットを選択
します。
デフォルトでは、これはGateway Antimalware ルール セットです。
このルール セットのルールは設定パネルに表示されます。
b
[詳細を表示]が選択されていることを確認します。
c
マルウェア対策モジュールを呼び出すルールを検索します。
デフォルトで、これはルール Block if virus was found です。
d
ルール条件で、設定名をクリックします。
この名前がAntimalware.Infectedプロパティの隣に表示されます。デフォルトで、これは Gateway
Antimalware です。
[設定の編集]ウィンドウが開きます。これはマルウェア対策モジュールの設定を提供します。
3
[ スキャン エンジンおよび動作の選択] セクションで、以下のサブモジュールの組み合わせの 1 つを選択します。
•
[Full McAfee coverage:推奨される高度な構成] — 選択されると、McAfee Gateway マルウェア対策エンジ
ンおよび McAfee マルウェア対策エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ
このモジュールの組み合わせはデフォルトで有効になっています。
•
[Layered coverage:Full McAfee coverage plus specific Avira engine features – minor performance
impact] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ+ いくつかの Web オ
ブジェクトに対する他社製モジュール機能
194
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
•
10
[Duplicate coverage:Full McAfee coverage and Avira engine – less performance and more false
positives] — 選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア対策エンジ
ン、および他社製 Avira エンジンがアクティブになります。
スキャン モードは以下のとおりです。プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機
能
•
[Avira のみ:Avira エンジンのみの使用 — 非推奨] — 選択すると、Avira エンジンのみがアクティブになり
ます。
スキャン モードは以下のとおりです。他社製モジュール機能
4
[OK]をクリックしてウィンドウを閉じます。
5
[変更の保存]をクリックします。
Gateway マルウェア対策ルール セットで作業するとき Avira のみのオプションを選択する場合、設定およびルー
ル セットの名前を変更し、キー設定が変更されたことを示します。
名前の変更は、例えば、Gateway Antimalware（設定およびルール セット）からAvira Anti-Malware（設定
およびルール セット）など。
ルール セットおよび設定の名前を変更する代わりに、追加ルール セットおよび追加設定も作成し、ルールの構成を
必要とするときに利用可能になります。
マルウェア対策設定
マルウェア対策設定は、マルウェア対策モジュールがウイルスまたはその他のマルウェアの感染に対してWeb オブ
ジェクトをスキャンする方法を構成するのに使用されます。
スキャン エンジンおよび動作の選択
1 つが感染を検出した場合の、スキャン エンジンと動作の組み合わせを選択する設定
スキャン エンジンは、マルウェア対策モジュールとして一緒に実行するサブモジュールで、Web オブジェクトをス
キャンします。
表 10-1 スキャン エンジンの選択
オプション
定義
[Full McAfee coverage:推奨 選択したら、McAfee Gateway マルウェア対策エンジンおよび McAfee マルウェ
される高度な構成]
ア対策エンジンがアクティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ
このオプションはデフォルトで選択されています。
[Layered coverage:Full
McAfee coverage plus
specific Avira engine
features — minor
performance impact]
選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア
対策エンジン、およびいくつかの Web オブジェクトと他社製 Avira エンジンがア
クティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ+ いくつかの Web オブジェクトに
対する他社製モジュール機能
[Duplicate coverage:Full
McAfee coverage and
Avira engine — less
performance and more
false positives]
McAfee Web Gateway 7.2
選択されたとき、McAfee Gateway マルウェア対策エンジン、McAfee マルウェア
対策エンジン、および他社製 Avira エンジンがアクティブになります。
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
プロアクティブな方法 + ウイルス シグネチャ + 他社製モジュール機能
製品ガイド
195
10
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 10-1 スキャン エンジンの選択 (続き)
オプション
定義
[Avira のみ:Avira エンジンの 選択すると、Avira エンジンのみがアクティブになります。
みの使用 — 非推奨]
Web オブジェクトはそこで次の組み合せを使用してスキャンされます。
他社製モジュール機能
[エンジンがウイルスを検出し 選択されると、ウイルスおよびその他マルウェアの感染が 1 つ検出されてすぐに、
たすぐ後のウイルス スキャン エンジンが Web オブジェクトのスキャンを停止します。
の停止]
モバイル コードの動作
モバイル コードの分類時に、リスク レベルを設定するための設定項目
リスク レベルには 60 ～ 100 の値を入力できます。
スキャン方法が極めて厳密に適用されるため、値が小さいほどモバイル コードの振る舞いを積極的にスキャンし、そ
れがマルウェアであることを検出しないリスクが低くなることを意味します。悪質な可能性の条件がわずかしか検出
されない場合であっても、モバイル コードは、マルウェアとして分類されます。
このため、実際には悪質でないマルウェア（「誤検知」）としてモバイル コードが分類される可能性があります。
プロアクティブなセキュリティはより厳密な設定を使って達成されますが、どのモバイル コードが実際に悪質かを判
断する精度は劣ります。その結果、アプライアンスはユーザーに届けたい Web オブジェクトをブロックする場合が
あります。
大きな値ほど、悪意のあるモバイル コードを検出できないリスクが高くなりますが
（
「非検知」）、モバイルコードを
悪質かそうでないか（少ない「誤検知」）正しく分類することに高い精度が獲得されます。
表 10-2 モバイル コードの動作
オプション
定義
[分類しきい値]
上記で説明したようにリスク レベルを設定するスライダー スケール
• 最小値（最大の事前予防効果）: 60
• 最大値（最大精度）: 100
詳細設定
すべてのスキャン サブモジュールの詳細設定
表 10-3 詳細設定
オプション
定義
[AV 事前スキャンを有効にす 選択した場合、それらにスキャンを送信する負荷を低減することによって、サブモジ
ュールのパフォーマンスが向上します。
る]
このオプションはデフォルトで選択されています。この設定を変更しないことを推
奨します。
[GTI ファイル レピュテーシ 選択すると、マルウェア対策モジュールが提供するスキャン結果に Global Threat
ョンを有効にする]
Intelligence システムから取り出したファイルのレピュテーション情報が含まれま
す。
[ヒューリスティック スキャ 選択すると、ヒューリスティック スキャンの方法が Web オブジェクトに適用され
ます。
ンを有効にする:]
196
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
10
McAfee Gateway Antimalware の詳細設定
McAfee Gateway マルウェア対策サブモジュールの詳細設定
次のオプションはデフォルトで選択されています。これらの設定を変更しないことを推奨します。
表 10-4 McAfee Gateway マルウェア対策の詳細設定
オプション
定義
[怪しいプログラムの検出を有効 選択されると、Web オブジェクトは怪しいプログラムにスキャンもします。
にする]
[モバイル コード スキャンを有効 選択されたら、モバイル コードが通常通りにスキャンされます。
にする]
個々の設定は、次のモバイル コード タイプをスキャンしますの下で構成されま
す。
[モバイル コード フィルターによ 選択されたら、ここで説明されたコンテンツが削除されます。
って HTML 文書で検出されたコ
ンテンツの削除を有効にする]
次のモバイル コード タイプをス
キャンします
以下のモバイル コード タイプが選択されたときにスキャンされます。
[Windows の実行可能ファイル] Web からダウンロードで、または電子メールで受信すると、これらすべての実
行可能ファイルは、カレント ユーザーの全権限で実行するため、起動時に脅威と
なることもあります。
[JavaScript]
JavaScript コードは、Web ページから PDF ドキュメント、ビデオ、HTML フ
ァイルまで、どこにでも仮想的に埋め込むことが可能です。
[Flash ActionScript]
ActionScript コードは、Flash ビデオおよびアニメーションに埋め込まれ、
Flash Player およびそれらすべての機能を備えたブラウザーにアクセスします。
[Java アプレット]
Java アプレットは Web ページに埋め込まれます。有効化されると、デジタル
証明書およびユーザーの選択に基づき、さまざまな権限レベルで実行できます。
[Java アプリケーション]
Java アプリケーションはカレント ユーザーのすべての権限でスタンドアローン
で実行します。
[ActiveX コントロール]
ActiveX コントロールは、Web ページおよび Office 文書に埋め込まれます。有
効化されると、カレント ユーザーのすべての権限で実行します。
[Windows ライブラリ]
これらのライブラリは、通常セットアップ パッケージの実行可能ファイルを伴い
ます。または実行中の実行可能ファイルによって、または不正なコードによっ
て、Web からダウンロードされます。
[Visual Basic スクリプト]
Visual Basic スクリプト コードは Web ページまたは電子メールに埋め込まれ
ます。
[Visual Basic for applications] Visual Basic マクロは Word、Excel、PowerPoint で作成されたオフィス ドキ
ュメントに埋め込まれます。
次の振る舞いをブロックする
次のタイプの振る舞いが選択されると、Web オブジェクトはこの振る舞いがブロックされていることを表示しま
す。
[データの盗難:バックドア]
McAfee Web Gateway 7.2
攻撃者のリモートからのフル アクセス、および既存の、または新しく作成された
ネットワーク チャネルによる被害者のシステムへのコントロールを許可する不正
なアプリケーション。
製品ガイド
197
10
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
表 10-4 McAfee Gateway マルウェア対策の詳細設定 (続き)
オプション
定義
[データの盗難:キーロガー]
キー操作を記録し保存するために、オペレーティング システムに接続する不正な
アプリケーション。
パスワードなどの取得した情報は、攻撃元に送られます。
[データの盗難:パスワードの盗
聴]:
システム設定、機密データ、認証情報、ユーザー認証のデータなどの重要な情報
を収集、保存、漏えいする不正なアプリケーション。
[システム侵害:コード実行の脆弱 ブラウザー、Office プログラム、またはマルチメディア プレーヤーなどのクラ
性]
イアント アプリケーションの脆弱性を攻撃されると、攻撃対象システムで任意の
コードが実行される可能性があります。
[システム侵害:ブラウザーの脆弱 ブラウザー アプリケーションおよびプラグインの脆弱性を攻撃されると、任意の
性]
コードが実行される、機密データが盗難される、または権限が引き上げられる可
能性があります。
[システム侵害:トロイの木馬]
無害または有益なアプリケーションを装っているが実際には不正な活動を行う、
不正なアプリケーション。
[ステルス活動:ルートキット]
オペレーティング システムを操作し、感染したシステムのマルウェアの存在を隠
す不正なアプリケーションまたはデバイス ドライバー。
乗っ取られた後は、マルウェアのプロセスに属するファイル、レジストリ キー、
ネットワーク接続が不可視化し、回復するのが困難になる可能性があります。
[ウイルス複製:ネットワーク ワ
ーム]
電子メール、インターネット、ピアツーピア ネットワークを使用するか、また
は USB ドライバーなどのリムーバブル メディアに自身をコピーすることによ
り、自己複製する不正なアプリケーションまたはデバイス ドライバー。
[ウイルス複製:ファイル感染型ウ 新しく感染したホスト ファイルを介して拡散させるウイルス コードを埋め込む、
イルス]
ハードディスク上の既存のファイルに感染する自己複製アプリケーション。
[システム侵害:トロイの木馬ダウ インターネットから他のペイロードをダウンロードして実行する不正なアプリケ
ーション、またはスクリプト コード。
ンローダー]
[システム侵害:トロイの木馬ドロ 隠れたペイロードを運び、解凍しその実行を起動する不正なアプリケーション。
ッパ]
[システム侵害:トロイの木馬プロ 侵害されたシステムを介して悪意のある可能性のある隠れたネットワーク活動が
リレーされる不正なアプリケーション。
キシ]
[Web 脅威:感染した Web サイ
ト]
挿入された不正なスクリプト コードを含む Web サイト、または他の不正なコー
ドがブラウザーで開かれるとすぐにそれをリクエストする Web サイト。
最初の感染は、Web サーバーに対する SQL インジェクション攻撃により発生す
る可能性があります。
[ステルス活動:コードの挿入]
コードを、他の、多くの場合正当なプロセスにコピーするアプリケーション、各
自の権限と信頼の乗っ取りを引き起こす。
侵害したシステムでその存在を隠し検出を回避しようとするマルウェアで、通常
用いられる手法です。
[検出の回避:難読化されたコー
ド]
高度にスクランブルがかけられた暗号化コードから構成されているアプリケーシ
ョン。
[検出の回避:パックされたコー
ド]
実行時のパッカーまたはプロテクターによって圧縮された内容を持つアプリケー
ション。
実行時パッカーをアプリケーションに適用すると見え方 が変わるため、分類する
ことが困難です。
[望ましくない可能性:アドウェ
ア/スパイウェア]
198
McAfee Web Gateway 7.2
迷惑または望ましくない広告を表示し、ユーザーの活動や動作を追跡して解析も
行うアプリケーション。
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
10
表 10-4 McAfee Gateway マルウェア対策の詳細設定 (続き)
オプション
定義
[望ましくない可能性:アドウェ
ア]
迷惑または望ましくない広告を表示し、ユーザーの活動や動作を追跡して解析も
行うアプリケーション。
[データの盗難:スパイウェア]
ユーザーの活動や動作を追跡して解析し、機密データを盗み、このデータを攻撃
者のサーバーに漏えいするアプリケーション。
[望ましくない可能性:ダイヤラ
ー]
費用のかかるネットワーク接続を介して、ポルノ画像などのコンテンツにアクセ
スさせるアプリケーション。
[Web 脅威:脆弱な ActiveX コン ブラウザー以外での利用を制限され、Web ページでは使用できない脆弱な
トロール]
ActiveX コントロール。
[望ましくない可能性:不審なアク 標準ではない、または完全には信頼されない動作によって識別される不正なコー
ド。
ティビティ]
[Web 脅威:クロスサイト スクリ ブラウザーまたは Web アプリケーションで、ブラウザーまたは Web アプリケ
ーションのアクセス制御の脆弱性を攻撃して、クッキーなどのユーザー固有のデ
プティング]
ータを盗むもうとする不正なスクリプト。
[望ましくない可能性:詐欺行為]
ユーザーに提示される、誤解を招くメッセージ、コードの欠落トリック、および
虚偽のアラート。
これらの脅威により、システムがスパイウェアに感染していることを知らされ、
駆除のためにいわゆる偽の AV アプリケーションが案内されます。
[望ましくない可能性:リダイレク Web サイトから他の Web サイト（不正な場所）へアクセスを転送するリダイレ
ター]
クト コード。
この動作は、多くの場合、以前に正当な Web サイトで感染したことが原因です。
[望ましくない可能性:ダイレク
ト カーネル通信]
Windows カーネルと直接通信するアプリケーション、またはカーネル モードの
アプリケーション。
これらはルートキットのインストール、またはシステムの不安定化を試みます。
[望ましくない可能性:プライバシ 重要なデータ、または個人情報にアクセスする不正なコード。
ーの侵害]
これにより、クリップボードの内容の盗聴、またはレジストリ キーの読み取りが
引き起こされる可能性があります。
ネットワーク動作および DLP
不明なブラウザー、望ましくないプログラム、およびデータ漏えいに対処する設定。
[実行可能ファイルのダウンロー これを選択すると、不明なブラウザーで送信された実行可能ファイルのダウンロ
ド時に不明なブラウザーを禁止す ードのリクエストがブロックされます。
る]
[PUP で送信されたリクエストを これを選択すると、望ましくない可能性のあるプログラム（PUP）によって送信
ブロックする]
されたリクエストがブロックされます。
• [P 危険性が値以上の場合、怪しいプログラム（PUP）で送信されたリクエスト
として処理 ] — 望ましくない可能性のあるプログラムによって送信されたリ
クエストに分類するための危険性（パーセント単位）を設定するスライダー ス
ケール。
[未承諾の POST の検出]
McAfee Web Gateway 7.2
これを選択すると、データ漏洩を招く未承認 POST リクエストが検出されます。
製品ガイド
199
10
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
マルウェア対策キュー
ウイルスやその他マルウェアによる感染に対して、Web オブジェクトをスキャンするモジュールの負荷を避けるた
めには、アクセスをリクエストして、Web オブジェクトは処理される前にキューに移動されます。
このキューはマルウェア対策キューと呼ばれています。しかし、このキューへのリクエストの移動は、短時間で発生
する負荷のピークを避けるための唯一の解決策になります。永久的な負荷は、その他の検査によって対処される必要
があります。
リクエストがアプライアンスで受け取られた場合、プロキシ モジュールのワーキング スレッドによってキューに移
動します。これは、その他のスレッドによって取り出されるまで残り、スキャン モジュールの 1 つのスレッドに送
信されます。同じくリクエストが送信された Web サーバーから受け取った応答に適用されます。
リクエストを配信するワーキング スレッドおよび、スキャン モジュールに属するものと同じスキャン モジュールへ
の応答は、マルウェア対策ワーキング スレッドと呼ばれています。
マルウェア対策キューを構成するとき、利用可能なマルウェア対策ワーキング スレッドの数、マルウェア対策キュー
のサイズ、キューに存在するリクエストおよび応答の最大時間を指定できます。
マルウェア対策キューの構成
マルウェア対策キューの設定を構成し、スキャン モジュールの負荷を避けることができます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、マルウェア対策キューをオンにするアプライアンスを選択して、[マルウェア対策]を
クリックします。
マルウェア対策キューの設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
マルウェア対策システム設定
マルウェア対策システム設定は、マルウェア対策キューの構成に使用されます。
グローバル マルウェア対策設定
マルウェア対策キューの設定
表 10-5 グローバル マルウェア対策設定
オプション
定義
[AV スキャンのスレッド
数]
アプライアンスで利用可能なマルウェア対策ワーキング スレッドの数
ここで指定する数は、リクエストを送信するスレッドの両方に適用され、スキャン モジ
ュールのスレッドおよびスキャン モジュール スレッド自体に応答します。
たとえば、25 を指定した場合、送信用の 25 のスレッドとスキャン用の 25 のスレッ
ドが存在します。
[キュー内のジョブの最大 スキャン モジュールのジョブになる、マルウェア対策キューに移動できるリクエストま
数]
たは応答の最大数
[削除する前に、キューに スキャンに送信しなかった場合、リクエストまたは応答がマルウェア キューから削除す
スキャン ジョブが存在す る前に経過する最大時間（秒）
る秒数]
200
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
10
Gateway Antimalware ルール セット
Gateway Antimalware ルール セットは、ウイルスとマルウェア フィルタリングのためのルール セットに含むこと
ができます。
デフォルト ルール セット— Gateway Antimalware
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
HTTP リクエストの部分コンテンツを削除
Cycle.TopName equals “Request” AND (Connection.Protocol equals “http” OR
Connection.Protocol equals “https”) –> Continue – Header.RemoveAll (“Range”)
ルールは Cycle.TopName および Connection.Protocol プロパティを使用し、現在の処理サイクルがリクエ
スト サイクルであるか、リクエストが HTTP または HTTPS モードで送信されるかを確認します。
これが該当する場合、Header.RemoveAll イベントが部分コンテンツのみがリクエストされている指定を削除し
て、リクエストを変更します。全コンテンツへのリクエストが、関連する Web サーバーに転送され、最終的にそ
こから受信されることで、Web オブジェクトの全コンテンツがアプライアンスで処理されるようにします。
たとえば、全アーカイブを開き、ウイルスおよびその他マルウェア検出のためにスキャンすることが可能です。1
つのファイルで複数部分に渡って配信される悪質なコンテンツも、ファイルを部分的にスキャンする場合には見逃
す可能性がありますが、全ファイルのスキャンによって検出できます。
Continue アクションは次のルールで処理を続行します。
デフォルト ルール セット— Gateway Antimalware
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
FTP リクエストの部分コンテンツをブロックする
Cycle.TopName equals “Request” AND Connection.Protocol equals “ftp” AND
Command.Categories contains “Partial” –> Block<Partial Content Not Allowed>
このルールは、Cycle.TopName、Connection.Protocol、および Command.Categories プロパティを使
用し、現在の処理サイクルがリクエスト サイクルであるか、リクエストは FTP モードで送信されるか、FTP 転送
に使用されるコマンド カテゴリーに Partial という文字列が含まれているかを確認します。
これによってアプライアンスは、部分コンテンツにおいて FTP リクエストを検出し、それをブロックします。
HTTP または HTTPS リクエストと違って、部分コンテンツの FTP リクエストは全コンテンツのリクエストに変更
できません。ただし、HTTP および HTTPS リクエストのルールにあるコメントで説明した問題と同様に、アプラ
イアンスで部分コンテンツが採用された場合、セキュリティ上の問題が発生することがあります。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
User-Agent が User Agent ホワイトリストに一致する場合、許可する
Header.Request.Get (“User-Agent”) matches in list User Agent WhiteList –> Stop Rule Set
このルールは Header.Request.Get プロパティを使用して、リクエストのヘッダーと共に送信される
User-Agent 情報を確認します。
問題になっている User-Agent 指定のホワイトリストにある場合、ルール セットの処理が停止するため、ルール
セットの末尾のブロック ルールが処理されません。
プロパティのパラメーターは、ルールが処理される際、User-Agent 情報を確認する必要があると示します。
このルールは、デフォルトでは有効になっていません。
ホワイトリスト登録にこのルールのみを使用すると、通常クライアントは User-Agent が好むものをすべて設定できる
ため、セキュリティ上の問題が発生します。
McAfee Web Gateway 7.2
製品ガイド
201
10
Web フィルタリング
ウイルスおよびマルウェアのフィルタリング
マルウェア対策 URL ホワイトリストで一致する URL ホストを許可する
URL.Host matches in list Antimalware URL Whitelist –> Stop Rule Set
このルールは URL.Host プロパティを使用し、特定の URL が指定されたホワイトリストのいずれかのエントリー
に一致するかを確認します。
一致する場合、ルール セットの処理が停止し、ルール セットの末尾のブロック ルールが処理されません。
URL のホストが知名度の高い Web サービスに関連するものであり、ウイルスおよびその他マルウェアを広げる心
配がないとき、このルールを使用して、Web トラフィックをフィルタリングから除外できます。
ホワイトリスト登録は Web オブジェクトをそれぞれスキャンする手間を省くため、パフォーマンスを向上させま
す。
マルウェア対策メディア ホワイトリストからストリーミング メディアを許可する
(URL カテゴリー<デフォルト> はストリーミング メディア を含むか、
URL カテゴリー<デフォルト> はインターネット ラジオ/TV を含むか、
URL カテゴリー<デフォルト> は一般的なニュースを含みます)
AND MediaType.Ensured all in list Antimalware Media Type Whitelist –> Stop Rule Set
このルールは URL.Categories プロパティを使用して、指定した URL がストリーミング メディアまたは関連す
るカテゴリーに属しているかどうかを確認します。
カテゴリー情報を取得するために呼び出される URL フィルター モジュールは、プロパティで指定されているとお
りデフォルト設定で実行されます。
条件の 2 番目の部分では、MediaType.Ensured プロパティを使用して、Web オブジェクトのメディア タイプ
が指定されたホワイトリストに存在するかどうかを確認します。
URL が問題になっているカテゴリーのいずれかに属し、URL で場所が示される Web オブジェクトがホワイトリス
トに存在するメディア タイプである場合、ルール セットの処理が停止され、ルール セットの末尾のブロック ルー
ルは処理されません。
マルウェア対策モジュールが全ファイルをスキャンします。これは、スキャンを開始する前にデータ転送の終了を
待つことを意味します。ストリーミング メディアは本来がデータのエンドレスな連続であるため、マルウェア対策
モジュールは永遠に待機することになります。
ただし、ストリーミング メディアがウイルスやその他マルウェアを含むリスクは非常に低くなります。そのため、
ストリーミング メディアはスキャンから除外できます。
Block if virus was found
Antimalware.Infected<Gateway Antimalware> equals true –> Block<Virus Found> –
Statistics.Counter.Increment (“BlockedByAntiMalware”,1)<Default>
このルールは Antimalware.Infected プロパティを使用して、指定した Web オブジェクトがウイルスまたは
その他マルウェアに感染しているかどうかを確認します。
オブジェクトをスキャンするために呼び出されるマルウェア対策モジュールは、プロパティで指定されているとお
り Gateway Antimalware 設定で実行されます。これらの設定は、モジュールにその 3 つのサブモジュール、お
よびそれらの方法をすべてを使用して、Web オブジェクトをスキャンします。
モジュールが Web オブジェクトの感染を検出した場合、すべてのルールの処理が停止され、オブジェクトはこれ
以上転送されません。アクセスはこのようにブロックされます。
リクエスト サイクルでは、感染 Web オブジェクトは Web に転送されません。応答および埋め込みオブジェクト
サイクルでは、それをリクエストしたユーザーに転送されません。
アクションの設定でこのユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、ウイルスおよびマルウェア感染に起因するブロックをカウントします。
イベント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モ
ジュールの設定を指定します。これによりカウントが実行されます。
202
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
URL フィルタリング
10
URL フィルタリング
URL フィルタリングは、URL にネットワークのユーザーをアクセスさせたくない場合は、アクセスできないように
します。フィルタリング プロセスは、カテゴリー情報とレピュテーション スコアを使用し、適宜、アクセスをブロ
ックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
URL をフィルタリングから除外し、その他をブロックするためのルールに使用されるホワイトリストとブロック
リスト
•
URL カテゴリーに関する情報と Web レピュテーション スコアを Global Threat Intelligence システムから取
得するための適切なルールによって呼び出される URL フィルター モジュール
フィルタリング ルール
URL フィルター処理を制御するルールは URL フィルタリング ルール セットに含まれています。これらのうち、た
とえば、ブロック リストのエントリーに一致する場合、URL へのアクセスがブロックされる、というルールがあり
ます。
ブロック リストに存在するカテゴリーに属する場合、別のルールが URL をブロックします。このルールは URL フ
ィルター モジュールを呼び出して、Global Threat Intelligence システムから URL のカテゴリー情報を取得しま
す。別のルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
ホワイトリスト登録ルールは、ルールが使用しているリストのエントリーに一致する URL をフィルタリングから除
外します。このルールはブロック ルールの前に配置され、処理されます。適用されると、ブロック ルールがスキッ
プされ、ホワイトリストに登録された オブジェクトに対して URL フィルタリングは行われません。
これらのルールは確認、変更、削除が可能で、独自のルールを作成することもできます。
デフォルト ルール セット システムが施行されると、ウイルスとマルウェア フィルタリングのルール セットが含ま
れます。その名前は、URL フィルタリングです。
ホワイトリストとブロック リスト
ホワイトリストはホワイトリスト登録ルールによって使用され、特定の URL にブロック リストをスキップさせま
す。これは、これらのオブジェクトに対して URL フィルタリングが行われないことを意味します。
ブロック リストに存在するカテゴリーに属する場合、別のルールが URL をブロックします。このルールは URL フ
ィルター モジュールを呼び出して、Global Threat Intelligence システムから URL のカテゴリー情報を取得しま
す。別のルールは、悪い評価を持つ URL をブロックするのと類似した方法で動作します。
URL フィルタリングのルール セットは URL フィルタリングのみを処理し、ホワイトリストはウイルスおよびマルウ
ェアのフィルタリングに含まれているため、一部の種類のオブジェクトには必要ありません。
ブロック リストは属するカテゴリーによって、またはリストのエントリーに一致するという理由から、URL をブロ
ックするルールに使用されます。ブロック ルールはそれぞれ固有のリストを使用します。
フィルター モジュール
URL フィルタリング用のモジュール（エンジンとも呼ばれる）は URL カテゴリーに関する情報とレピュテーション
スコアを McAfee がメンテナンスしている Global Threat Intelligence システムから取得します。この情報をもと
に、ブロック ルールが URL へのアクセスをブロックします。
リンク クローラー、セキュリティ フォレンジック、ハニーポット ネットワーク、高度な自動評価ツール、カスタマ
ー ログといった様々な技術がこの情報を収集するために使用されます。McAfee の Web アナリストによる国際的な
多言語チームが情報を評価し、特定のカテゴリーのもと URL をデータベースに入力します。
McAfee Web Gateway 7.2
製品ガイド
203
10
Web フィルタリング
URL フィルタリング
URL 評価に関する情報を収集するため、その動作が世界規模でリアルタイムに分析されています（例、URL が Web
のどこに表示されるか、そのドメイン動作やその他詳細）。
たとえば、提供する拡張リストから取得したカテゴリー情報を含める、または URL の DNS 参照を行い、カテゴリ
ー情報検索の関連する IP アドレスを含めるなど、このモジュールの設定事項を設定できます。
URL フィルタリングの構成
URL フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
URL フィルタリングのルール セットでルールを確認します。
デフォルトでは、これはURL フィルタリング ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ブロック ルールとホワイトリスト ルールを有効または無効にする
•
これらのルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
URL フィルター モジュールの設定を変更する
変更を保存します。
URL フィルター モジュールの設定
URL フィルター モジュールを構成し、URL カテゴリおよびレピュテーション スコアの情報を Global Threat
Intelligence システムから取得する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、URL フィルタリングのためにルール セットを選択します。
デフォルトのルール セット システムで、URL フィルタリングのルール セットがコンテンツのフィルタリングの
ルール セットでネストされます。
設定パネルにルールが表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
カテゴリ ブロック リストを使用するルールを検索します。
デフォルトで、これはカテゴリ ブロックリストに存在するカテゴリを持つ URL をブロックするです。
5
ルール条件で、設定名をクリックします。
この名前が URL.Categories プロパティの隣に表示されます。デフォルトで、これは Default です。
[設定の編集]ウィンドウが開きます。これは URL フィルター モジュールの設定を提供します。
204
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
URL フィルタリング
10
関連トピック:
205 ページの「URL フィルターー設定 」
URL フィルターー設定
URL フィルターー設定は URL フィルターー モジュールが Global Threat Intelligence システムから情報を取得す
る方法を設定するために使用されます。
拡張リスト
拡張リストの設定
表 10-6 拡張リスト
オプション
定義
[拡張リストを使用]
拡張リストの選択のためのリスト
[追加]
拡張リストを追加するための[リストの追加]ウィンドウが開きます。
[編集]
[リストの編集（拡張リスト）]ウィンドウが開き、選択した拡張リストを編集します。
レーティング設定
カテゴリーとレピュテーション スコアをもとに、URL に関するレーティング情報を取得するための設定。
表 10-7 レーティング設定
オプション
定義
[レーティングの CGI パラメー これが選択されると、CGI パラメーターが情報の検索に含まれます。
ターを検索する]
URL がアクセスされた場合の URL トリガー スクリプトまたはプログラムの CGI
パラメーター。その CGI に関する情報は URL の分類に影響する可能性がありま
す。
[埋め込み URL の検索および
評価]
これが選択されると、埋め込み URL は情報の検索に含まれ、評価されます。埋め
込み URL に関する情報は、埋め込み URL の分類に影響する可能性があります。
埋め込み URL の検索はパフォーマンスを低下させる場合があります。
[URL を評価するために DNS これを選択すると、関連情報が見つからなかった URL に対して DNS 参照が実行
されます。
前方参照を行う]
参照された IP アドレスは別の検索で使用されます。
[未評価 IP ベース URL の逆方 これを選択すると、関連情報が見つからなかった URL に対して、その IP アドレス
向 DNS 参照を行う ]
をもとに逆方向 DNS 参照が実行されます。
参照されたホスト名は別の検索で使用されます。
[組み込みキーワード リストを これを選択すると、組み込みのキーワード リストが検索に含まれます。
使用する]
[オンラインの GTI Web レピ 選択すると、 Global Threat Intelligence システムから URL カテゴリーとレピュ
ュテーションと分類サービスの テーション スコアの情報のみを取得します。
みを使用する]
McAfee Web Gateway 7.2
製品ガイド
205
10
Web フィルタリング
URL フィルタリング
表 10-7 レーティング設定 (続き)
オプション
定義
[ローカルの評価に結果がない これを選択すると、内部データベースに結果がない場合、 Global Threat
場合、オンラインの GTI
Intelligence システムから URL カテゴリーとレピュテーション スコアの情報のみ
Web レピュテーションと分類 を取得します。
サービスを使用する ]
[Web レピュテーションと分類 これを選択すると、アプライアンスがデフォルト サーバーに接続して、Global
サービスにデフォルトの GTI Threat Intelligence システムから URL カテゴリーとレピュテーション スコアの
情報を取得します。
サーバーを使用する ]
• [サーバーの IP ]— デフォルト サーバーを使用しない場合、 Global Threat
Intelligence システムに接続するために使用するサーバーの IP アドレス。
形式:<ドメイン名>または <IPv4 アドレス> または <IPv6 アドレスにマップ
される IPv4 アドレス>
正規の IPv6 アドレスはここでは指定できません。
• [サーバーのポート]— アプライアンスからのリクエストを待機するこのサーバー
のポートのポート番号
許容範囲: 1–65535
詳細設定
URL フィルター モジュールの詳細設定
表 10-8 詳細設定
オプション
定義
[クラウドへの接続問題 選択すると、アプライアンスから Global Threat Intelligence サーバーへの接続で発生す
をエラーとして処理す る問題がエラーとしてログされます
る]
エラー処理のプロパティが設定され、最終的にはエラーハンドラーのルール セットからル
ールが実行されます。
[プライベート アドレ これを選択すると、プライベート IP アドレスが DNS 逆方向参照に含まれます。
スでも逆方向 DNS 参 このアドレスを参照から除外すると、URL フィルタリングのパフォーマンスが向上します。
照を行う]
このオプションはデフォルトでは無効になっています。
参照には次のタイプのアドレスが含まれます。
• IPv4
• プライベート アドレス
• Zeroconf アドレス
• IPv6
• リンク ローカル アドレス
• サイト ローカル アドレス
• ユニーク ローカル アドレス
アプライアンスが Global Threat Intelligence™ システムに接続するために使用できるプロキシを構成するための設
定
206
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
URL フィルタリング
10
表 10-9 プロキシ設定
オプション
定義
[アップストリーム プロキ これを選択すると、アプライアンスは Global Threat Intelligence サーバーに接続す
シを使用]
るためにプロキシを使用し、そこで「クラウド内」参照と呼ばれる URL カテゴリー情
報を参照することができます。
[プロキシの IP または名 プロキシの IP アドレスまたはホスト名
前]
[プロキシのポート]
アプライアンスからのリクエストを参照するためにリスンするプロキシ上のポート番号
[ユーザー名]
プロキシにログオンするときのアプライアンスのユーザー名
[パスワード]
アプライアンスのパスワード
[設定]
パスワードを設定するためのウィンドウを開きます。
URL フィルタリングのアクティビティをアプライアンスにログするための設定
表 10-10 ログ
オプショ
ン
定義
[ロギング これを選択すると、URL フィルタリングのアクティビティがアプライアンスにログされます。
を有効に このオプションが選択されていない場合、次のログ オプションは灰色表示されます。
する]
[ログ レベ ログ レベルを選択するリスト
ル]
ログには次のレベルがあります。
• 00 緊急 — 緊急のエラーのみログ
• 01 エラー — すべてのエラーをログ
• 02 警告 — エラーと警告をログ
• 03 情報 — エラー、警告、追加情報をログ
• 04 デバッグ 1 ...013 デバッグ 9 — URL フィルタリング アクティビティをデバッグするのに必要
なログ情報
ログされた情報量はレベルがデバッグ 1 から デバッグ 9 に増加します。
• 14 追跡 — URL フィルタリング アクティビティを追跡するのに必要なログ情報
• 15 すべて — すべての URL フィルタリング アクティビティをログ
（ログ領
域）
URL フィルタリング アクティビティのさまざまな領域をログに含める設定
• [LOG_AREA_ALL] — 選択すると、すべての URL フィルタリング アクティビティがログされます
• [LOG_AREA_NETWORK] — 選択すると、URL フィルタリングに使用するネットワーク接続に関す
るアクティビティがログされます
• [LOG_AREA_DATABASE_SEARCH] — 選択すると、内部データベースからの URL フィルタリング
のデータ取得に関するアクティビティがログされます
• [LOG_AREA_DNS] — 選択すると、URL フィルタリングのために実行される DNS 参照に関するア
クティビティがログされます
• [LOG_AREA_URL] — 選択すると、解析など URL 処理のアクティビティがログされます
• [LOG_AREA_CLOUD] — 選択すると、 Global Threat Intelligence システムからの情報取得に関
するアクティビティがログされます
McAfee Web Gateway 7.2
製品ガイド
207
10
Web フィルタリング
URL フィルタリング
URL フィルタリング ルール セット
URL フィルタリング ルール セットは、URL フィルタリングのデフォルト ルール セットです。
デフォルト ルール セット— URL フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
URL ホワイトリストに一致する URL を許可する
URL matches in list URLWhiteList –> Stop Rule Set
このルールは URL プロパティを使用し、特定の URL が指定されたホワイトリストに存在するかどうかを確認しま
す。存在する場合、ルール セットのプロセスが停止し、ホワイトリスト登録ルールに従うブロック ルールは処理さ
れません。
このルールを使用して、フィルタリングから URL を除外し、ネットワークのユーザーが使用できるようにし、次の
ブロック ルールによってブロックされないようにします。ホワイトリスト登録はまた、それぞれの URL について
の情報を取得する手間を省くため、パフォーマンスを向上させます。
URL ブラックリストに一致する URL をブロックする
URL matches in list URL BlockList –> Block<URLBlocked> –> Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<Default>
ルールは URL プロパティを使用し、特定の URL が指定されたブロック リストに存在するかどうか確認します。
存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リクエストは適切な Web サーバーまで通
過しません。アクセスはこのようにブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、ウイルスおよびマルウェア感染に起因するブロックをカウントします。イベ
ント パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュ
ールの設定を指定します。これによりカウントが実行されます。
SafeSearchEnforcer を有効にする
Always –> Continue — Enable SafeSearchEnforcer<Default>
このルールは成人向けコンテンツを含む Web サイトへのアクセスにフィルターをかける追加モジュールである
SafeSearchEnforcer を有効にします。
有効化はイベントを実行することで行えます。モジュールの設定はイベントで指定されます。
処理は次のルールで続行します。
未分類の URL を許可する
List.OfCategory.IsEmpty(URL.Categories<Default>) equals true –> Stop Rule Set
このルールはパラメーターとして URL.Categories プロパティをもつ List.OfCategory.IsEmpty を使用し、
URL を分類するためのカテゴリーが空であるかどうかをチェックします。これは、URL が未分類であり、既存カテ
ゴリーに割り当てられないことを意味します。URL.Categories プロパティをパラメーターとして指定することで、
特定のカテゴリー リストが確認されるようにします。これはこのプロパティの値となるリストです。
URL.Categories プロパティの値としてカテゴリー リストを提供するために、URL フィルター モジュールが呼び
出されます。このモジュールはこのリストを Global Threat Intelligence システムから取得します。このモジュー
ルは指定されたデフォルト設定で実行されます。
URL が未分類である場合、ルール セットのプロセスが停止し、このルールに従ったブロック ルールは処理されま
せん。URL へのリクエストは適切な Web サーバーへ転送され、URL へのアクセスが応答または埋め込みオブジェ
クト サイクルでブロックされない限り、ユーザーは、URL の送信によってリクエストされた Web オブジェクトへ
のアクセスを許可されます。
208
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
メディア タイプ フィルタリング
10
URL カテゴリー ブラックリストにカテゴリーがある URL をブロックする
URL.Categories<Default> at least one in list Category BlockList –> Block<URLBlocked> —
Statistics.Counter.Increment (“BlockedByURLFilter”,1)<Default>
このルールは URL.Categories プロパティを使用し、特定の URL が属するカテゴリーのどれかが指定したブロ
ック リストに存在するかどうかを確認します。これらのカテゴリーに関する情報を取得するために呼び出される
URL フィルター モジュールが、プロパティで指定されるとおり、デフォルト設定で実行されます。
URL のカテゴリーのいずれかがリストに存在する場合、すべてのルール プロセスが停止し、URL へのアクセス リ
クエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
悪い評価を持つ URL をブロックする
URL.IsHighRisk<Default> equals true –> Block<URLBlocked> — Statistics.Counter.Increment
(“BlockedByURLFilter”,1)<default>
このルールは URL.IsHighRisk プロパティを使用し、URL が、アクセスを許可するとリスクが高くなるという評
価を持つかどうかを調べます。このプロパティの値が True である場合、すべてのルール プロセスが停止し、URL
へのアクセス リクエストは適切な Web サーバーまで通過しません。アクセスはこのようにブロックされます。
レピュテーション スコアは URL フィルターー モジュールによって取得されます。このモジュールはプロパティの
後で指定する設定で実行されます。
URLBlocked アクションの設定で、このアクセスをリクエストしたユーザーにブロックが通知されるよう指定し
ます。
また、ルールはイベントを使用して、このルール セットの個別 URL に対するブロック ルールと同じ方法で URL
フィルタリングに起因するブロックをカウントします。
メディア タイプ フィルタリング
メディア タイプ フィルタリングは、イメージ、オーディオまたはストリーミング メディアなどの特定のタイプをブ
ロックしている場合、それらに属するメディアにネットワークのユーザーがアクセスできないようにします。
このようにして、ユーザーが多くのリソースを消費しないようにできます。
フィルタリング プロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
特定のタイプに属するメディアへのアクセスをブロックするためのルールにより使用されるブロッキング リスト
フィルタリング ルール
ウイルスおよびマルウェアのフィルター処理を制御するルールは通常、1 つのルール セットに含まれます。このルー
ルセットのキー ルールは、Web オブジェクトがウイルスまたはその他のマルウェアに感染している場合、Web オブ
ジェクトへのアクセスがブロックされるものです。
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
ウイルスとマルウェア フィルタリングについてアプライアンスで施行されているルールを見直し、それらを変更また
は削除し、固有のルールを作成することもできます。
McAfee Web Gateway 7.2
製品ガイド
209
10
Web フィルタリング
メディア タイプ フィルタリング
デフォルト ルール セット システムが施行されると、ウイルスとマルウェア フィルタリングのルール セットが含ま
れます。その名前は、Gateway Antimalwareです。
ブロッキング リスト
ホワイトリストは、ホワイトリスト登録ルールを使用することで、特定の Web オブジェクトにブロック ルールをス
キップさせます。このことは、これらのオブジェクトに対してスキャニングが行われないことを意味します。URL 、
メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリーを追加したり、エントリーを削除することが可能です。また、独自のリストを作成し、ホワ
イトリスト登録ルールに使用させることも可能です。
ブロッキング リストはリストのエントリーではなくマルウェア対策モジュールの検出に依存するため、ブロック リ
ストは通常ウイルスおよびマルウェアのフィルタリングでは使用されません。
メディア タイプ フィルタリングの構成
メディア タイプ フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
メディア タイプ フィルタリングのルール セットでルールを確認します。
デフォルトでは、これはメディア タイプ フィルタリング ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ブロック ルールの有効化または無効化
•
ブロック ルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
独自のブロック リストを作成し、ブロック ルールで使用する
変更を保存します。
メディア タイプ フィルタリングのプロパティ
デフォルト ルール セットのメディア タイプ フィルタリング ルールの多くは、条件に
MediaType.EnsuredTypes プロパティを使用しています。その他のプロパティを使用すると、メディア タイプ
フィルタリングが別の方法で実行されるようにします。
たとえば、 MediaType.NotEnsuredTypes プロパティがあります。ブロック ルールの条件でこのプロパティを
使用する場合、ルールは、実際にこのタイプである可能性が 50% 未満であっても、メディア タイプがブロック リ
ストに存在するメディアをブロックします。
メディア タイプがすべての状況で確実にブロックしたい場合これを行うことができます。
次の表に、メディア タイプ フィルタリングのルールにあるルールのプロパティを示します。
210
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
メディア タイプ フィルタリング
10
表 10-11 メディア タイプ フィルタリング プロパティ
プロパティ
説明
MediaType.EnsuredTypes
50% 以上の可能性で確認されるメディア タイプを持つメディアのプロパテ
ィ
アプライアンスの内部リストからのメディア タイプ シグネチャがメディア
のオブジェクト コードに存在する場合、このレベルの可能性が想定されま
す。
MediaType.NotEnsuredTypes
実際にメディアの各タイプである可能性が 50% 未満であるメディアのプロ
パティ
MediaType.FromFileExtension メディア タイプがメディア タイプ ファイル名の拡張子に基づいて推測され
るメディアのプロパティ
拡張子およびそれに関連するメディア タイプは、アプライアンスの内部カタ
ログで検索されます。ただし、複数のメディア タイプによって使用される拡
張子があります。
MediaType.FromHeader
メディアと共に送信されるヘッダーのコンテンツ タイプ フィールドによっ
て推測されるタイプのメディアのプロパティ
ヘッダーは標準形式で読み込み、評価します。元の形式でヘッダーをフィル
タリングするには、Header.Get プロパティを使用できます。
MediaType.IsSupported
アプライアンスのオープナー モジュールによって展開できる埋め込みメディ
アまたはアーカイブ メディアのプロパティ
List.OfMediaType.IsEmpty
内部リストにないタイプを持つメディアのプロパティ
メディア タイプ フィルタリング ルールの変更
ルールの条件のプロパティを変更することで、メディア タイプ フィルタリング ルールを別の種類のメディア タイプ
をフィルターするように変更できます。変更したルールで使用できるよう新しいフィルター リストを作成することも
必要です。
タスク
•
211 ページの「変更したルールにフィルター リストを作成 」
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成で
きます。
•
212 ページの「メディア タイプ フィルタリングのルールでプロパティを置換する 」
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディ
ア タイプ フィルタリング ルールの条件のプロパティを置換できます。
変更したルールにフィルター リストを作成
変更したメディア タイプ フィルタリングのルールで使用するための新しいフィルター リストを作成できます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーの[リストのカスタマイズ] ブランチで、[メディア タイプ]を選択し、[追加]をクリックします。
[リストの追加]ウィンドウが開きます。
3
[名前]フィールドに新しいリストの名前（Not Ensured Download Media Type Blocklistなど）を入力し
ます。
4 ［オプション］[コメント] フィールドで、新しいリストの平文コメントを入力します。
McAfee Web Gateway 7.2
製品ガイド
211
10
Web フィルタリング
メディア タイプ フィルタリング
5 ［オプション］[権限]タブをクリックして、リストへのアクセスが許可されるユーザーを構成します。
6
[OK]をクリックします。
[リストの追加]ウィンドウが閉じて、新しいリストが[メディア タイプ]の下のリスト ツリーに表示されます。
新しいリストのエントリを記入して、メディア フィルタリング ルールにブロックするものと許可するものを設定で
きます。
メディア タイプ フィルタリングのルールでプロパティを置換する
ルールで別の種類のメディア タイプをフィルタリングさせるためには、異なるプロパティをもつメディア タイプ フ
ィルタリング ルールの条件のプロパティを置換できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2 ［ルール セット］ツリーで、メディア タイプ フィルタリングのルール セット
（たとえば、[メディア タイプ フィ
ルタリング] ルール セットでネストされた[ダウンロード メディア タイプ]など）を選択します。
3
ルール（[ダウンロード メディア タイプのブラックリストからタイプをブロック]など）を選択し、[編集]をクリ
ックします。
[ルールの編集]ウィンドウが選択した[名前]ステップとともに開きます。
4
[ルールの条件]をクリックし、[条件]下でルールを選択します。そこで[編集]をクリックします。
[条件の編集]ウィンドウが開きます。
5
6
以下のとおり、ルール条件を構成します。
a
左の列のプロパティのリストから、たとえば、MediaType.EnsuredTypes の代わりに
[MediaType.NotEnsuredTypes ]などの新しいプロパティを選択します。
b
右側の列のオペランドのリストから、[確認されていないダウンロード メディア タイプのブラックリスト]を
選択します。
[OK]をクリックします。
ウィンドウが閉じて、[ルール条件]の下に新しい条件が表示されます。
7
[完了]をクリックします。
[ルールの編集]ウィンドウが閉じ、変更したルールが選択したネスト済みのルール セット内に表示されます。
8
[変更の保存]をクリックします。
関連トピック:
210 ページの「メディア タイプ フィルタリングのプロパティ 」
メディア タイプ フィルタリングのルール セット
メディア タイプ フィルタリング ルール セットは、メディア タイプ フィルタリングのデフォルト ルール セットで
す。
ライブラリ ルール セット — メディア タイプ フィルタリング
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
212
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
メディア タイプ フィルタリング
10
以下のルール セットは、このルール セット内にネストされています。
• アップロード メディア タイプ
このルール セットは、デフォルトでは有効になっていません。
• ダウンロード メディア タイプ
アップロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのアップロードをブロックします。これ
は、ユーザーが Web にメディアのアップロードをリクエストした際にリクエスト サイクルで、また、オブジェク
トがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
ネストされたライブラリ ルール セット — メディア タイプ アップロード
条件 — Always
サイクル — Requests (and IM) and embedded objects
ルール セットは、以下のルールを含みます。
アップロード メディア タイプ ブラックリストからタイプをブロック
Media.TypeEnsuredTypes at least one in list Upload Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベン
ト パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュー
ルの設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
ダウンロード メディア タイプ
このネストされたルール セットは特定のメディア タイプに属するメディアのダウンロードをブロックします。これ
は、Web サーバーがユーザーのダウンロード リクエストに応答してメディアを送信する際に応答サイクルで、ま
た、オブジェクトがメディアに埋め込まれている際は、埋め込みオブジェクト サイクルで処理されます。
ネストされたライブラリ ルール セット — ダウンロード メディア タイプ
条件 — Always
サイクル — Responses and embedded objects
ルール セットには、以下のルールが含まれます。
Block types from list Download Media Type Blocklist
Media.TypeEnsuredTypes at least one in list Download Media Type Blocklist –> Block<Media
Type (Block List)> — Statistics.Counter.Increment (“BlockedByMediaFilter”, 1)<Default>
ルール セットは Media.TypeEnsuredTypes プロパティを使用し、メディアが指定のリストにない場合、確認
できるタイプを持つものであることを確認します。そうである場合、メディア タイプへのアクセスはブロックさ
れ、ルールのプロセスが停止します。
ルールはイベントを使用して、メディア タイプのフィルタリングに起因するブロックをカウントします。イベン
ト パラメーターは、インクリメントするカウンターとインクリメントを指定します。イベント設定は統計モジュー
ルの設定を指定します。これによりカウントが実行されます。
アプライアンスで受信される次のリクエストで、プロセスが続行します。
McAfee Web Gateway 7.2
製品ガイド
213
10
Web フィルタリング
アプリケーション フィルタリング
アプリケーション フィルタリング
アプリケーション フィルタリングは、ネットワークを使用して不審なアプリケーションにアクセスできないことを保
証します。たとえば、Facebook、Xing、その他などが該当する可能性があります。フィルタリング プロセスは、ア
プリケーション名とレピュテーション スコアを確認し、それにしたがってアクセスをブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
アプリケーションをブロックするルールで使用するアプリケーション リスト
•
間隔に更新するアプリケーション システム リスト
特定のアプリケーションの情報は、ユーザー インターフェースのシステム リストで提供されます。この情報に基づ
いてアプリケーションのブロック ルールを作成でき、アプリケーション名または条件としての危険評価を使用して、
アプリケーションへのアクセスをブロックします。
フィルタリング プロセスの状態および統計の更新は、ダッシュボードに表示されます。
アプリケーション フィルタリングのルール
アプリケーション フィルタリングをコントロールするルールは、通常 1 つのルール セットに含まれます。これら
は、次の 2 つの方法を使用して、アプリケーションへのアクセスをブロックします。
•
リストにあるアプリケーションをブロックする
•
特定のリスクの重大度に割り当てられたアプリケーションをブロックする
リストに従ってアプリケーションをブロックするには、Application.Name プロパティが使用されます。
このプロパティの値は、アプリケーションにアクセスするユーザーによって送信された、リクエストに表示されるア
プリケーション名です。この名前がブラックリストにある場合、アクセスがブロックされます。例として、以下のル
ールが該当します。
名前
リストに従ってアプリケーションをブロックする
条件
Application.Name is in list Unwanted Applications
アクション
–> Block<Application Blocked>
リスクの重大度にしたがってアプリケーションをブロックするには、Application.IsMediumRisk または
Application.IsHighRisk などが使用され、これには値として true または false があります。
リスク評価は、Global Threat Intelligence システムによって割り当てられた、アプリケーションのレピュテーショ
ン スコアに基づいています。アプリケーションへのアクセスを許容するリスクが高いと考えられる場合、これは悪い
評価になります。
アプリケーションがこのレベルに達する、または超える場合、以下のルールのようにアクセスがブロックされます。
名前
高リスク アプリケーションをブロックする
条件
Application.IsMediumRisk equals true OR
Application.isHighRisk equals true
アクション
–> Block<Application Blocked>
両方の方法はアプリケーション システム リストを使用します。システム リストにあるアプリケーションのみが、各
ルールに使用されるリストにも表示されます。
214
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
アプリケーション フィルタリング
10
アプリケーションのリスクの重大度も、アプリケーション システム リストに表示されます。
ログ用に、Application.To String および Application.Reputation もあります。これは、それぞれレピュテ
ーション スコアのため文字列と数値に変換された、リクエストされたアプリケーション名です。
ログ ファイル エントリで情報を記録するルールで、これらのプロパティを使用できます。
アプリケーション フィルタリングは、アプライアンスのデフォルトで実行されません。しかし、ライブラリから
Application Control ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
ブロックするアプリケーションのリスト
ブラックリストはルールによって使用され、ユーザーによってリクエストされたアプリケーションへのアクセスをブ
ロックします。ライブラリ ルール セットは、すでにいくつかのアプリケーション名があるルールが含まれています。
ライブラリ ルール セットからアプリケーション名をリストに追加するか、削除するか、独自のリストを作成できま
す。アプリケーション名を追加する場合、アプリケーション システム リストから取得できます。
アプリケーション システム リスト
リストに表示されるアプリケーション フィルタリングを通して、ブロックできるアプリケーションです。これは、ア
プライアンス システムおよび間隔で更新されたことで提供されます。
リスト タブのリスト ツリーのシステム リストで、このリストを表示できます。各アプリケーションに、以下の情報
を提供できます:
•
アプリケーション名
•
レピュレーション スコア
•
平文説明
ダッシュボードのアプリケーション フィルタリング情報
ダッシュボードは、アプリケーション フィルタリングの以下の情報を提供します。
•
アプリケーション リストの状態を更新する
•
実際はブロックされたアプリケーションの統計
アプリケーション フィルタリングの構成
アプリケーション フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
Application Control ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ブロック ルールの有効化または無効化
•
アプリケーションを追加または削除して、ルールで使用されたリストを編集します。
•
Application.IsMediumRisk の Application.IsHighRisk に置き換えるなど、関連プロパティに置き
換えることで、ルールで使用されるレピュテーション レベルを変更します。
McAfee Web Gateway 7.2
製品ガイド
215
10
Web フィルタリング
アプリケーション フィルタリング
独自のブロック ルールを作成することも可能です。
3
変更を保存します。
アプリケーション コントロール ルール セット
アプリケーション コントロール ルール セットは、アプリケーション フィルタリングのライブラリ ルール セットで
す。
ライブラリ ルール セット – アプリケーション コントロール
条件 — Always
サイクル － リクエスト（および IM）、応答
以下のルール セットは、このルール セット内にネストされています。
•
リクエスト サイクルのアプリケーションをブロックする
•
応答サイクルのアプリケーションをブロックする
リクエスト サイクルのアプリケーションをブロックする
このネストされたルール セットは、リクエスト サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット – リクエスト サイクルのアプリケーションをブロックする
条件 — Always
サイクル - Requests
（and IM）
ルール セットは、以下のルールを含みます。
インスタント メッセージング アプリケーションをブロックする
Application.Name is in list Instant Messaging –> Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを
確認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した
文字列と同じ場合、アプリケーションのリクエストがブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
216
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
ストリーミング メディア フィルタリング
10
応答サイクルのアプリケーションをブロックする
このネストされたルール セットは、応答サイクルでアプリケーション フィルタリングを処理します。
ネストされたライブラリ ルール セット – 応答サイクルでアプリケーションをブロックする
条件 — Always
サイクル – 応答
ルール セットは、以下のルールを含みます。
応答サイクルで検索するアプリケーション
Application.Name is in listt of Applications to Search for in Response Cycle –> Block<Default>
ルールは Application.Name を適切に使用し、アプリケーション名が指定したリストに含まれていることを確認
します。含まれている場合は、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
危険度高で Web アプリケーションをブロックする
Application.HighRisk equals true AND Application.Name is in list Web Browsing and Web
Conferencing –> Block<Default>
ルールは Application.HighRisk を適切に使用してアプリケーションのレピュテーション スコアを確認し、
Application.Name は適切にアプリケーション名が指定されたリストに含まれていることを確認します。レピュ
テーション スコアが危険度高レベルに達っしている、または超えており、アプリケーション名もリストにある場
合、このアプリケーションのリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
Facebook チャットをブロックする
Application.ToString (Application .Name) equals "Facebook.Chat" –> Block<Default>
ルールは Application.To String を適切に使用し、アプリケーション名が指定した文字列と同じであることを
確認します。このため、アプリケーション名は文字列に変換されます。変換されたアプリケーション名が指定した
文字列と同じ場合、アプリケーションのリクエストがブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
このルールは、デフォルトでは有効になっていません。
ストリーミング メディア フィルタリング
ストリーミング メディア フィルタリングは、ストリーミング メディアにネットワークのユーザーをアクセスさせた
くない場合は、アクセスできないようにします。フィルタリングは Web オブジェクトがストリーミング メディアで
あるかどうかを検出し、適宜、アクセスをブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
Web オブジェクトがストリーミング メディアである確率を計算するモジュール
ストリーミング メディア フィルタリングは通常、ユーザーのリクエストに応えて、Web サーバーが送信するストリ
ーミング メディアをブロックするために、フィルタリング プロセスの応答サイクルに適用されます。
McAfee Web Gateway 7.2
製品ガイド
217
10
Web フィルタリング
ストリーミング メディア フィルタリング
ストリーミング検出のルール
指定された確率のストリーミング メディアの Web オブジェクトをブロックするためには、
StreamDetector.IsMediaStream プロパティを使用するルールをセットアップできます。このプロパティの値
が真の場合、Web オブジェクトへのアクセスがブロックされます。たとえば、以下のルールがそのように行います。
名前
ストリーミング メディアへのアクセスをブロックする
条件
アクション
StreamDetector.IsMediaStream<Streaming Detection> equals
true
–> Block<Streaming Media
Blocked>
StreamDetector.IsMediaStream プロパティの値はストリーム ディテクター モジュールにより指定されます。
このプロパティが真に設定される場合、2 つの追加プロパティが関連値を指定します。
StreamDetector.Probability プロパティの値は、60 または 70 などの Web オブジェクトに実際に計算された
パーセントです。
StreamDetector.IMatchedRule プロパティの値は一致するルールの名前です。
これらの追加プロパティは、ログ ファイル エントリーの情報を記録するルールで使用できます。
ストリーミング メディア フィルタリングは、アプライアンスのデフォルトにより実行されません。それを行いたく
ない場合は、上記に記載されたもののようなルールを作成する必要があります。
このルールをそれ自身のルール セットで使用せずに、メディア タイプ フィルタリング ルール セットなど、別の適
切なルール セットに挿入することをお勧めします。
ストリーミング検出のモジュール
Web オブジェクトがストリーミング メディアであるという確率は、ストリーム ディテクター モジュール
（フィルタ
ーーまたはエンジンとも言われる）で計算されます。その際には、URL カテゴリー、コンテンツタイプ ヘッダー、
ソース IP アドレスおよびその他の項目が計算に使用されます。確率の計算結果はパーセントで示されます。
このように検出できるストリーミング メディアの種類には、次のものがあります。
•
Flash ベースのビデオ
•
RealMedia
•
IC9 ストリーム
•
MP3 ストリーム
•
MS-WMSP
このモジュールの設定を構成し、名前を付けることができます。たとえば、ストリーミング検出など。この設定には
Web オブジェクトがストリーミング メディアである確率の最小値が含まれます。
ストリーミング メディア フィルタリングの構成
ストリーミング メディア フィルタリングを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
218
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
ストリーミング メディア フィルタリング
10
タスク
1
ストリーミング メディアが構成されたレベルに届くまたは超える可能性がある場合、Web オブジェクトをブロッ
クするストリーミング メディア フィルタリング ルールを作成します。
2
たとえば、メディア タイプ ルール セットで、適合するルール セットにこのルールを挿入します。
可能性のレベルを上げるまたは下げることで、ルールを後で変更できます。これは、ストリーム検出モジュール
の設定を構成することで完了します。
3
変更を保存します。
ストリーミング 検出モジュールの構成
ストリーミング メディアの Web オブジェクトを提供する可能性を計算する、モジュールを構成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
[ストリーム検出]を選択して[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
[名前]入力フィールドで、設定名を入力します。
4
[オプション] [コメント]入力フィールドに、設定にコメントを入力します。
5 ［オプション］[権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
6
[ストリーミング検出]で、必要に応じてモジュールの設定を構成します。
7
[変更の保存]をクリックします。
関連トピック:
219 ページの「ストリーム ディテクターの設定 」
ストリーム ディテクターの設定
ストリーム ディテクターの設定は、ストリーミング メディアである Web オブジェクトの確率を計算するモジュー
ルを設定するために使用されます。
ストリーミング ディテクター
ストリーミング メディアの確率を計算するモジュールの設定
表 10-12 ストリーミング ディテクター
オプション
定義
[最小の確率] Web オブジェクトがストリーミング メディアである確率の最小値
（パーセント単位、0 ～ 100 の数
値で指定される）
McAfee Web Gateway 7.2
製品ガイド
219
10
Web フィルタリング
グローバル ホワイトリスト登録
グローバル ホワイトリスト登録
グローバル ホワイトリストに登録すると、今後すべてのフィルタリングがホワイトリストに登録されたオブジェクト
をスキップするので、それらへのアクセスをブロックできません。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御するフィルタリング ルール
•
特定の Web オブジェクトをさらなるフィルタリングから除外するルールに使用されるホワイトリスト
フィルタリング ルール
グローバル ホワイトリスト登録を管理するルールは、1 つのルール セットに含まれます。
ホワイトリスト ルールは、このルールセットに配置され実行されます。これらのいずれかが適用されると、以下のル
ール セットがスキップされ、ホワイトリストに登録された オブジェクトに対してさらにフィルタリングは行われま
せん。
これらのルールは確認、変更、削除が可能で、独自のルールを作成することもできます。
デフォルト ルール セット システムが実施されると、グローバル ホワイトリスト登録のルール セットが含まれます。
その名前は、グローバル ホワイトリストです。
ホワイトリスト
特定の Web オブジェクトをさらなるフィルタリングから除外するホワイトリスト登録ルールに使用されるホワイト
リスト URL 、メディア タイプ、その他のタイプのオブジェクトには異なるホワイトリストがある場合があります。
このリストにエントリーを追加したり、エントリーを削除することが可能です。また、独自のリストを作成し、ホワ
イトリスト登録ルールに使用させることも可能です。
グローバル ホワイトリストの構成
グローバル ホワイトリストを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
タスク
1
グローバル ホワイトリストのためルール セットのルールを確認します。
デフォルトでは、これはグローバル ホワイトリスト ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
ホワイトリスト ルールの有効化または無効化
•
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
220
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
変更を保存します。
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
SSL スキャン
10
グローバル ホワイトリストのルール セット
グローバル ホワイトリスト ルール セットは、グローバル ホワイトリスト登録のためのデフォルト ルール セットで
す。
デフォルト ルール セット — グローバル ホワイトリスト
条件 — Always
サイクル — Requests (and IM), responses, embedded objects
このルール セットは、以下のルールを含みます。
許可されたクライアントのリストにあるクライアント IP
Client.IP is in list Allowed Clients –> Stop Cycle
ルールは Client.IP プロパティを使用し、リクエストを送信したクライアントの IP アドレスが指定のホワイトリ
ストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。そこでリクエストが適切
な Web サーバーに転送されます。
URL.Host matches in list Global Whitelist
URL.Host matches in list Global Whitelist –> Stop Cycle
ルールは URL.Host プロパティを使用して、リクエストで送信された URL がアクセスを与えるホストが指定のホ
ワイトリストにあるかどうかを確認します。
ホワイトリストにある場合、ルールが適用され、現在のプロセス サイクルを停止します。リクエストはそこで、リ
クエストされたホストである Web サーバーに転送されます。
SSL スキャン
SSL スキャンは SSL セキュア Web トラフィックが処理でき、その他のフィルタリング機能で使用できるようにな
っていることを確認します。
SSL スキャニング プロセスには、以下の要素が含まれています。
•
プロセスを制御する SSL スキャニング ルール
•
SSL スキャニングから Web オブジェクトを除外しようし、プロセス内の他のオプションを実行するルールによ
り使用されるホワイトリストとその他のリスト
•
証明書の検証とプロセス内のその他の機能を実行sうるためのルールにより呼び出されるモジュール
SSL スキャン ルール
SSL スキャニングを制御するルールは、いくつかのネストされたルール セットをもつ 1 つのルール セットに通常含
まれます。ネストされた ルール セットのそれぞれは、SSL スキャニング プロセスの特定の機能を制御します。
•
CONNECT 呼び出しの処理 ― CONNECT 呼び出しを処理するためのルールをもつルールセットがあります。こ
れは SSL セキュア通信の先頭で HTTPS プロトコルの下で送信されます。
•
証明書の検証 ― たとえば、これらの証明書の共通名を検証するなど、SSL セキュア通信でクライアントとサー
バーにより送信された証明書を検証するためのルール セットがあります。
プロセスのこの部分は、明示的なプロキシと透過型のセットアップの両方に対する検証を許可します。
•
コンテンツの検査の有効化 ― 別のルール セットには、SSL セキュア通信で転送されたコンテンツの検査を有効
にするためのルールが含まれます。
McAfee Web Gateway 7.2
製品ガイド
221
10
Web フィルタリング
SSL スキャン
オブジェクトが感染しているかどうかを調べるために、このルールがマルウェア対策モジュールを呼び出し、これに
よってオブジェクトをスキャンして、ルールに結果を知らせます。
ホワイトリスト登録ルールは、このルール セットでブロック ルールの前に配置および処理できます。これらのいず
れかが適用されると、ブロッキング ルールがスキップされ、ホワイトリストに登録されたオブジェクトに対してスキ
ャンは行われません。
SSL スキャニングについてアプライアンスで施行されているルールを見直し、それらを変更または削除し、固有のル
ールを作成することもできます。
デフォルト ルール セット システムが実施されると、SSL スキャニングのルール セットが含まれます。その名前は、
SSL スキャナーです。ただし、このルール セットは、初期状態では有効になっていません。
SSL スキャニングのためのホワイトリストとその他のリスト
ホワイトリストは、Web オブジェクトにプロセスの一部を除外させるための SSL スキャニング ルールにより使用さ
れます。たとえば、証明書のホワイトリストは、証明書の検査の実行を免除します。
SSL スキャニングで使用されるその他のリストには、受け付けられる場合は CONNECT 呼び出しで許可されるポー
ト番号と特定の交換キーを適用できないために証明書の特別な種類の検証を必要とするサーバーを含みます。
このリストにエントリーを追加したり、エントリーを削除することが可能です。また、独自のリストを作成し、SSL
スキャニング ルールに使用させることも可能です。
SSL スキャン モジュール
以下のモジュール（エンジンとも呼ばれます）は、SSL スキャニング プロセスの異なる部分を実行するために、
SSL スキャニング ルールにより呼び出されます。
•
SSL スキャナー — 実行する際の設定に応じて、明書の検証を扱うか、コンテンツ検査を有効化します。
適宜、モジュールは異なる設定での証明書検証とコンテンツの検査のためのルールにより呼び出されます。
•
クライアント コンテキスト設定のためのモジュール ― SSL セキュア通信でリクエストを送信するクライアント
へのアプライアンスの証明書の送信を処理します。
この証明書が送信されると、証明書を発行する証明書機関（CA）はそれと共に、またはそれなしで送信できます。
適宜、証明書機関と共に証明書を送信するモジュールと、証明書機関なしで証明書を送信する別のモジュールが
あります。
デフォルト システムの SSL スキャナー ルール セットは、証明書機関と共に証明書を送信する方法を使用しま
す。
デフォルトの証明書機関は、初期セットアップの後で使用できます。しかし、さらに使用するために固有の証明
書権限を提供することをお勧めします。
•
証明書チェーン — 証明書の追加元のリストを使用して、チェーンを形成する証明機関の追加を処理します。
チェーンを形成する際、モジュールはチェーンに含まれる証明書に証明機関のリストを使用します。既存のリス
トに証明機関および新しいリストを追加することができます。
SSL スキャンの構成
SSL スキャンを構成し、このプロセスをネットワーク要件にあわせることができます。
以下の高レベル手順を完了します。
222
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
SSL スキャン
10
タスク
1
SSL スキャンのルール セットを有効にし、このルール セット内のルールを確認します。
デフォルトでは、これはSSL スキャナー ルール セットです。
2
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
•
独自の証明書によってアプライアンスがクライアントに送信した証明書に証明するため、デフォルトの ルー
トの証明機関（CA）に置き換えます。
これは、ユーザー インターフェースで作成する、またはファイル システムからインポートする証明機関によ
って可能です。
•
•
ホワイトリスト ルールの有効化または無効化。例:
•
クライアントによって提出された証明書がホワイトリストにある場合、証明書の検証をスキップするデフ
ォルトのルールです。
•
リクエストされた URL のホストがホワイトリストにある場合、コンテンツの検査をスキップするデフォル
トです。
ホワイトリストルールで使用するリストを編集する
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
3
•
独自のホワイトリストを作成し、ホワイトリスト ルールで使用する
•
SSL スキャンに関連するモジュールの設定を変更します。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
変更を保存します。
SSL スキャン モジュールの構成
SSL スキャン モジュールを構成し、SSL セキュア Web トラフィックが処理される方法を変更できます。
以下のモジュールは SSL スキャンに関連し、構成可能です。
•
SSL スキャナー モジュール
•
SSL クライアント コンテキスト モジュール
•
証明書チェーン モジュール
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、SSL スキャンのためにルール セットを検索します。
デフォルトでは、これはSSL スキャナー ルール セットです。
McAfee Web Gateway 7.2
製品ガイド
223
10
Web フィルタリング
SSL スキャン
3
ルール セットを展開し、構成するモジュールの設定があるルールを含むネストされたルール セットを選択しま
す。
たとえば、SSL スキャナー モジュールを構成するには、ネストされた接続呼び出しの処理ルール セットを展開
します。これは、SSL スキャナー モジュールのデフォルトの証明書の検証設定を持つデフォルトのルール証明書
の検証を有効にするによって含まれます。
ネストされたルール セットのルールが設定パネルに表示されます。
4
[詳細を表示]が選択されていることを確認します。
5
構成するモジュールの設定を持つルールを検索します。
これは、例えば上記の証明書の検証を有効にするルールである可能性があります。
6
ルール内で、設定名をクリックします。
たとえば、証明書の検証を有効にするルール イベントで、デフォルトの証明書の検証をクリックします。
[設定の編集]ウィンドウが開きます。SSL スキャナー モジュールなどモジュールの設定を提供します。
7
必要に応じて、これらの設定を構成します。
8
[OK]をクリックしてウィンドウを閉じます。
9
[変更の保存]をクリックします。
関連トピック:
228 ページの「SSL スキャナー設定 」
229 ページの「SSL クライアント コンテキストの設定」
230 ページの「証明書チェーン設定 」
デフォルトのルート証明書権限の置換
クライアントにアプライアンスが送信する証明書に署名するための初期設定後に示されるデフォルトの証明書権限を
固有の証明書権限で置換できます。
ユーザー インターフェースで新しいルート証明書権限を作成するか、ファイル システムからのものをインポートで
きます。
タスク
•
224 ページの「ルートの証明機関の作成 」
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関（CA）を作成し、
デフォルトの証明機関の代わりに使用できます。
•
225 ページの「ルート証明機関のインポート 」
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名する
ために、ルート証明機関（CA）をインポートできます。
ルートの証明機関の作成
アプライアンスがクライアントに送信する証明書に署名するためのルートの証明機関（CA）を作成し、デフォルトの
証明機関の代わりに使用できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーの[エンジン] ブランチで、[CA を持つ SSL クライアント コンテキスト]に進み、
3
[新しく作成]をクリックします。
[新しい証明機関の作成]ウィンドウが開きます。
224
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
SSL スキャン
4
10
[組織]および[ローカリティ] フィールドに、独自の証明機関に関する適切な情報を入力します。
5 ［オプション］[組織ユニット]および[ステート] フィールドに適切な情報を入力します。[国]リストから、国を選
択します。
6
[共通名]フィールドに、独自の証明機関の共通名を入力します。
7 ［オプション］[電子メール] フィールドに、組織で使用している電子メール アドレスを入力します。
8
[有効]リストから、証明機関が有効になる時間を選択します。
9 （オプション） [コメント]フィールドに、証明機関に関する平文コメントを入力します。
10 [OK]をクリックします。
新しい証明機関が作成されます。
11 [変更の保存]をクリックします。
ルート証明機関のインポート
アプライアンスがクライアントに送信し、デフォルトの証明機関の代わりに使用する証明書に署名するために、ルー
ト証明機関（CA）をインポートできます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[CA を持つ SSL クライアント コンテキスト] を選択し、インポートされた証明書を使用する設
定をクリックします。
3
[インポート]をクリックします。
[証明機関のインポート]ウィンドウが開きます。
4
[参照]をクリックして適切なファイルを参照することにより、[証明書]フィールドに証明認証ファイルの名前を入
力します。
ファイルは PEM (Privacy-enhanced mail) 形式でエンコードされている必要があります。
5
[参照]をクリックして適切なファイルを参照することにより、[秘密鍵]鍵フィールドに証明書の鍵ファイルの名前
を入力します。
ファイルは PEM 形式でエンコードされている必要があります。キーは少なくとも 2048 ビットの長さである必
要があります。
6
[条件付き] 秘密鍵がパスワードで保護されている場合、[パスワード]フィールドにパスワードを入力します。
ここでは、暗号化されていない鍵とAES 128 ビットの暗号化鍵のみを使用できます。
7
[条件付き] 証明機関が証明書チェーンに関連し、アプライアンスがクライアントに証明書を送信するよう、この
チェーンの情報を取得したい場合、[参照]をクリックし、適切なファイルを参照することにより、[証明書チェー
ン]フィールドの情報を含むファイル名を入力します。
ファイルは PEM 形式でエンコードされている必要があります。
8
[OK]をクリックします。
証明機関がインポートされます。
9
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
225
10
Web フィルタリング
SSL スキャン
クライアント証明書リスト
クライアント証明書リストは、SSL セキュア通信でクライアント リクエストをアプライアンスで受信し、適切な
Web サーバーでパスする場合の、Web サーバーの送信される証明書のリストです。
SSL 再交渉が行なわれるため、Web サーバーが最初と後の握手で求める場合、証明書が送信されます。
ルール イベントはアプライアンスに伝達され、Web サーバーの通信にクライアント証明書を使用します。証明書は
クライアント証明書リストから選択できます。
この場合、証明書のプライベート キーは、リクエストに送信されるクライアントによって提供されることが必要で
す。
代わりに、常に Web サーバーに送信される事前設定された証明書を使用することもできます。
クライアント証明書リストから証明書の使用をトリガーするルール イベントは、CONNECT 要求に適用するルール、
または条件の Command.Name プロパティの値として CERTVERIFY を持つ証明書の検証に対するルール セット
のルールに属することができます。
クライアント証明書リストおよび手順を含むルール イベントの設定を構成し、使用できます。また設定は、アプライ
アンスが提供するクライアントの証明書のプライベート キーが、暗号化されていない状態で保管されるように指定で
きます。
クライアント証明書リストの作成
SSL セキュア通信で Web サーバーに送信可能なクライアント証明書のリストを作成できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[SSL クライアント証明書の取り扱い]を選択し、[追加]をクリックします。
[設定の追加]タブが選択されている状態で、[設定の追加]ウィンドウが開きます。
3
全般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b ［オプション］[コメント] フィールドで、設定の平文コメントを入力します。
c ［オプション］[権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[クライアント証明書の取り扱い]で、オプション[クライアントの所有権が証明された場合、既知のクライアント
証明書リストからクライアント証明書を使用する]が選択されていることを確認します。
5
[既知のクライアント証明書]リストのツールバーで、[追加]をクリックします。
[クライアント証明書の追加]ウィンドウが開きます。
6
[インポート]をクリックして、クライアント証明書をインポートします。
[クライアント証明書のインポート] ウィンドウが開きます。
7
クライアント証明書をインポートする
a
[証明書]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
ファイルを参照して選択します。
ファイル マネージャーが閉じ、証明書ファイルの名前がフィールドに表示されます。
226
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
SSL スキャン
b
10
[秘密鍵]フィールドの隣で、[参照]をクリックし、開いているローカル ファイル マネージャー内で、適した
鍵ファイルを参照して選択します。
ファイル マネージャーが閉じ、鍵のファイル名とパスワードが[秘密鍵]および[パスワード]に表示されます。
c
[OK]をクリックします。
ウィンドウが閉じ、証明書ファイルの情報が[クライアント証明書のインポート]ウィンドウに表示されます。
d ［オプション］[コメント] フィールドで、証明書の平文コメントを入力します。
8
[OK]をクリックします。
[クライアント証明書の追加]ウィンドウが閉じ、証明書ファイル名とコメント
（提供された場合）が[既知のクライ
アント証明書]リストに表示されます。
リストに追加する他の証明書に対してステップ 5 から 6 を繰り返します。
9
[設定の追加]ウィンドウを閉じるには、[OK]をクリックします。
10 [変更の保存]をクリックします。
SSL クライアント証明書処理の設定
SSL クライアント証明書処理の設定は、SSL セキュア通信で Web サーバーに送信されるクライアント証明書を設定
するために使用されます。
SSL クライアント証明書処理
SSL クライアント証明書の設定
表 10-13 SSL クライアント証明書処理
オプション
定義
[クライアントが所有権を証明 これが選択されると、SSL セキュア通信で Web サーバーに送信されるクライアン
した場合、既知のクライアント ト証明書は、既知のクライアント証明書のリストから取り出されます。
証明書リストのクライアント証
しかし、サーバーへのアプライアンスの転送をリクエストをもつクライアントがこ
明書を使用する]
の証明書の所有者である場合に、証明書はこのリストからのみ取り出されます。
このラジオ ボタンを選択した後で、[既知のクライアント証明書]セクションが表示
され、証明書のリストを構成するための設定を示します。
[常に事前定義されたクライア
ント証明書を使用する]
これを選択すると、同じクライアント証明書が常に SSL セキュア通信で Web サ
ーバーに送信されます。
このラジオ ボタンを選択した後で、[事前定義されたクライアント証明書]セクショ
ンが表示され、1 つの証明書のリストを構成するための設定を示します。
既知のクライアント証明書
Web サーバーに送信できる既知のクライアント証明書のリストの構成の設定
表 10-14 既知のクライアント証明書
オプション
定義
既知のクライアント証明書リスト SSL セキュア通信で Web サーバーに送信できるクライアント証明書のリスト
次の表は既知のクライアント証明書のリストのエントリーの要素を説明しています。
McAfee Web Gateway 7.2
製品ガイド
227
10
Web フィルタリング
SSL スキャン
表 10-15 既知のクライアント証明書 - リスト入力
オプション
定義
[証明書]
クライアント証明書の名前
[コメント]
証明書の平文コメント
事前定義されたクライアント証明書
Web サーバーに常に送信されるクライアント証明書の構成の設定
表 10-16 事前定義されたクライアント証明書
オプション
定義
[件名]、[発行者]、[有
効性]、[延長]
Web サーバーに送信するために現在使用されているクライアント証明書の情報
[インポート]
クライアント証明書をインポートするために、[クライアント証明書のインポート]ウィン
ドウを開きます。
インポート後に、クライアント証明書の情報が、[件名]、[発行者]の下、およびその他の
情報フィールドに表示されます。
[エクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書を保管します。
[キーをエクスポート]
ローカル ファイル マネージャーを開き、適切な場所にクライアント証明書のプライベー
ト キーを保管します。
[証明書チェーン]
クライアント証明書とともにインポートされる証明書チェーンを表示します。
SSL スキャナー設定
SSL スキャナー設定は証明書が検証されコンテンツの検査が SSL セキュア Web トラフィックに対して有効に設定
される方法を構成するために使用されます。
SSL スキャナーを有効にする
証明書の検証の構成やコンテンツ検査の有効化のための設定
表 10-17 SSL スキャナーを有効にする
オプション
定義
[SSL スキャナー モジ SSL スキャナー モジュールによって実行される機能
ュール]
• [証明書の検証] — 選択すると、モジュールは、SSL セキュア通信で送信される証明書を
検証します。
デフォルトの証明書検証および EDH 設定なしの証明書検証では、このオプションはデフ
ォルトで有効になっています。
• [SSL 検査] — 選択すると、モジュールは SSLセキュア通信で送信される Web オブジェ
クトのコンテンツを検査します。
[SSL プロトコル バー 選択すると、モジュールは SSLセキュア通信で送信される Web オブジェクトのコンテンツ
ジョン]
を検査します。
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用さ
れます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
228
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
SSL スキャン
10
表 10-17 SSL スキャナーを有効にする (続き)
オプション
定義
[サーバー暗号化リス
ト]
サーバー データの復号化に使用される Open SSL 記号の文字列
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証およ
び EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書の検証
を行います。
[SSL セッション キャ キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を
ッシュ TTL]
保持する時間 (秒)
[RFC 5746 を実装し 選択すると、SSL スキャナー モジュールは、指定された基準への準拠に失敗した Web サ
ないサーバーとのハン ーバーとの通信においても、これらのアクティビティを実行します。
ドシェイクと再ネゴシ
エーションを許可す
る]
代わりのハンドシェイクを許可する
代わりのパラメーター値を使う SSL で保護された通信のハンドシェイク設定
表 10-18 代わりのハンドシェイクを許可する
オプション
定義
[ハンドシェイクの失敗 選択すると、SSL で保護された通信で最初のハンドシェイク試行が失敗した後、SSL ス
後、代わりのハンドシェ キャナー モジュールは代わりのパラメーター値を使用します。
イク設定を使用する]
[SSL プロトコル バージ SSL スキャナー モジュールが代わりのハンドシェイクを実行する際に従うプロトコルの
ョン]
バージョン
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用
されます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
[サーバー暗号化リスト] サーバー データの復号化に使用される Open SSL 記号の文字列
SSL スキャナー モジュールはさまざまな文字列を使用して、デフォルトの証明書検証お
よび EDH (Ephemeral Diffie-Hellman) 手法をサポートしないサーバーからの証明書の
検証を行います。
SSL クライアント コンテキストの設定
SSL クライアント コンテキスト設定は、アプライアンスがクライアントに送信する証明書を処理するモジュールに
使用されます。
SSL クライアント コンテキストを定義する
アプライアンスがクライアントに送信する証明書の設定
McAfee Web Gateway 7.2
製品ガイド
229
10
Web フィルタリング
SSL スキャン
表 10-19 SSL スキャナーを有効にする
オプション
定義
[（現在のルート証 アプライアンスで現在使用されているルート証明書権限
（ルート CA）のパラメーターおよび値
明書の権限）]
初期設定後に、デフォルトのルート CA がアプライアンスに実装されています。しっかり管理
するために、独自のルート CA を作成することをお奨めします。［新しく作成］ボタンを使用
して、この証明機関を作成します。
[証明書チェーンの これを選択すると、アプライアンスは、アプライアンスがクライアントへ送信する証明書の検
証プロセスに関わる証明書チェーンの情報を送信します。
送信]
アプライアンスがサーバーとしてクライアントに送信する証明書はレベル 0 に存在すると考え
られます。証明機関
（CA）がこのサーバー証明書に署名をして検証する際、これはレベル 1 で
行われます。追加の証明機関が最初の証明機関を検証する際、これはレベル 2 で行われます。
それぞれ関わる証明機関が追加されるごとに、レベルは 1 つずつ増えていきます。
[証明書チェーン]
証明書チェーンに関する情報をフィールドに入力します
証明書チェーンに関わる既存の証明機関（CA）をインポートした後、この証明書チェーンの情
報がフィールドに表示されます。
[安全でないネゴシ これを選択すると、モジュールは、SSL で保護された通信のパラメーターを、これが安全でな
エーションを実行す い場合でもネゴシエートします。
る]
[クライアント暗号 クライアント データの復号化に使用される Open SSL 記号の文字列
リスト]
[SSL セッション キ キャッシュに保存される、SSL で保護された通信におけるセッションのパラメーター値を保持
ャッシュ TTL]
する時間 (秒)
[SSL プロトコル バ SSL スキャナー モジュールがハンドシェイクを実行する際に従うプロトコルのバージョン
ージョン]
• [TLS 1.0 ]— 選択すると、TLS (Transport Layer Security) バージョン 1.0 が使用され
ます。
• [SSL 3.0 ]— 選択すると、SSL バージョン 3.0 が使用されます。
証明書チェーン設定
証明書チェーン設定は、証明書チェーンの構築を処理するモジュールの構成に使用されます。
証明書の検証
証明書チェーンの構築の設定
表 10-20 証明書の検証
オプション
定義
[証明機関のリスト]
証明書チェーンの証明書に署名する証明機関（CAs）のリストを選択するリスト
以下の表はリスト エントリの要素を説明しています
表 10-21 証明機関のリスト
オプション
定義
[証明機関]
証明機関の名前
[証明書失効リスト] この証明機関に署名された証明書が無効になる際の情報、およびリストにアクセスするために
使用される URL の情報のリスト
230
[信用]
証明機関がアプライアンスで信頼済みであるかどうかについての情報
[コメント]
証明機関の標準テキスト形式のコメント
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
SSL スキャン
10
SSL スキャナー ルール セット
SSL スキャナー ルール セットは、SSL すきゃ人のためのデフォルト ルール セットです。
デフォルト ルール セット — SSL スキャナー
条件 — Always
サイクル － リクエスト（および IM）
以下のルール セットは、このルール セット内にネストされています。
• 接続呼び出しの処理
• 証明書の検証
• 共通名検証（プロキシ設定）
• コンテンツの検査
• 共通名検証（透過型設定）
接続呼び出しの処理
このネストされたルール セットは、SSL セキュア通信の CONNECT 呼び出しを処理し、証明書の検証を有効にしま
す。
ネストされたライブラリ ルール セット — CONNECT 呼び出し処理
条件 — Command.Name equals “CONNECT”
サイクル － リクエスト（および IM）
このルールの条件は、リクエストが接続コマンドを含むアプライアンスで受信された場合、ルールが適用されるよう
指定します。CONNECT コマンドは、SSL で保護された接続のオープニング フェーズで送信されます。
ルール セットは、以下のルールを含みます。
クライアント コンテキストの設定
Always –> Continue – Enable SSL Client Context with CA <Default CA>
このルールは、クライアントに送信されたサーバー証明書の使用を有効にします。
イベント設定は、この証明書のデフォルトの発行者として、初期設定後、アプライアンスに実装される McAfee
Web Gateway ルートの証明機関（CA）を指定します。
Continue アクションは次のルールで処理を続行します。
トンネリング ホスト
URL.Host is in list SSL Host Tunnel List –> Stop Cycle
このルールは、指定されたホワイトリストにある URL を持つホストへのアクセスのリクエストで SSL スキャンを
スキップさせます。
送信先ポートを許可された CONNECT ポートに限定する
URL.Port is not in list Allowed Connect Ports –> Block<Connect not allowed>
このルールは、許可された CONNECT ポートのリストにない送信先ポートを使ったリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
EDH 以外のサーバー リストにあるホストの場合、EDH がなくても証明書の検証を有効にする
URL.Host is in list No-EDH server –> Block<Connect not allowed> Stop Rule Set – Enable SSL
Scanner<Certificate Verification without edh>
McAfee Web Gateway 7.2
製品ガイド
231
10
Web フィルタリング
SSL スキャン
このルールは、EDH（Ephemeral Diffie-Hellman）以外のサーバー リストにあるホストから送信されたリクエス
トで証明書の検証を有効にします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
イベント設定は、SSL スキャン モジュールの検証モードで実行、および EDH 以外のホストでデータ暗号化の特定
の暗号文字列を指定しています。
証明書の検証を有効にする
Always –> Stop Rule Set – Enable SSL Scanner<Default certificate verification>
このルールは証明書の検証を有効にします。
イベント設定は、SSL スキャン モジュールが検証モードで実行することを指定します。
証明書の検証
このネストされたルール セットは、SSL セキュア通信で CERTVERIFY 呼び出しを処理します。ホワイトリストに
登録された証明書に検証をスキップさせ、特定の条件に従って、それ以外をブロックします。
ネストされたライブラリ ルール セット — 証明書の検証
条件 – Command.Name equals “CERTVERIFY*
サイクル － リクエスト（および IM）
このルールの条件は、リクエストが CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用
されるよう指定します。CERTVERIFY コマンドは、証明書の検証をリクエストするために送信されます。
以下のルール セットは、このルール セットでネストされています。
•
共通名検証（プロキシ設定）
ルール セットは、以下のルールを含みます。
証明書ホワイトリストで見つかった証明書の検証をスキップする
SSL.Server.Certificate.HostAndCertificate is in list Certificate Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録された証明書の検証をスキップさせます。
自己署名証明書をブロックする
SSL.Server.Certificate.SelfSigned equals true –> Block <Certificate incident>
このルールは、自己署名証明書を持つリクエストをブロックします。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
期限切れのサーバー（7 日間許容）および期限切れ CA 証明書をブロックする
SSL.Server.Certificate.DaysExpired greater than 7 OR
SSL.Server.CertificateChain.ContainsExpiredCA<Default> equals true –> Block <Certificate
incident>
このルールは、期限切れのサーバーと CA 証明書を使ったリクエストをブロックします
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
長すぎる証明書チェーンをブロックする
SSL.Server.CertificateChain.PathLengthExceeded<Default> equals true –> Block <Certificate
incident>
このルールは、証明書チェーンがパスの長さを超えた場合にブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
232
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
SSL スキャン
10
破棄された証明書をブロックする
SSL.Server.CertificateChain.ContainsRevoked<Default> equals true –> Block <Certificate
incident>
このルールは、含まれている証明書のうちいずれかが失効した場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
未知の証明機関をブロックする
SSL.Server.CertificateChain.FoundKnownCA<Default> equals false –> Block <Certificate
incident>
このルールは、含まれている証明書を発行する証明機関（CA）がいずれも既知の CA ではない場合、証明書チェー
ンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
信頼しない証明機関をブロックする
SSL.Server.FirstKnownCAIsTrusted<Default> equals false –> Block <Certificate incident>
このルールは、最初に見つかった既知の CA が信用されない場合、証明書チェーンをブロックします。
プロパティの設定は、証明機関を確認するモジュールのリストを指定しています。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
共通名検証（プロキシ設定）
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信されたリクエストに
適用されます。
ネストされたライブラリ ルール セット — 共通名検証（プロキシ設定）
条件 – Connection.SSL.TransparentCNHandling equals false
サイクル － リクエスト（および IM）
このルールの条件は、リクエストが SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透
過型モードで実行されない場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、リクエストされたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへのリクエスト
を許可します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書に替わりの共通名を持つホスト、およびそれらの少なくとも 1 つが一致するホストへのリク
エストを許可します。
McAfee Web Gateway 7.2
製品ガイド
233
10
Web フィルタリング
SSL スキャン
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、リクエストは、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
コンテンツの検査
このネストされたルール セットは CERTVERIFY 呼び出しの処理を実行します。特定の条件に従って、一部のリクエ
ストでコンテンツの検証をスキップさせ、その他すべての検査を有効にします。
ネストされたライブラリ ルール セット — コンテンツ検査
条件 – Command.Name equals “CERTVERIFY*
サイクル － リクエスト（および IM）
このルールの条件は、リクエストが CERTVERIFY コマンドを含むアプライアンスで受信された場合、ルールが適用
されるよう指定します。CERTVERIFY コマンドは、証明書の検証をリクエストするために送信されます。
ルール セットは、以下のルールを含みます。
SSL 検査ホワイトリストで見つかったホストのコンテンツ検査をスキップする
Connection.SSL.Transparent equals false AND URL.Host matches in list SSL Inspection
Whitelist –> Stop Rule Set
このルールは、ホワイトリストに登録されたホストに送信されたリクエストでコンテンツの検査をスキップさせま
す。透過型モード以外でのみ適用されます。
SSL 検査ホワイトリストで見つかった共通名のコンテンツをスキップする
Connection.SSL.Transparent equals true AND Certificate.SSL.CN matches in list SSL
Inspection Whitelist –> Stop Rule Set
このルールは、証明書にホワイトリストに登録された共通名を持つリクエストで、コンテンツの検査をスキップさ
せます。透過型モードでのみ適用されます。
このルールは、初期状態では有効になっていません。
クライアント証明書を持つ接続を検査しない
Connection.Client.CertificateIsRequested equals true –> Stop Rule Set
このルールは、クライアント証明書の使用が必要な場合、リクエストに検査をスキップさせます。
このルールは、初期状態では有効になっていません。
コンテンツ検査を有効にする
Always –> Continue – Enable SSL Scanner<Enable content inspection>
このルールはコンテンツ検査を有効にします。
イベント設定は、SSL スキャン モジュールが検査モードで実行することを指定します。
コンテンツの検査をスキップするルールのうちいずれかが適用される場合、ルール セットの処理は停止し、この最
後のルール（検査を有効にする）は処理されません。そうでない場合、コンテンツの検査はこのルールによって有
効になります。
共通名検証（透過型設定）
このネストされたルール セットは証明書の共通名を検証します。明示的プロキシ モードで送信されたリクエストに
適用されます。透過型モードで送信されたリクエストにのみ適用されています。
234
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
Data Loss Prevention
10
明示的プロキシ￥ モードでリクエストが送信されると、共通名と比較されたホスト名がクライアントが送信した
CONNECT リクエストから取り出されます。
CONNECT リクエストが送信されない透過型モードとして、干すつ名はクライアントが送信する Web アクセスのリ
クエストから取り出されます。
ネストされたライブラリ ルール セット — 共通名検証（透過型セットアップ）
条件 – Connection.SSL.TransparentCNHandling equals true AND Command.Name does not
equal “CONNECT” AND Command.Name does not equal “CERTVERIFY”
サイクル － リクエスト（および IM）
このルールの条件は、リクエストが SSL で保護された通信で使用される接続を通して受信され、共通名の検証が透
過型モードで実行される場合、ルール セットが適用されるよう指定します。
ルール セットは、以下のルールを含みます。
一致するホスト名を許可する
URL.Host equals Certificate.SSL.CN –> Stop Rule Set
このルールは、リクエストされたホストの URL が証明書の共通名と同じ場合に許可されます。
ワイルドカード証明書を許可する
Certificate.SSL.CN.HasWildcards equals true AND URL.Host
matches.Certificate.SSL.CN.ToRegex(Certificate.SSL.CN) –> Stop Rule Set
このルールは、ホストの URL と一致する共通名に、ワイルドカードを持つ証明書を送信するホストへのリクエスト
を許可します。
ワイルドカードを含む共通名がホストと一致することを検証するために、この名前は正規表現に変換されます。
替わりの共通名を許可する
URL.Host is in list Certificate.SSL.AlternativeCNs –> Stop Rule Set
このルールは、証明書に替わりの共通名を持つホスト、およびそれらの少なくとも 1 つが一致するホストへのリク
エストを許可します。
インシデントをブロックする
Always –> Block <Common name mismatch>
一致する共通名を許可するルールのいずれかが適用される場合、ルール セットの処理は停止し、このルールは処理
されません。そうでない場合、リクエストは、共通名の不一致が原因でこのルールによってブロックされます。
アクションの設定でリクエストを行っているユーザーへのメッセージを指定します。
Data Loss Prevention
Data loss prevention
（DLP）は、機密情報がネットワークから流出しないようにします。防御のプロセスでは、こ
のコンテンツを検出し、Web へ流出するトラフィックを適宜にブロックします。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する Data loss prevention ルール
•
data loss prevention のエントリを記入したデフォルトの分類およびディクショナリ
•
機密情報の検索を処理するルールによって呼び出される Data loss prevention モジュール
また、data loss prevention ルールを使用して、ネットワークへ流入しないように不適切なコンテンツを保持でき
ます。しかし、これはパフォーマンスへ影響を与える可能性があります。
McAfee Web Gateway 7.2
製品ガイド
235
10
Web フィルタリング
Data Loss Prevention
data loss prevention プロセスは、リクエストまたは応答とともに送信される本文に含まれるテキスト、または、
URL パラメーターまたはヘッダーなど、リクエストまたは応答に含まれるその他テキストにも適用できます。
フィルタリング プロセスに対して、ICAP サーバーを使用する DLP ソリューションと共にアプライアンスを実行中
の場合、アプライアンスと ICAP サーバーの間のデータのスムーズなフローを確認するためにルール セットを施行で
きます。
Data loss prevention ルール
Data loss prevention は、アプライアンスのデフォルトによって実行されませんが、ライブラリから Data Loss
Prevention ルール セットをインポートできます。
これらのルールは、このルール セットで確認、変更、削除が可能で、独自のルールを作成することもできます。
data loss prevention ルールは、たとえばテキストが機密コンテンツを含む本文として送信されるリクエストなど
をブロックします。リクエスト本文を提供するのが「true」かどうか検索するため、ルールは本文を検査するモジュ
ールを呼び出します。何が機密と見なされるか知るには、構成されたものに従って、システム リストのモジュールが
デフォルトの分類、またはディクショナリ エントリを参照します。
リクエストまたは応答が処理されたとき、本文が Body.Text プロパティの値として保管されます。本文が保管さ
れ、検査される前に、抽出する必要があります。コンポジット オープナー モジュールはオープニング ジョブを実行
します。共通ルール ルール セットのルール セットにおけるルールは、デフォルトでオープナーを有効にします。
リクエスト本文は、たとえば、Web へのアップロードがリクエストされるテキスト ファイルに存在する可能性があ
ります。ルール条件の適合した本文関連プロパティの値は、適用するルールおよびブロックの実行に「true」になり
ます。
以下のルールは、この方法で DLP.Classification.BodyText.Matched を使用します。リクエストが本文に機密
コンテンツを含む場合、これは、これは data loss prevention モジュールによって検出されます。プロパティの値
は true に設定され、リクエストがブロックされます。
名前
SOX 情報でファイルをブロックする
条件
DLP.Classification.BodyText.Matched<SOX> equals true
アクション
–> Block<DLP.Classification.Block>
このルールが処理されるとき、data loss protection モジュールはその設定によって、企業の責任に対応する SOX
（サーベンス オクスリー法）規制に関して機密コンテンツを検索する必要があることを知っています。
イベントをルールに追加し、data loss prevention の情報をログ記録するか、このルールによってブロックされた
リクエストが発生する頻度をカウントするカウンターをインクリメントできます。
デフォルトの分類およびディクショナリ エントリ
デフォルトの分類およびディクショナリ エントリは、data loss prevention で使用され、ネットワークからの流出
を防ぐ必要がある機密コンテンツを指定します。
しかし、システム リストおよびディクショナリ エントリで、ネットワークに流入を許可しない差別的または攻撃的
な言葉など、不適切なコンテンツも指定できます。たとえば、ルールでリクエストに応じて Web サーバーから送信
されたコンテンツをブロックさせるこの方法などで、不適切なコンテンツを指定できる可能性があります。
data loss prevention のライブラリ ルール セットは、応答サイクルの本文を処理するためにネストされたルール
セットを含みます。
236
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
Data Loss Prevention
10
デフォルトの分類およびディクショナリ エントリは以下の方法で異なります。
•
デフォルトの分類 — たとえば、クレジット カード番号、社会保険番号、医療診断データなど、異なる種類の機
密または不適切なコンテンツを検出するための情報を提供します。
デフォルトの分類は、システム リストのフォルダーおよびサブフォルダーに含まれており、アプライアンス シス
テムによって更新されます。リスト ツリーの [システム リスト] ブランチの [DLP 分類]の下で、システム リス
トを表示できますが、編集または削除はできません。
分類を処理するモジュールの設定を編集する場合、これらのリストのフォルダーから適合したサブフォルダーを
選択し、ネットワーク内の data loss prevention の分類とともにリストを作成できます。
•
ディクショナリ エントリ — たとえば、ネットワークから流出させるべきではないコンテンツを示唆する人物の
名前やキーワードなど、機密または不適切なコンテンツを指定します。
ディクショナリは、このリストを処理するモジュールの設定の一部として作成されます。
ディクショナリを作成し、機密または不適切なコンテンツに対してエントリを記入することは、システム リスト
のデフォルト分類を使用して何が可能かを超えて、data loss prevention プロセスの構成を意味します。この方
法でネットワークの要件に対してプロセスを合わせることができます。
Data Loss Prevention モジュール
data loss prevention モジュールのジョブ
（エンジンとも呼ばれる）は、リクエストおよび応答の本文、およびリク
エストおよび応答とともに送信される他のテキストで、機密または不適切なコンテンツを検出するためのものです。
アーカイブ ドキュメント、POST リクエストの本文、およびその他など、複合オブジェクトがリクエストまたは応答
とともに送信される場合、data loss prevention プロセスにも含まれます。このようなオブジェクトを分析するた
め、data loss prevention ルールは、埋め込みオブジェクト サイクルでも処理されます。
検出された data loss prevention モジュールによって、ルール条件の本文関連プロパティは、true または false
に設定されます。そのため、Web トラフィックは最終的にブロックまたは許可されます。
関連コンテンツを検出するためのリストの使用で異なる、2 つのモジュールがあります。
•
Data Loss Prevention（分類） — data loss prevention のためにシステム リストのデフォルトの分類を使
用します。
•
Data Loss Prevention（ディクショナリ） — data loss prevention に対して提供する機密および不適切な
コンテンツに、エントリとともにディクショナリを使用します。
モジュールの設定を構成するとき、検索するべきコンテンツを指定します。コンテンツを指定するデフォルトの分類
およびディクショナリは、設定パラメーターの間にあります。
data loss prevention の検索方法
ネットワークからの流出や流入をふせぐべきコンテンツの検索には異なる方法があります。
•
検索は、機密又は不適切として指定されるコンテンツの一部を含む、リクエストまたは応答本文を提供するか否
かの検索を目的にできます。
•
検索は URL パラメーターまたはヘッダーコンテンツの一部で開始し、構成されたものに従って、機密または不適
切かどうかを検索できます。
最初の方法として、サンプル ルールで既に表示された DLP.Classification.BodyText.Matched プロパティを
使用できます。
2 つ目に、DLP.Classification.AnyText.Matched プロパティを使用できます。このプロパティは、システム
リストまたはディクショナリにあるため確認されるコンテンツの一部のため、文字列のパラメーターを取得します。
McAfee Web Gateway 7.2
製品ガイド
237
10
Web フィルタリング
Data Loss Prevention
作業しているものによって、システムリストと DLP.Dictionaries.BodyText.Matched、ディクショナリを備え
た DLP.Dictionaries.AnyText.Matched とともに、すでに述べた 2 つを使用できます。
Data Loss Prevention のログ記録
追加プロパティが、data loss prevention プロセスの結果をログ記録するために提供されます。ルールのイベント
を使用するなど、このデータをログ記録できます。
DLP.Classification.BodyText.Matched の値が、処理されたリクエストまたは応答の本文に対して true の場
合、以下が関連ログ記録プロパティに適用されます。
•
DLP.Classification.BodyText.MatchedTerms は、本文から一致する用語のリストを含みます。
•
DLP.Classification.BodyText.MatchedClassifications は、一致する分類のリストを含みます。
DLP.Dictionary.BodyText.Matched の値が true の場合、DLP.Dictionary.BodyText.MatchedTerms
は一致するすべての用語のリストを含みます。
同じく、一致する用語と分類は、提供されたテキスト文字列の一致を検索する検索方法のため、ログ記録できます。
DLP.Classification.AnyText.Matched の値が true の場合：
•
DLP.Classification.AnyText.MatchedTerms は、本文以外のテキストで見つかった一致する用語のリス
トを含みます。
•
DLP.Classification.AnyText.MatchedClassifications は、本文以外のテキストで見つかった一致する分
類のリストを含みます。
一致がディクショナリにある場合、DLP.Dictionary.AnyText.Matched が true であり、
DLP.Dictionary.AnyText.MatchedTerms は一致する用語のリストを含みます。
data loss prevention 結果の情報は、ダッシュボードにも表示されます。
医療データの消失の防止
以下は、米国病院のネットワークから医療データの流出を防ぐことを保証する、data loss prevention の一例です。
医療データの消失を防ぐデフォルトの分類は、HIPAA
（医療保険の携行性と責任に関する法律）フォルダーに含まれ
ています。このデフォルト情報に加えて、病院に勤務する医師の名前がディクショナリに入力され、ネットワークか
らデータが流出しないことを保証します。
この例で、data loss prevention を構成するために完了する必要があるアクティビティは以下です。
238
•
デフォルトの HIPAA 分類を含む Data Loss Prevention
（分類）モジュールの設定を構成する
•
ディクショナリのエントリとして医師の名前を含む、Data Loss Prevention
（ディクショナリ）モジュールの設
定を構成する
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
Data Loss Prevention
•
10
コンポジット オープナーを有効にするルールが有効になっていることを確認する
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
•
構成された設定に従って、コンテンツを確認するルールを作成する
ルールは、病院ネットワークから Web までデータをアップロードするリクエストのための、リクエスト サイク
ルで適用されるルール セットに含まれる必要があります。
ルール セットは、data loss prevention または自身で作成するルール セットの、デフォルトのルール セットの
ネストされたルール セットになる可能性があります。
この例として、ルールはリクエスト本文に含まれたテキストのみを確認します。以下のようになります。
名前
HIPAA データと医師の名前の Prevent loss
条件
アクション
DLP.Classification.BodyText.Matched<HIPAA> equals
true AND
DLP.Dictionary.BodyText.Matched<Doctors'Names>
equals true
–
>
Block<DLP.Classification.Block>
関連トピック:
392 ページの「プロパティーのリスト 」
Data Loss Prevention の構成
data loss prevention を構成して、ネットワークから流出しないように機密コンテンツを保持できます。不適切な
コンテンツが流入しないようにするためにも使用できます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから Data Loss Prevention ルール セットをインポートします。
2
ルールを確認し、必要に応じて変更します。
たとえば、以下のことが実行可能です。
•
デフォルトの分類を使用して data loss prevention の設定を構成する。
•
ディクショナリ エントリを使用して data loss prevention の設定を構成する。
•
その他の設定パラメーターを変更する。
•
独自のルールを作成する。
ライブラリ ルール セットを使用する代わりに、data loss prevention の独自のルール セットも作成できます。
3
Composite Opener が有効になっていることを確認したため、リクエストおよび応答を送信した本文を検査でき
ます。
デフォルト ルール セット システムでは、このルールは Enable Opener ルール セットに含まれており、共通ル
ールのルール セットでネストされます。
4
ICAP で data loss prevention を実行する場合、ライブラリから他のルール セットをインポートし、必要に応
じてルールを変更できます。
5
変更を保存します。
McAfee Web Gateway 7.2
製品ガイド
239
10
Web フィルタリング
Data Loss Prevention
デフォルトの分類を使用して Data Loss Prevention を構成する
システム リストからデフォルトの分類選択することで、data loss prevention を構成し、分類処理のための data
loss prevention モジュールの設定に含まれているリストに入力できます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention（分類）] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b ［オプション］[コメント]フィールドで、設定の平文コメントを入力します。
c ［オプション］[権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
4
[DLP 分類]のツールバーで、[編集]アイコンをクリックします。
[編集]ウィンドウが、デフォルト分類のサブフォルダーを含むフォルダーのツリー構造とともに開きます。
5
たとえば [SOX コンプライアンス]などのフォルダーを展開し、[コンプライアンス レポート]などのサブフォル
ダーを選択します。次に、[OK]をクリックします。
また、フォルダーのいくつかのサブフォルダーを一度に選択、異なるサブフォルダーからフォルダーを選択、ま
たは個別サブフォルダーすべてとともに完全なフォルダーを選択できます。
[編集]ウィンドウが閉じ、サブフォルダーが[DLP 分類]インライン リストに表示されます。
6
[変更の保存]をクリックします。
ディクショナリ エントリを使用して data loss prevention を構成する
data loss prevention のディクショナリにエントリとして、機密または不適切なコンテンツを指定するテキストと
ワイルドカード式を入力できます。
ライブラリ Data Loss Prevention ルール セットをインポートした後、機密または不適切なコンテンツを指定した
エントリが入力されたディクショナリの使用は、まだ実行されません。適切な設定を作成し、実行して、ディクショ
ナリにエントリを入力する必要があります。
タスク
240
•
241 ページの「ディクショナリの設定の作成」
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作
成する必要があります。
•
241 ページの「辞書のエントリーの入力 」
辞書の設定を作成した後で、辞書のエントリーを入力できます。
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
Data Loss Prevention
10
ディクショナリの設定の作成
ディクショナリ エントリを使用する data loss prevention に対して、ディクショナリを含む設定を作成する必要が
あります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[Data Loss Prevention（ディクショナリ）] を選択し、[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
3
一般設定パラメーターを構成します。
a
[名前]フィールドで、設定名を入力します。
b ［オプション］[コメント] フィールドで、設定の平文コメントを入力します。
c ［オプション］[権限]タブをクリックして、設定へのアクセスが許可されるユーザーを構成します。
これで、ディクショナリにエントリを入力できます。
辞書のエントリーの入力
辞書の設定を作成した後で、辞書のエントリーを入力できます。
タスク
1
辞書エントリーを使用してデータ喪失防止のために作成した設定の中で、[辞書]インライン リストのツールバー
の[追加]アイコンをクリックします。
[DLP 辞書エントリーの追加]ウィンドウが開きます。
2
[検索するデータのタイプ]の下で、[テキスト]または[ワイルドカード式]を選択します。
3
[テキストまたはワイルドカード式]フィールドにテキスト文字列またはワイルドカード式を入力します。
4
[オプション] エントリーの追加情報を指定:
•
•
テキスト文字列を入力している場合、以下のオプションの 1 つまたはそれらの組み合わせを選択してくださ
い。
•
[大文字と小文字を区別]
•
[単語の先頭]
•
[単語の末尾]
ワイルドカード式を入力している場合は、[大文字小文字を区別]を選択するか、必要に応じてその選択を解除
します。
5 ［オプション］[コメント]フィールドで、エントリーの平文コメントを入力します。
6
[OK]をクリックします。
[DLP 辞書エントリーの追加]ウィンドウが閉じて、辞書に新しいエントリーが表示されます。
エントリーを追加するには、ステップ 1 から 6 を繰り返します。
7
[設定の追加]で[OK]をクリックします。
このウィンドウは閉じ、新しい設定が[データ喪失防止（辞書）]の下の設定ツリーに表示されます。
McAfee Web Gateway 7.2
製品ガイド
241
10
Web フィルタリング
Data Loss Prevention
Data Loss Prevention
（分類）の設定
Data Loss Prevention
（分類）設定は、機密またじゃ不適切なコンテンツを指定する分類 リストのエントリの構成に
使用されます。
DLP 分類パラメーター
機密または不適切なコンテンツを検索する場合、分類リストの使用を構成する設定
表 10-22 DLP 分類パラメーター
オプション
定義
[ポリシーの追跡] リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲
• 最小 — 最初の機密または不適切なコンテンツのインスタンスが検出された後、検索を停止し
ます。
• 最大 — 最後の機密または不適切なコンテンツのインスタンスが検出されるまで、検索を続行
します。
[DLP 分類]
リスト ツリーの[DLP 分類]の下で提供されたシステム リストから選択する、分類リストにおけ
るエントリのリスト
次の表では、DLP 分類リストのエントリを説明しています。
表 10-23 DLP 分類パラメーター – リスト エントリ
オプション
定義
[DLP 分類]
機密または不適切なコンテンツの検出についての情報を提供するエントリ
[コメント]
エントリに関するテキスト形式のコメント
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 10-24 詳細パラメーター
オプション
定義
[報告されたコンテキスト DLP.Classification.Matched.Terms プロパティの値である、リストに一致する
用語に関して表示される文字の最大数
の幅]
[コンテキスト リスト サイ DLP.Classification.Matched.Terms プロパティの値である、リストに表示され
る一致する用語の最大数
ズ]
Data Loss Prevention
（ディクショナリ）の設定
Data Loss Prevention
（ディクショナリ）設定は、機密または不適切なコンテンツを指定するテキストおよびワイル
ドカード式の構成に使用されます。
DLP ディクショナリ パラメーター
密または不適切なコンテンツを指定するテキストおよびワイルドカード式の構成の設定
242
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
Data Loss Prevention
10
表 10-25 DLP ディクショナリ パラメーター
オプション
定義
[ポリシーの追跡] リクエストおよび応答本文のおける機密または不適切なコンテンツの検索の範囲
• [最小] — 最初の機密または不適切なコンテンツのインスタンスが検出された後、検索を停止
します。
• [最大] — 最後の機密または不適切なコンテンツのインスタンスが検出されるまで、検索を続
行します。
[ディクショナリ] 機密または不適切なコンテンツを指定するテキスト文字列およびワイルドカード式のリスト
次の表では、[ディクショナリ] リストのエントリを説明しています。
表 10-26 ディクショナリ – リスト エントリ
オプション
定義
[テキストまたはワイルドカード式] 機密または不適切なコンテンツを指定するテキスト文字列またはワイルドカー
ド式
[コメント]
テキスト文字列またはワイルドカード式の平文テキスト形式のコメント
詳細パラメーター
data loss prevention の拡張機能を構成する設定
表 10-27 詳細パラメーター
オプション
定義
[報告されたコンテキストの DLP.Dictionary.Matched.Terms プロパティの値である、リストに一致する用語
に関して表示される文字の最大数
幅]
[コンテキスト リスト サイ DLP.Dictionary.Matched.Terms プロパティの値である、リストに表示される一
致する用語の最大数
ズ]
Data Loss Prevention ルール セット
Data Loss Prevention
（DLP）ルール セットは、ネットワークからの機密コンテンツの流出や不適切なコンテンツの
流入を防ぐライブラリ ルール セットです。
デフォルト ルール セット – Data Loss Prevention
（DLP）
条件 — Always
サイクル – Requests (and IM), responses, embedded objects
以下のルール セットは、このルール セット内にネストされています。
•
リクエスト サイクルの DLP
•
応答サイクルの DLP
このルール セットは、デフォルトでは有効になっていません。
リクエスト サイクルの DLP
このネストされたルール セットは、機密情報が含まれていることが確認された場合、ネットワークのクライアントか
ら Web サーバーへ送信されるリクエストをブロックします。たとえば、機密コンテンツを含むファイルの Web へ
のアップロード リクエストをブロックします。
McAfee Web Gateway 7.2
製品ガイド
243
10
Web フィルタリング
Data Loss Prevention
ネストされたライブラリ ルール セット – リクエスト サイクルの DLP
条件 – Cycle.TopName equals "Request"
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、リクエストがアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
HIPAA 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <HIPAA> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されたリクエストの本文を確認します。このテキストは、たとえば、Web へのアップロード
がリクエストされるファイルに存在する可能性があります。
テキストは、、HIPAA ヘルスケア規制に従って、機密コンテンツであるとみなされます。関連情報の死湯は、モジ
ュール設定の一部として構成され、プロパティ名の後に指定されます。
リクエスト本文のテキストに機密コンテンツが含まれている場合、リクエストはブロックされます。ブロック アク
ションの設定はリクエストしているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
Payment Card Industry 情報によるファイルのブロック
DLP.Classification.BodyText.Matched <Payment Card Industry> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されたリクエストの本文を確認します。このテキストは、たとえば、Web へのアップロード
がリクエストされるファイルに存在する可能性があります。
テキストは、、ペイメント カードへ適用される規制に従って、機密コンテンツであるとみなされます。クレジット
カード番号は、たとえば、これらの規制のもとでコンテンツとなる可能性があります。テキスト内に機密コンテン
ツがあるか否かについては、HIPAA 関連ルールと同じ方法で、適切な情報を使用して検出されます。
リクエスト本文のテキストに機密コンテンツが含まれている場合、リクエストはブロックされます。ブロック アク
ションの設定はリクエストしているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
SOX 情報でファイルをブロックする
DLP.Classification.BodyText.Matched <SOX> equals true –> Block<DLP.Classification.Block> –
Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されたリクエストの本文を確認します。このテキストは、たとえば、Web へのアップロード
がリクエストされるファイルに存在する可能性があります。
テキストは、企業の説明責任におけるサーベンス オクスリー法（SOX）の規制に従って、機密コンテンツとみなさ
れます。たとえば、重役会議議事録はこの法の下で機密コンテンツになる可能性があります。テキスト内に機密コ
ンテンツがあるか否かについては、HIPAA 関連ルールと同じ方法で、適切な情報を使用して検出されます。
リクエスト本文のテキストに機密コンテンツが含まれている場合、リクエストはブロックされます。ブロック アク
ションの設定はリクエストしているユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
DLP 応答サイクル
このネストされたルール セットは、差別的または攻撃的な言葉など、不適切なコンテンツを含んでいることがわかっ
た場合、Web サーバーからアプライアンスで受け取った応答をブロックします。
244
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
Data Loss Prevention
10
ネストされたライブラリ ルール セット – DLP 応答サイクル
条件 – Cycle.TopName equals "Response"
サイクル – 応答と埋め込みオブジェクト
ルール セット条件は、応答がアプライアンスで処理される場合、ルールセットの適用を指定します。
ルール セットは、以下のルールを含みます。
有効な使用
DLP.Classification.BodyText.Matched <Acceptable Use> equals true –>
Block<DLP.Classification.Block> – Statistics.Counter.Increment (“BlockedByDLPMatch”,1)<Default>
ルールは DLP.Classification.BodyText.Matched プロパティを使用して、機密コンテンツとみなされたテキ
ストを含む、現在処理されている応答の本文を確認します。このテキストは、たとえば、ダウンロード リクエスト
に応答するファイルに存在する可能性があります。
応答本文に不適切なコンテンツが含まれているか否か検索するためのルールによって呼び出されるモジュールは、
分類リストから適切な情報を使用します。これらのリストの使用は、モジュール設定の一部として構成され、プロ
パティ名の後に指定されます。
応答本文のテキストに不適切なコンテンツが含まれている場合、応答はブロックされます。ブロック アクションの
設定は、応答が転送されるユーザーへのメッセージを指定します。
また、ルールはイベントを使用して、data loss prevention の一致に起因するブロックをカウントします。
ICAP サーバーを使用した Data Loss Prevention
フィルタリング プロセスを処理する ICAP サーバーで Data Loss Prevention を実施すると、アプライアンスと
ICAP サーバーの間のデータのスムーズなフローを確保するために、設定を構成し、ルール セットを施行することが
できます。
Data Loss Prevention のために、nDLP と呼ばれるソリューションを使用できます。このソリューションの中で、
ユーザーがネットワークから Web にアップロードするデータは、Data Loss Prevention のためにフィルタリング
されます。フィルタリングは ICAP サーバーで実行されます。データ フローは、以下のとおりです。
•
ユーザーのクライアント システムから送信されたデータは、アプライアンスに転送されます。
•
アプライアンスは、ユーザー データで REQMOD リクエストを ICAP サーバーに送信する ICAP クライアントを
備えています。
•
リクエストは ICAP プロトコルに従ってそれらを変換することでサーバーでフィルタリングされ、リクエストの
宛先となる Web サーバーに渡されます。
ライブラリからICAP による Data Loss Preventionルール セットをインポートした後で、アプライアンス上で
施行されるルールは ICAP サーバーへのリクエストの送信を制御します。
これらのルールに従って、リクエストは以下のような場合は転送されません。
•
リクエストの本文にデータがなく、リクエストに URL パラメーターが含まれない。
•
リクエストの本文が指定されたサイズ（デフォルト: 50 MB）を超えている。
ルール セットと共に、構成する必要がある設定がインポートされます。これらには、アプライアンスがリクエストを
転送できる ICAP サーバーのリストが含まれます。
また、特定の ICAP サーバーが同時に処理できるよりも多くの接続をリクエスト送信のために開かないように、アプ
ライアンスの ICAP クライアントを構成することもできます。
McAfee Web Gateway 7.2
製品ガイド
245
10
Web フィルタリング
Data Loss Prevention
data loss prevention の ICAP サーバー リストの作成
フィルタリング データの ICAP サーバーを使用する、data loss prevention の nDLP を実行する場合、これらの設
定のリストを構成する必要があります。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ICAP クライアント]を選択し、[ReqMod] 設定をクリックします。
3
必要に応じて、これらの設定で指定された ICAP サーバー リストを構成します。
4
[変更の保存]をクリックします。
ICAP クライアントの設定
ICAP クライアントの設定は、アプライアンスの ICAP クライアントと ICAP サーバーの間で REQMOD モードの通
信を構成するために使用されます。
ICAP サービス
アプライアンスの ICAP クライアントがリクエストを送信する ICAP サーバーの設定
表 10-28 スキャン エンジンの選択
オプション
定義
[ICAP サーバーのリスト]
ICAP 通信のサーバー リストのリスト
次の表では、サーバー リストの ICAP サーバーのエントリーを説明しています。
表 10-29 ICAP サーバーのリストのエントリー
オプション
定義
[URI]
ICAP サーバーの URI
形式:ICAP://<IP アドレス>:<ポート番号>
[最大同時接続数制限を保持] これが選択されると、アプライアンスの ICAP クライアントは、リクエスト送信と同
時に、ICAP サーバーが処理できる数以上の接続を開かないようになります。
[コメント]
ICAP サーバーの標準テキスト形式のコメント
ICAP ルール セットの Data Loss Prevention
ICAP ルール セットの Data Loss Prevention は、data loss prevention のソリューションで、アプライアンスと
ICAP サーバー間のデータ フローを構成するライブラリ ルール セットです。
ライブラリ ルール セット – ICAP の Data Loss Prevention
条件 — 条件 — URL.Host は “ ”と等しくありません
サイクル — Requests (and IM) and embedded objects
ルール セット条件は、アプライアンスにリクエストで送信される URL のホスト名を見つけることができるときにル
ール セットが適用されることを指定します。
このルール セットは、以下のルールを含みます。
情報をもたないリクエストをスキップする
Body.Size equals 0 AND ListOfString.IsEmpty(URL.Parameters) equals true –> Stop Rule Set
246
McAfee Web Gateway 7.2
製品ガイド
Web フィルタリング
Data Loss Prevention
10
このルールは、リクエストに空の本文があるかどうかをチェックする Body.Size プロパティを使用します。また、
ListOfString.IsEmpty プロパティを使用して、リクエストが URL パラメーターをもつかどうかチェックしま
す。
この条件の 2 つの部分の 1 つが一致する場合、ルール セットの処理が停止し、リクエストが ICAP サーバーに転
送されません。
50 MB を超える本文をスキップする
Body.Size greater than 50 –> Stop Rule Set
ルールは Body.Size プロパティを使用して、リクエストの本文が 50 MB を超えないかどうかを確認します。50
MB を超える場合、ルール セットの処理が停止し、リクエストは ICAP サーバー転送されません。
ReqMod サーバーのコール
ICAP.ReqMod.Satisfaction<ReqMod> equals true –> Stop Cycle
ルール セットの最初の 2 つのルールに従ってリクエストがフィルタリングを通過するときに、ICAP サーバーに転
送されます。それが行われると、ICAP.ReqMod.Satisfaction プロパティが true になります。
ルールはこれがリクエストであるかどうか、現在のサイクルの処理を最終的に停止するかどうかをチェックします。
McAfee Web Gateway 7.2
製品ガイド
247
10
Web フィルタリング
Data Loss Prevention
248
McAfee Web Gateway 7.2
製品ガイド
11
サポート機能
アプライアンスの一部の機能は、Web オブジェクトをフィルタリングせずに、さまざまな方法でフィルター処理を
サポートします。
サポート機能を使用して、以下を実行することができます。
•
ダウンロード進行状況の表示 — Web オブジェクトのダウンロード中の進行状況をユーザーに表示する方法を設
定できます。
•
アップロードおよびダウンロードの帯域の制限 — クライアントからアプライアンスへのデータのアップロード
と Web サーバーからアプライアンスへのデータのダウンロードの速度を制限できます。
•
Web オブジェクトを保管し、提供するために Web キャッシュを使用 — アプライアンスの Web キャッシュか
らオブジェクトを配布することにより、クライアント リクエストへの応答をスピードアップできます。
•
ネクスト ホップ プロキシによるルーティング リクエスト — これらのプロキシを使用してリクエストを送信先ま
でルーティングできます。
目次
進行状況の表示
帯域幅スロットル
Web キャッシング
ネクスト ホップ プロキシ
進行状況の表示
オブジェクトのダウンロードの進行状況を Web オブジェクトのダウンロードを開始したユーザーに示すプロセスで
す。
このプロセスには、以下の要素が含まれています。
•
プロセスを制御する進行状況表示ルール
•
進行状況の表示の様々な方法を扱うために、ルールによりコールされる進行状況表示モジュール
進行状況表示ルール
進行状況表示を制御するルールは、1 つのルール セットに含まれます。さまざまなルールが、進行状況表示のさまざ
まな方法の使用を制御します。適宜、これらの方法を扱うためのさまざまなモジュールをコールします。
McAfee Web Gateway 7.2
製品ガイド
249
11
サポート機能
進行状況の表示
アプライアンスでは、進行状況表示に 2 つの方法が利用可能です。ダウンロードに適した方法がどちらであるかは、
ユーザーがダウンロード リクエストを送信するブラウザーによります。
•
進行状況ページ — Mozilla ブラウザー。
この方法の下で、進行状況バーのある 1 つのページがダウンロードを開始するユーザーに示され、ダウンロード
の完了に対して別のページが示されます。
•
データ トリックル — ほかのすべてのブラウザーの場合
この方法の下で、Web オブジェクトがチャンクで、特定の転送率でユーザーに送信されます。
進行状況表示は、デフォルトのルール セット システムでは実施されません。ライブラリ ルール セットは、これらの
機能を提供します。その名前は、進行状況の表示です。
このルール セットを施行し、ルールを見直し、それらを変更または削除し、また固有のルールを作成することもでき
ます。
進行状況表示モジュール
2 つの進行状況表示モジュール
（エンジンとも呼ばれる）は、以下のようなさまざまな方法の進行状況表示を扱うため
に使用できます。
•
進行状況ページ モジュール — 進行状況ページ方法の場合
•
データ トリックル モジュール — データ トリックル方法の場合
これらの方法を扱う方法を変更するために、これらのモジュールの設定を構成できます。
進行状況ページ方法に使用される 2 ページを構成するためのテンプレートが提供されます。ユーザー メッセージの
テンプレートと同じ方法で設定できます。
進行状況の表示の構成
進行状況の表示を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから進行状況の表示ルール セットをインポートします。
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
•
3
250
進行状況ページ モジュールの設定を構成します:
•
進行状況ページに特定の言語を選択します
•
進行状況ページのテキストを変更します
•
ダウンロード後にページが利用可能な時間のタイムアウトなど、ダウンロード ページのタイムアウトを指
定します。
データ トリックル モジュールの設定を構成します:
•
トリックル プロセスにおける最初のチャンクのサイズ
•
転送レート
変更を保存します。
McAfee Web Gateway 7.2
製品ガイド
サポート機能
進行状況の表示
11
進行状況の表示モジュールの構成
進行状況の表示モジュールを構成し、Web オブジェクトをダウンロードする進行情報がユーザーに表示される方法
を変更できます。
進行状況の表示に 2 つの異なるモジュールがあります。進行状況ページおよびデータ トリックル モジュール。
タスク
1
[ポリシー][ルール セット]を選択します。
2
ルール セット ツリーで、進行状況の表示のためにルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これは進行状況の表示です。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
構成するものにしたがって、進行状況ページ モジュールを呼び出す、またはデータ トリックル モジュールを呼
び出すルールを検索します。
ライブラリ ルール セットで、ルール進行状況ページを有効にする および データ トリックルを有効にするがあり
ます。
5
適切なルールのルール イベントで、設定名をクリックします。
[設定の編集]ウィンドウが開きます。進行状況ページまたはデータ トリックル モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
251 ページの「進行状況ページ設定 」
252 ページの「データ トリックル設定 」
進行状況ページ設定
進行状況ページ設定は、Web オブジェクトをダウンロードしているときに、ユーザーに示される進行状況ページを
設定するために使用されます。
進行状況ページ パラメーター
進行状況ページの設定
表 11-1 進行状況ページ パラメーター
オプション
定義
[テンプレート ]
進行状況ページで使用されるテンプレートの設定
[タイムアウト]
進行状況ページに関連するタイムアウトの設定
テンプレート
進行状況ページで使用されるテンプレートの設定
McAfee Web Gateway 7.2
製品ガイド
251
11
サポート機能
進行状況の表示
表 11-2 テンプレート
オプション
定義
[言語 ]
進行状況ページの言語を選択する設定
• [オート（ブラウザー）]— 選択すると、ブロックされたリクエストが送信されたブラウザーの
言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示されま
す。
• [‘Message.Language’ プロパティの値] — 選択すると、 Message.Language プロパティの
値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[コレクション ]
テンプレート コレクションを選択するリスト
• [追加] — テンプレート コレクションを追加するための［テンプレート コレクションの追加］
ウインドウを開きます
• [編集]—［テンプレート エディター］を開き、テンプレート コレクションを編集します。
[進行状況バー ペ テンプレートを選択するリスト
ージのテンプレー
• [追加]—［テンプレートの追加］ウィンドウを開き、テンプレートを追加します。
ト名 ]
• [編集]—［テンプレート エディター］を開き、テンプレートを編集します。
[ダウンロード終 テンプレートを選択するリスト
了ページのテンプ
• [追加]—［テンプレートの追加］ウィンドウを開き、テンプレートを追加します。
レート名 ]
• [編集]—［テンプレート エディター］を開き、テンプレートを編集します。
[ダウンロード取 テンプレートを選択するリスト
り消しページのテ
• [追加]—［テンプレートの追加］ウィンドウを開き、テンプレートを追加します。
ンプレート名 ]
• [編集]—［テンプレート エディター］を開き、テンプレートを編集します。
タイムアウト
進行状況ページに関連するタイムアウトの設定
表 11-3 テンプレート
オプション
定義
[進行状況ページへのリダイレクト遅延 ]
進行状況ページが表示されるまでの経過時間（秒単位）
[ダウンロード前にファイルが使用可能な時
間]
ダウンロードの前にユーザーがファイルを使用できなくなるまでの
経過時間（分単位）
[ダウンロード後にファイルが使用可能な時
間]
ダウンロードの後にユーザーがファイルを使用できなくなるまでの
経過時間（分単位）
データ トリックル設定
データ トリックル設定は、ユーザーが Web オブジェクトのダウンロードを開始したときに、適用されるデータ ト
リックル プロセスの構成に使用されます。
データ トリックル パラメーター
データ トリックル モードで転送される Web オブジェクトの一部の設定
252
McAfee Web Gateway 7.2
製品ガイド
サポート機能
帯域幅スロットル
11
表 11-4 データ トリックル パラメーター
オプション
定義
[最初のチャンクのサイズ] データ トリックル方法を使用して転送される Web オブジェクトの最初のチャンクのサ
イズ（バイト単位）
[転送レート]
5 秒ごとに転送される Web オブジェクト部分
転送レートは、転送されるすべてのボリュームの 1000 分の 1 にここで設定した値を
掛けたものになります。
進行状況の表示（ルール セット）
進行状況の表示ルール セットは、ユーザーの Web オブジェクトのダウンロードの進行状況を示すライブラリ ルー
ル セットです。
ライブラリ ルール セット — 進行状況の表示
条件 — MediaType.FromHeader does not equal text/htm
サイクル — Requests (and IM), responses, embedded objects
このルール セット条件は、ty0座0が送信したリクエストに応答して Web から送信されるメディアがテキストまた
は htm タイプでない時、ルール セットが適用されるよう指定します。
このルール セットは、以下のルールを含みます。
進行状況ページ
Header.Request.Get (“User-Agent”) matches *(Mm)ozilla* –> ルール セットの停止 — 進行状況ペ
ージを有効にする <Default>
このルールは、Mozilla ブラウザーの進行状況ページを有効にします。イベント設定は、進行状況ページの外観（た
とえば、使用する言語など）を指定します。
データ トリックル
Always –> Stop Rule Set – Enable Data Trickling<Default>
このルールは、Mozilla 以外のすべてのブラウザーのデータ トリックルを有効にします。イベント設定は、トリッ
クルに使用されるチャンクおよびブロックサイズを指定します。
帯域幅スロットル
bandwidth throttlingと呼ばれるプロセスのアプライアンスに対するデータのアップロードおよびダウンロード
速度を制限できます。
特定のタスクが個別にオブジェクトを Web にアップロードするか、Web から大きいダウンロードをリクエストす
る、その他のユーザーによる影響の完了が必要なネットワーク パフォーマンス状況を避けるなど、帯域幅スロットル
を使用できます。
McAfee Web Gateway 7.2
製品ガイド
253
11
サポート機能
帯域幅スロットル
帯域幅スロットル ルール
帯域幅スロットル ルールは、ユーザーがオブジェクトを Web にアップロードする、またはオブジェクトをダウンロ
ードする際に、転送速度を制限します。
帯域幅スロットル ルールのイベント
帯域幅スロットルを制御するルールでは、2 つのイベントが利用可能です。
•
Throttle.Client — クライアントからアプライアンスへのデータ転送速度を制限します
これは、クライアントが Web サーバーへオブジェクトをアップロードするリクエストを送信し、リクエストがオ
ブジェクトともにアプライアンスでインターセプトされた場合です。
•
Throttle.Server — Web サーバーからアプライアンスへのデータ転送速度を制限します
この場合、Web サーバーからオブジェクトをダウンロードするようにクライアント リクエストがあり、このリク
エストがアプライアンスでフィルターされ送信された後に、Web サーバーは応答でオブジェクトを送信します。
アップロードの帯域幅スロットル ルール
次のものは、アップロードに対して、帯域幅スロットル ルールを実行できるルールの例です。
スロットル リストのホストに対するアップロード速度の制限
URL.Host is in list Upload Throttling List –> Continue – Throttle.Client (10)
データがアップロードされる Web サーバーが特定のリストにある場合、ルールはThrottle.Client イベントを使用
して、10 Kbps で実行されるアップロードで速度を制限します。
ルールの条件で、URL.Host プロパティは、リクエストのアップロードで指定される Web サーバーのホスト名を取
得するために使用されます。
アップロード スロットル リストにこの名前が含まれている場合、条件が一致し、ルールが適用されます。それから、
スロットル イベントが実行されます。
Continue アクションは次のルールでルール処理を続行します。
ダウンロードの帯域幅スロットル ルール
次のものは、ダウンロードに対して、帯域幅スロットル ルールを実行できるルールの例です。
スロットル リストのメディア タイプに対するダウンロード速度の制限
MediaType.EnsuredTypes at least one in list MediaType Throttling List –> Continue –
Throttle.Server (1000)
ダウンロードする Web オブジェクトが特定のリストのメディア タイプに属する場合、、ルールは
Throttle.Server イベントを使用して、1000 Kbps で実行されるダウンロードで速度を制限します。
ルールの条件で、MediaType.EnsuredTypes プロパティは、Web サーバーが送信した Web オブジェクトのメディ
ア タイプを検出するために使用されます。オブジェクトは、1 つ以上のタイプに属することもわかります。
これらのタイプのいずれかがメディア タイプ スロットル リストにある場合、条件が一致し、ルールが適用されま
す。それから、スロットル イベントが実行されます。
Continue アクションは次のルールでルール処理を続行します。
254
McAfee Web Gateway 7.2
製品ガイド
サポート機能
帯域幅スロットル
11
帯域幅スロットル ルールおよびルール セット
帯域幅スロットル ルールのすべてのルール セットを作成し、1 つはスロットルのアップロードに、もう 1 つはスロ
ットルのダウンロードに、2 つのルール セットを埋め込むことをお勧めします。埋め込みアップロード ルール セッ
トを、リクエスト サイクルに、埋め込みダウンロード ルール セットを応答サイクルに適用できます。
各埋め込みルール セット内で、異なる種類の Web オブジェクトに適用する複数のスロットル ルールを持つことが
できます。
帯域幅スロットルのすべてのルール セットは、ルール セット システムの最初に置く必要があります。これが完了し
ない場合、その他のルール セットのルールは、スロットル ルールが実行される前に、Web オブジェクトのスロット
ル化されていないダウンロードを開始する可能性があります。
たとえば、ウイルスおよびマルウェア フィルタリングのルールは、応答で Web サーバーによってユーザー リクエ
ストに送信された Web オブジェクトのダウンロードをトリガーする可能性があります。Web オブジェクトはそれか
ら、アプライアンスへの完全なダウンロードが必要になり、感染しているかどうか確認します。
ウイルスおよびマルウェア フィルタリング ルールのルール セットの後に、帯域幅スロットル ルール セットが置か
れ処理されている場合、帯域幅スロットルは、ダウンロードに適用されません。
帯域幅スロットルの構成
帯域幅スロットルを実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
帯域幅スロットル ルールで使用することで、Web オブジェクトのリストを作成します。
たとえば、以下を作成できます。
•
転送速度はホストのリストは、オブジェクトがアップロードされるときに制限されます。
•
これらの 1 つに属するオブジェクトがダウンロードされるとき、転送速度が制限されるメディア タイプのリ
スト
2
帯域幅スロットルのルール セットを作成します。
3
このルール セット内で、帯域幅スロットルのルールを作成します。
たとえば、以下を作成できます。
4
•
オブジェクトが特定のホストにアップロードされるとき、転送速度の制限のルール。
•
特定のメディア タイプに属するオブジェクトがダウンロードされるときの転送速度を制限するルール。
必要に応じて、これらのルールを設計します。
たとえば、以下の操作を実行できます。
5
•
Web へのオブジェクトのアップロードのために帯域幅スロットルを有効にするThrottle.Client イベントの
特定の転送速度を構成します。
•
Web からのオブジェクトのダウンロードのために帯域幅スロットルを有効にするThrottle.Server イベン
トの特定の転送速度を構成します。
変更を保存します。
McAfee Web Gateway 7.2
製品ガイド
255
11
サポート機能
Web キャッシング
Web キャッシング
Web キャッシュは、アプライアンスに置かれ、クライアント リクエストへの応答をスピードアップするために、
Web オブジェクトを保管するためのものです。
アプライアンスの Web キャッシュの使用は、ルール セット内のルールで管理されます。
Web キャッシュ ルール セットがアプライアンスで実装されているかどうかを確認するには、[ポリシー]トップレベ
ル メニューの[ルール セット]タブのルール セットのシステムを見直してください。
何も実装されていない場合、Web キャッシュ ライブラリ ルール セットをインポートできます。このルール セット
をインポートした後で、ネットワークに合わせて[ルール セット]タブでそれを見直し、変更することができます。代
わりに、固有のルールでルール セットを作成することもできます。
Web キャッシュ ルール セットは、一般的に、キャッシュからオブジェクトを読み取ったり、それに書き込むルール
を含みます。
さらに、読み取りまたは書き込みからオブジェクトを除外するバイパス ルールも設定できます。
Web キャッシュの有効化の検証
Web キャッシュが有効化されているかどうかを検証することができます。
タスク
1
[構成][アプライアンス]を選択します。
2
アプライアンス ツリーで、Web キャッシュの有効化を検証するアプライアンスを選択し、[プロキシ (HTTP(S)、
FTP、ICAP、および IM)]を選択します。
3
[Web キャッシュ]セクションにスクロール ダウンして、[キャッシュを有効にする]が選択されているかどうかを
確認します。必要な場合、このオプションを有効にします。
4
必要な場合、[変更を保存]をクリックします。
関連トピック:
118 ページの「プロキシ設定 」
Web キャッシュ ルール セット
Web キャッシュ ルール セットは、Web キャッシュのためのライブラリ ルール セットです。
ライブラリ ルール セット - Web キャッシュ
条件 — Always
サイクル — Requests (and IM) and responses
以下のルール セットは、このルール セット内にネストされています。
•
キャッシュからの読み取り
•
キャッシュへの書き込み
キャッシュからの読み取り
このネストされたルール セットは、キャッシュからの Web オブジェクトの読み取りを有効にし、バイパス リスト
の URL についてはそれを禁じます。
256
McAfee Web Gateway 7.2
製品ガイド
サポート機能
Web キャッシング
11
ネストされたライブラリ ルール セット － キャッシュからの読み取り
条件 — Always
サイクル － リクエスト（および IM）
このルール セットは、以下のルールを含みます。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
キャッシュへの書き込み
このネストされたルール セットは、キャッシュへの Web オブジェクトの書き込みを有効にし、大きなオブジェクト
のみならず、特定のバイパス リストの URL とメディア タイプに対して禁じられます。
ネストされたライブラリ ルール セット － キャッシュへの書き込み
条件 — Always
サイクル — Responses
このルール セットは、以下のルールを含みます。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
McAfee Web Gateway 7.2
製品ガイド
257
11
サポート機能
ネクスト ホップ プロキシ
Web キャッシュ URL バイパス リストにある URL のキャッシングをスキップする
URL matches in list Web Cache URL Bypass List –> Stop Rule Set
このルールは、URL プロパティを使用して、リクエストされた URL が指定されたバイパス リストにあるかどうか
をチェックします。
リストにある場合、ルール セットの処理は停止します。キャッシュからの読み取りを有効にするルールは処理され
ません。
次のルール セットで処理が続行されます。
このルールは、デフォルトでは有効になっていません。
Web キャッシュを有効にする
Always –> Continue — Enable Web Cache
このルールは、ルール セットでその前に配置されたバイパス ルールが適用されるため、常に処理されます。Web
キャッシュを有効にするため、それに保管されたオブジェクトを読み取ることができます。
次のルール セットで処理が続行されます。
ネクスト ホップ プロキシ
ネクスト ホップ プロキシは、アプライアンスのクライアントからその宛先に受信したリクエストのルーティングに
使用できます。
ネクスト ホップ プロキシが施行されている場合、対応するルール セットのルールは、モジュール（エンジンと呼ば
れる）を使用して、リクエストをルーティングするためのリストにあるプロキシを呼び出します。
たとえば、内部プロキシを使用して、内部送信先を持つリクエストをルーティングできます。内部の送信先 IP アド
レスはそこでリストに入力されます。ルーティング ルールはこのリストに依存します。同じように、内部ネクスト
ホップ プロキシ サーバーのリストがあり、ルールで使用できます。
ネクスト ホップ プロキシを使用するルールを持つルールセットは、初期設定の後でアプライアンスに実装されてい
ません。ライブラリからルール セットをインポートし、必要に応じて変更するか、独自のルール セットを作成しま
す。
ネクスト ホップ プロキシ ルール セットをインポートする際に、サーバー リストもインポートされます。これは初
期状態は空で、入力する必要があります。複数のリストを作成して、さまざまな状況のルーティングに使用すること
ができます。
ネクスト ホップ プロキシ モジュールの設定も、ライブラリ ルール セットと共にインポートされます。これらの設
定を行うことによって、モジュールで特定のネクスト ホップ プロキシ リストを使用したり、プロキシを呼び出すモ
ード（ラウンドロビンまたはフェールオーバー）を決定することができます。
ネクスト ホップ プロキシ モード
複数のサーバーがルーティングリクエストのためのネクスト ホップ プロキシとして使用可能な場合、ネクスト ホッ
プ プロキシ モジュールは次の 2 つのモジュールを使用してそれらを呼び出します。ラウンドロビンおよびフェール
オーバー。
ラウンドロビン モードでリクエストをルーティングする場合、ネクスト ホップ プロキシ モジュールは、リスト上、
最後に呼び出されたサーバーの隣のサーバーを呼び出します。
その次のリクエストでは、これが同じ方法で処理されるため、リスト上のすべてのサーバーは最終的にネクスト ホッ
プ プロキシとして使用されます。
258
McAfee Web Gateway 7.2
製品ガイド
サポート機能
ネクスト ホップ プロキシ
11
以下のダイアグラムは、ラウンドロビン モードでネクストホップ プロキシ設定を表示します。
図 11-1 ラウンドロビン モードでのネクスト ホップ プロキシ
フェールオーバー モードでリクエストをルーティングする場合、ネクスト ホップ プロキシ モジュールは、リストの
最初のサーバーを呼び出します。
サーバーが応答しない場合、呼び出しは、設定されている再送の数に達するまで繰り返されます。これは、リスト上
その次のサーバーの試行の場合に限ります。これは、最初と同じ方法で呼び出され、最終的にリスト上その次のサー
バーが試行されます。これは、サーバーが応答するか、リスト上のすべてのサーバーが使用不可であると確認される
まで継続されます。
以下のダイアグラムは、フェールオーバー モードでネクストホップ プロキシ設定を表示します。
図 11-2 フェールオーバー モードでのネクスト ホップ プロキシ
ネクスト ホップ プロキシの構成
ネクスト ホップ プロキシの使用を実行し、構成して、ネットワークの要件に合わせることができます。
以下の高レベル手順を完了します。
タスク
1
ライブラリから、ネクスト ホップ プロキシ ルール セットをインポートします。
McAfee Web Gateway 7.2
製品ガイド
259
11
サポート機能
ネクスト ホップ プロキシ
2
このルール セットにあるルールを確認し、必要に応じて修正します。
たとえば、以下の操作を実行できます。
•
ネクスト ホップ プロキシ ルール セットで使用するリストを編集します。
リストの名前の隣にある黄色の三角形は、リストが初期状態では空で、エントリを入力する必要があることを
示します。
•
3
ネクスト ホップ プロキシ モジュールの設定を構成します
変更を保存します。
ネクスト ホップ プロキシ モジュールの構成
ネクスト ホップ プロキシ モジュールを構成し、ネクスト ホップ プロキシが Web へリクエストを転送するために
使用する方法を変更できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーで、ネクスト ホップ プロキシのルール セットを選択します。
この機能にライブラリ ルール セットを実行した場合、これはネクスト ホップ プロキシです。
このルール セットのルールは設定パネルに表示されます。
3
[詳細を表示]が選択されていることを確認します。
4
ネクスト ホップ プロキシ モジュールを呼び出すルールを検索します。
ライブラリ ルール セットで、これはルール内部ホストに内部プロキシを使用するです。
5
ルール イベントで、設定名をクリックします。
ライブラリ ルール セットでは、この名前は 内部プロキシです。
[設定の編集]ウィンドウが開きます。これはネクスト ホップ プロキシ モジュールの設定を提供します。
6
必要に応じて、これらの設定を構成します。
7
[OK]をクリックしてウィンドウを閉じます。
8
[変更の保存]をクリックします。
関連トピック:
260 ページの「ネクスト ホップ プロキシの設定 」
ネクスト ホップ プロキシの設定
ネクスト ホップ プロキシの設定は、Web へのアプライアンスで受信したリクエストを転送するために、ネクスト
ホップ プロキシを構成するために使用されます。
ネクスト ホップ プロキシ サーバー
ネクスト ホップ プロキシの設定
260
McAfee Web Gateway 7.2
製品ガイド
サポート機能
ネクスト ホップ プロキシ
11
表 11-5 ネクスト ホップ プロキシ サーバー
オプション
定義
[ネクスト ホップ プ ネクスト ホップ プロキシ サーバー リストのリスト
ロキシ サーバーのリ
スト]
[ラウンド ロビン]
これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最後に使用さ
れたネクスト ホップ プロキシに続くネクスト ホップ プロキシを使用します。
リストの末尾に達すると、リストの最初のネクスト ホップ プロキシが再度選択されます。
[フェールオーバー] これが選択されている場合、ネクスト ホップ プロキシ モジュールは、リストで最初にある最
初のネクスト ホップ プロキシを試します。
これが失敗した場合、設定されている再試行の最大値に達するまで再試行されます。その後、
リスト上 2 番目のネクスト ホップ プロキシが試行され、同様に、サーバーが応答するかすべ
て使用不可であると確認されるまで繰り返されます。
ネクスト ホップ プロキシ ルール セット
ネクスト ホップ プロキシ ルール セットは、適切な Web サーバーにリクエストを転送するために、ネクスト ホッ
プ プロキシをしようするためのライブラリ ルールです。
ライブラリ ルール セット — ネクスト ホップ プロキシ
条件 — Always
サイクル - Requests
（and IM）
ルール セットには、以下のルールが含まれます。
内部ホストに内部プロキシを使用する
URL.Destination.IP is in range list Next Hop Proxy IP Range List OR
URL.Destination.IP is in list Next Hop Proxy IP List –> 続行 — ネクスト ホップ プロキシを有効にす
る <内部プロキシ >
このルールは URL.Destination.IP プロパティを使用して、URL に対応する IP アドレスがリストで指定された
範囲であるか、または直接リストにあるかを確認します。そうである場合、ルールはイベントを使用し、内部ネク
スト ホップ プロキシを通してこれらの URL へのアクセス リクエストをルーティングさせます。
イベント設定はネクスト ホップ プロキシ リストおよびプロキシを呼び出すモードを含む設定を指定します。
McAfee Web Gateway 7.2
製品ガイド
261
11
サポート機能
ネクスト ホップ プロキシ
262
McAfee Web Gateway 7.2
製品ガイド
12
ユーザー メッセージ
フィルタリング ルールが Web アクセスのリクエストをブロックし、他の方法で影響がある場合、ユーザーにメッセ
ージが送信されます。
このプロセスを管理するとき、主に以下の項目を処理します。
•
メッセージ — Web アクセスのリクエストがブロック、リダイレクトされるか、認証がひつようであるかを通知
するメッセージがユーザーに送信されます。
•
アクション設定 — ユーザーに対するメッセージは、メッセージで説明されているアクションに対する設定の一部
です。
•
テンプレート — ユーザーへのメッセージはテンプレートに基づいており、そのテンプレートはテンプレート エ
ディターにより編集できます。
デフォルト設定はアプライアンスの初期セットアップごにユーザー メッセージとそのテンプレートに適用されます。
それらは確認して、必要に応じて変更できます。
目次
ユーザーへのメッセージの送信
ユーザー メッセージのテキストを編集する
認証設定
ブロック設定
リダイレクト設定
テンプレート エディター
ユーザーへのメッセージの送信
影響を与えるフィルタリング ルールのアクションに関して通知するメッセージがユーザーに送信されます。
ユーザー メッセージは別のタイプに属し、テンプレートに基づいています。
メッセージの種類
メッセージがユーザーに通知するアクションに応じて、異なる種類のユーザー メッセージがあります。
•
認証メッセージ － URL にアクセスするには、認証が必要であることをユーザーに知らせます。
•
ブロック メッセージ－ 要求されたオブジェクトでウイルスが検出されたためなど、種々の理由でリクエストがブ
ロックされたことを通知します。
•
リダイレクト メッセージ－ 要求されたオブジェクトにアクセスするためには、別の URL にリダイレクトするこ
とが必要であることをユーザーに通知します。
メッセージ テンプレート
メッセージはテンプレートをもとにユーザーに送信されます。メッセージの表示形式を変更するには、これらのテン
プレートを採用する必要があります。アクションの設定の下でこれを行うことができます。
McAfee Web Gateway 7.2
製品ガイド
263
12
ユーザー メッセージ
ユーザーへのメッセージの送信
メッセージ テンプレートには、変数をもつ標準のテキストが含まれています。変数は、与えられた状況で必要に応じ
た値が入力されます。
メッセージ テンプレートに使用されるすべての変数はルールで使用されるプロパティでもあります。たとえば、
URL は、メッセージ テキストおよび、URL をフィルターから除外するルールに使用されるプロパティにある変数で
す。
メッセージ テキストと変数
以下のテキストと変更は、オブジェクトのウイルス感染のためにブロックされた要求されたオブジェクトにアクセス
するときに、ユーザーに送信されるブロックメッセージに含むことができます。
•
標準テキスト — 転送フィイルにはウイルスが含まれていたためブロックされました。
•
変数 — 次の通りです。
•
URL — ユーザーがファイルにアクセスすることをリクエストした URL。
URL を表示するために使用する変数は $URL$ です。
•
ウイルス名 — ファイルのブロックをトリガーする検出されたウイルスの名前。
ウイルス名を表示するために使用する変数は $List.OfString.ByName(String)$ です。
メッセージ テンプレートを編集する際、プロパティのリストから変数を選択して挿入できます。メッセージ
テンプレートで変数として機能するために、これらは文字列に変換されます（すでに文字列でない場合）。
この理由から、 たとえば、 NumberToString(String) プロパティなど、その他のデータ タイプを文字列に
変換するジョブを持つプロパティである“string converter” プロパティをここで選択するのは意味がありませ
ん。
テンプレート バージョンとコレクション
特定のテンプレートに関連して、次のようにさまざまなバージョンが存在します。
•
ファイル フォーマット — .html または .txt
•
言語 — テンプレートの言語。
テンプレートをコレクションに分類して、たとえば、デフォルトのコレクションとその他の目的別のコレクションを
持つことができます。
テンプレート エディター
テンプレート エディターは、既存のテンプレートをユーザー メッセージとして編集するためのユーザー インターフ
ェース上のデバイスです。
ブロック アクションなど、ユーザーに影響するアクションの設定を設定するときにアクセスできます。
メッセージ テンプレートを編集する場合、次の操作が行えます。
264
•
メッセージの言語を選択する
•
ログ記録を目的としてブロック理由を指定する
（
［ブロック］アクシ
ョンのテンプレートの場合のみ）
•
メッセージ テキストを編集する
•
リダイレクトする URL を記入する（［リダイレクト］アクションの
テンプレートの場合のみ）
•
テンプレートの変数を置き換える
McAfee Web Gateway 7.2
製品ガイド
ユーザー メッセージ
ユーザー メッセージのテキストを編集する
12
ユーザー メッセージのテキストを編集する
ネットワークの要件に対応させるために、ユーザー メッセージのテキストを編集できます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ユーザーが編集するユーザー メッセージをもつアクションを含むルールのルール セットを選択します。
たとえば、[Gateway Antimalware]ルール セットを選択します。
このルール セットのルールは設定パネルに表示されます。
3
[詳細情報の表示]が有効になっている事を確認してください。
4
適切なルールで、ユーザー メッセージをもつアクションの設定をクリックします。
たとえば、[ウイルスが検出された場合はブロックする]というルールで、ブロック アクションの[検出されたウイ
ルス]設定をクリックします。 settings of the Block action.
[設定の編集]ウィンドウが開きます。
5
[テンプレート名]フィールドの隣の[追加]をクリックします。
［テンプレート エディター］が開きます。
6
テンプレート ツリーで、[検出されたウイルス]などの該当するアクション テンプレート フォルダーーを展開し
ます。
使用可能な言語バージョンのテンプレートが表示されます。
7
たとえば、英語を表す[en]など、言語バージョンを拡張してください。
使用可能な言語バージョンのメッセージ形式が表示されます。
8
たとえば、[html]などの形式を選択します。
設定したパネルに選択した形式でテンプレートの内容が表示されます。ユーザー メッセージのテキストを含みま
す。
たとえば、英語の[検出されたウイルス]テンプレートの HTML 形式でこのテキストは、最初は以下のように示さ
れます。
The transferred file contained a virus and was therefore blocked.（転送されたフィイルにはウイ
ルスが含まれていたためブロックされました。）
9
必要に応じてこのテキストを編集します。
10 [テンプレートの変更を保存]をクリックします。
テンプレート エディターが閉じます。
11 [設定の編集]ウィンドウを閉じるには、[OK]をクリックします。
関連トピック:
268 ページの「テンプレート エディター 」
McAfee Web Gateway 7.2
製品ガイド
265
12
ユーザー メッセージ
認証設定
認証設定
認証設定は、アクションを伴うフィルタリング ルールが適用されるとき、認証アクションを実行する方法に構成に使
用されます。
失敗したログインのメッセージ テンプレート
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 12-1 失敗したログインのメッセージ テンプレート
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定
• [オート（ブラウザー）]— 選択すると、ブロックされたリクエストが送信されたブラ
ウザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示
されます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロ
パティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクシ テンプレート コレクションを選択するリスト
ョン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの
追加]ウインドウを開きます
• [編集]—［テンプレート エディター］を開き、テンプレート コレクションを編集しま
す。
[テンプレート名]
テンプレートを選択するリスト
• [追加 ]— テンプレートの追加ウィンドウを開き、テンプレートを追加します。
• [編集]—［テンプレート エディター］を開き、テンプレートを編集します。
[McAfee Web
Reporter ブロック理由
ID]
ブロック理由を表示する数値
[ブロックされた理由]
平文のブロック理由
ブロック設定
ブロック設定は、アクションを伴うフィルタリング ルールが適用されるとき、ブロック アクションを実行する方法
に構成に使用されます。
言語およびテンプレート設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
266
McAfee Web Gateway 7.2
製品ガイド
ユーザー メッセージ
リダイレクト設定
12
表 12-2 言語およびテンプレート設定
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定
• [オート（ブラウザー）]— 選択すると、ブロックされたリクエストが送信されたブラウ
ザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表示さ
れます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プロパ
ティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクシ テンプレート コレクションを選択するリスト
ョン]
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクションの
追加]ウインドウを開きます
• [編集]—［テンプレート エディター］を開き、テンプレート コレクションを編集しま
す。
[テンプレート名]
テンプレートを選択するリスト
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]—［テンプレート エディター］を開き、テンプレートを編集します。
[McAfee Web
Reporter ブロック理
由 ID]
ブロック理由を表示する数値
[ブロックされた理由]
平文のブロック理由
リダイレクト設定
リダイレクト設定は、そのアクションのフィルタリング ルールが適用されるとき、リダイレクト アクションが実行
される方法を構成するために使用されます。
リダイレクト設定
ログ記録の目的でユーザー メッセージの設定とブロック理由の設定
表 12-3 リダイレクト設定
オプション
定義
[Redirect.URL]
選択されると、リダイレクトに使用される URL は Redirect.URL プロパティに指定
された値となります。
このプロパティは適切なルールで使用できます。
[ユーザー定義 URL]
選択すると、リダイレクトする URL を指定する必要があります。
[リダイレクト URL]
このリダイレクトする URL の入力フィールド
McAfee Web Gateway 7.2
製品ガイド
267
12
ユーザー メッセージ
テンプレート エディター
表 12-3 リダイレクト設定 (続き)
オプション
定義
[言語]
ユーザー メッセージの言語を選択する設定
• [オート（ブラウザー）]— 選択すると、ブロックされたリクエストが送信されたブ
ラウザーの言語でメッセージが表示されます。
• [強制]— 選択すると、ここで表示されたリストから選択した言語でメッセージが表
示されます。
• [Message.Language プロパティの値] — 選択すると、Message.Language プ
ロパティの値である言語でメッセージが表示されます。
このプロパティはルールの作成にも使用できます。
[テンプレート コレクショ
ン]
テンプレート コレクションを選択するリスト
• [追加] — テンプレート コレクションを追加するための[テンプレート コレクション
の追加]ウインドウを開きます
• [編集]—［テンプレート エディター］を開き、テンプレート コレクションを編集し
ます。
[テンプレート名]
テンプレートを選択するリスト
• [追加 ]— [テンプレートの追加]ウィンドウを開き、テンプレートを追加します。
• [編集]—［テンプレート エディター］を開き、テンプレートを編集します。
[McAfee Web Reporter
ブロック理由 ID]
ブロック理由を表示する数値
[ブロックされた理由]
平文のブロック理由
テンプレート エディター
テンプレート エディターは、既存のテンプレートをユーザー メッセージとして編集するためのユーザー インターフ
ェース上のデバイスです。
テンプレート
テンプレートを表示し、編集のために選択するためのツリー構造を表示します。
次の表では、テンプレート オプションについて説明します。
表 12-4 テンプレート
オプション
定義
[テンプレート コレ テンプレートのコレクション（たとえば、デフォルト コレクションなど）
クション]
[テンプレート]
コレクションに属するテンプレート（たとえば、検出されたウイルスなど）。
各テンプレートごとに、ツリー ノードの下に、次のように表示されます。
• [de, en ...]— テンプレートの言語バージョン
• [html] — .html 形式のバージョン
• [txt ]— .txt 形式のバージョン
形式を選択する際、テンプレート コンテンツは HTML エディター パネルに表示されます。
268
McAfee Web Gateway 7.2
製品ガイド
ユーザー メッセージ
テンプレート エディター
12
表 12-4 テンプレート (続き)
オプション
定義
[インポート ]
[インポート]ウィンドウが開き、特定の言語で html および txt テンプレート バージョンを
含むファイルを参照し、それをインポートします。
[エクスポート ]
[エクスポート]ウィンドウが開き、テンプレート ファイルを参照し、それをエクスポートし
ます。
[すべて展開 ]
テンプレート ツリーで隠されている項目をすべて表示します。
[すべて折りたたむ] すべての展開された項目を折りたたみます。
コレクション、テン 以下のオプションをもつメニューを開きます。
プレート、言語バー
ジョン、または形式 オプションの選択肢は、右クリックした項目により異なります。
で右クリックしてく • [複製] —［複製<項目>］ウィンドウが開き、コレクションに新しい名前で項目のコピーを
ださい
挿入します。
• [コンテンツ ファイルの追加] —［コンテンツ ファイルの追加］ウィンドウが開き、ファイ
ルを追加します。
• [名前の変更] —［名前の変更<項目>］ウィンドウが開き、項目の名前を変更します。
• [変更] —［言語の変更］ウィンドウが開き、言語バージョンを変更します。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
ファイル システム
次の要素と共にツリー構造
（テンプレート ファイルの追加、名前の変更、および削除などの一般的なタスクの実行用）
を表示します。
次の表では、ファイル システム オプションについて説明します。
表 12-5 ファイル システム
オプション 定義
[テンプレ テンプレートのコレクション（たとえば、デフォルト コレクションなど）
ート コレク
ション]
[言語バー
ジョン]
言語バージョン別
（および言語グループ内ではまず名前別、次に形式別に）にソートされたテンプレー
ト。
たとえば、en (英語) 言語グループには次のものが含まれます。
• authenticationrequired.html • AuthorizedOnly.txt
• authenticationrequired.txt
• およびその他
• AuthorizedOnly.html
形式を選択する際、テンプレート コンテンツは HTML エディター パネルに表示されます。
[画像]
名前別にソートされた画像ファイル（テンプレートで使用される画像と共に）。
McAfee Web Gateway 7.2
製品ガイド
269
12
ユーザー メッセージ
テンプレート エディター
表 12-5 ファイル システム (続き)
オプション 定義
[追加]
次のメニューを開きます。
• [新規ファイル] － 新しい名前を持つファイルを追加する[ファイル名]ウィンドウを開きます。
• [新規ディレクトリ] — [ディレクトリ名の変更]ウィンドウを開き、ツリー構造の選択したフォルダ
ーを新しい名前で追加します。
• [既存のファイルまたはディレクトリ] — ファイル マネージャーを開き、ファイルまたはフォルダ
ー選択および追加します。
[編集]
次のメニューを開きます。
• 名前の変更 — [名前の変更<項目>]ウィンドウが開き、項目の名前を変更します。
• [削除] — 項目を削除します。
削除を確認するためのウィンドウが開きます。
[切り取り ] 選択した項目をコピーおよび削除します。
[コピー]
選択した項目をコピーします。
[すべて展
開]
ファイル システム ツリーで隠されている項目をすべて表示します。
[すべて折
りたたむ ]
すべての展開された項目を折りたたみます。
項目を右クリックすると、詳細なオプションをもつメニューが表示されます。
項目に適用されないオプションはグレイ表示されています。
HTML エディター
[テンプレート]または[ファイル システム]パネルで現在選択されているテンプレートのコンテンツを表示します。
次の表では、HTML テンプレート オプションについて説明します。
表 12-6 HTML エディター
オプション
定義
[追加]
次のメニューを開きます。
• [リソース参照] － 画像やその他のグラフィック要素など、テンプレートに表示されるリソー
スへのパスを入力する[リソース パスの挿入]ウィンドウを開きます。
• [プロパティ] — [プロパティの選択]ウィンドウを開き、テンプレートに変数として表示される
プロパティ（たとえば $URL$ など）を追加します。
[編集]
次のメニューを開きます。
• [切り取り] — テンプレート コンテンツの選択した部分 • [削除] — 選択した部分を削除し
をコピーおよび削除します。
ます。
• [コピー] —選択した部分をコピーします。
• [すべて選択] — テンプレート コ
ンテンツ全体を選択します。
• [貼り付け] — コピーした部分を貼り付けます。
270
[変更を破棄]
テンプレートへの変更を取り消します
[ソースを表示]
トグル ボタンでテンプレートの HTML ソース コードを表示します。
McAfee Web Gateway 7.2
製品ガイド
ユーザー メッセージ
テンプレート エディター
12
表 12-6 HTML エディター (続き)
オプション
定義
[言語ドロップダ プレビューの言語を選択します。
ウン メニュー ]
[プレビュー]
テンプレートのプレビューを表示します。
ビューワ
現在選択されている画像ファイルに含まれる画像を表示します。
HTML エディターの代わりに、ファイル システム ツリーでファイルが選択された場合、表示されます）
次の表では、ビューワ オプションについて説明します。
表 12-7 ビューワ
オプション
定義
[ズーム拡大]
画像を拡大します。
[ズーム縮小]
画像を縮小します。
[ウィンドウに合わせる]
画像を[ビューワ]パネルの幅に合わせる
[元のサイズ]
元のサイズに戻して画像を表示します。
全般オプション
テンプレート エディターを操作するときに、一般的な活動を実行するためのオプション
表 12-8 全般オプション
オプション
定義
[テンプレートの変更を保存]
テンプレートへの変更を保存します。
[キャンセル]
変更せずに、［テンプレート エディター］をそのままにします。
McAfee Web Gateway 7.2
製品ガイド
271
12
ユーザー メッセージ
テンプレート エディター
272
McAfee Web Gateway 7.2
製品ガイド
13
システム構成
アプライアンス システムは、Web フィルタリング、認証、クォータ管理などの他の機能によって使用される基本機
能を提供します。ネットワークの要件に対応するように、このシステムを構成することが可能です。
アプライアンス システムを構成するときは、主に以下の項目で作業を行います。
•
システム設定 — ネットワーク インターフェース、DNS サーバー、プロキシ、集中管理、およびアプライアン
ス システムに関連する他のコンポーネントと方法のために構成されます
•
システム ファイル — ファイル エディターを使用して変更できるアプライアンス システムの機能の設定を含みま
す
•
データベース更新 — アプライアンスのフィルタリング機能が関連情報を利用できるようにします
システム構成の一部分は、アプライアンスの初期設定中に実行されます。このセットアップ後、アプライアンス シス
テムのさらなる構成アクティビティを完了させることができます。
目次
初期セットアップのシステム設定
初期セットアップ後のシステム構成
システム設定の構成
アプライアンス タブ
一般的なアプライアンス機能に対するシステム設定
ネットワーク機能に対するシステム設定
システム ファイル
ファイル エディター タブ
データベースの更新
初期セットアップのシステム設定
アプライアンスの初期セットアップの実行には、システム設定の一部の構成が含まれます。
初期設定は、デフォルト値のままに残すか、または自分の設定を実装することができます。後でも、これらの設定は
変更できます。
次の表は、初期セットアップで構成される設定、およびそれらのデフォルト値を示しています。
表 13-1 初期セットアップのシステム設定
パラメーター
デフォルト値
プライマリ ネットワーク インターフェース
eth0
DHCP での自動構成
はい
ホスト名
mwgappl
ルート パスワード
<なし>
McAfee Web Gateway 7.2
製品ガイド
273
13
システム構成
初期セットアップ後のシステム構成
表 13-1 初期セットアップのシステム設定 (続き)
パラメーター
デフォルト値
SSH でのリモート ルート ログオン
時間
デフォルト ゲートウェイ
<DHCP で構成>
DNS サーバー
<DHCP で構成>
初期セットアップ後のシステム構成
アプライアンス システムに対するすべての設定は、初期セットアップ後に構成することができます。これには、初期
セットアップ中に構成された設定の変更も含まれます。
アプライアンス システムに対する設定は、さまざまなフィールドで構成できます。
一般的な機能に対するシステム設定
一部のシステム設定は、アプライアンスのライセンスや日付と時刻など、一般的なサービスを提供するアプライアン
ス システムの機能に対して構成されます。
関連トピック:
277 ページの「ライセンス設定 」
278 ページの「日時設定 」
279 ページの「ファイル サーバー設定 」
280 ページの「ユーザー インターフェース設定 」
ネットワーク システム設定
ネットワーク システム設定は、アプライアンス システムをネットワークに統合するために構成します。」
アプライアンスのプライマリ ネットワーク インターフェース、およびアプライアンスによって使用される DNS サ
ーバーの設定を含む、一部のネットワーク システム設定は初期セットアップですでに構成されています。
後で、プロキシ機能、ポート転送、静的ルーティング、および他のネットワーク関連の機能の構成もできます。
関連トピック:
283 ページの「ネットワーク設定 」
285 ページの「DNS 設定 」
285 ページの「ネットワーク保護設定 」
286 ページの「ポート転送設定 」
286 ページの「静的ルート設定 」
118 ページの「プロキシ設定 」
認証およびクォータのシステム設定
認証およびクォータのシステム設定は、アプライアンスでユーザーを認証し、それらのユーザーの Web 使用を制限
するための方法を実装するために構成します。
認証とクォータの構成は、主にアプライアンスで、認証およびクォータのルール セットで作業することにより、実行
されます。
しかし、Kerberos 認証方法および Windows ドメイン メンバーシップの設定を含む、いくつかの認証機能はアプラ
イアンス システムの設定として構成されます。
一部のクォータ パラメーターは、システム設定としても構成されます。
274
McAfee Web Gateway 7.2
製品ガイド
システム構成
システム設定の構成
13
関連トピック:
149 ページの「Kerberos 管理システムの設定 」
150 ページの「Windows ドメイン メンバーシップの設定 」
189 ページの「クォータのシステム設定 」
Web フィルタリング システム設定
Web フィルタリング システム設定は、Web オブジェクトをフィルタリングするための機能をアプライアンスで実装
するために構成されます。
Web フィルタリングの構成は、Gateway マルウェア対策ルール セットや URL フィルタリング ルール セットなど
の Web フィルタリング ルール セットのルールを操作することによってアプライアンスで主に実行されます。
ただし、アプライアンスのスキャン モジュールに対する作業負荷を制限するためにキュー内で Web オブジェクトを
収集するマルチウェア対策キューなど、Web フィルタリング機能のいくつかは、アプライアンス システムの設定と
して構成されます。
関連トピック:
200 ページの「マルウェア対策システム設定 」
集中管理システム設定
集中管理システム設定は、共通の構成で複数のアプライアンスをノードとして実行している場合に構成します。
集中管理構成では、ログオンしているノードから、他のノードのシステム設定を構成することもできます。
関連トピック:
298 ページの「一元管理設定 」
ログおよびトラブルシューティングに対するシステム設定
ログおよびトラブルシューティングに対するシステム設定は、アプライアンスでログ ファイル マネージャーを制御
するためと、外部コンポーネントを使用してログ データを記録するために構成されます。
外部コンポーネントの使用には、マカフィー ePO サーバーへのデータの転送、および SNMP エージェントを使用し
たイベントの監視が含まれます。
関連トピック:
348 ページの「ログ ファイル マネージャー設定 」
369 ページの「ePolicy Orchestrator 設定 」
370 ページの「SNMP 設定 」
システム設定の構成
ネットワークの要件に対応させるために、アプライアンス システムの設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、アプライアンスを選択して、構成するシステム設定をクリックします。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
274 ページの「初期セットアップ後のシステム構成 」
McAfee Web Gateway 7.2
製品ガイド
275
13
システム構成
アプライアンス タブ
アプライアンス タブ
アプライアンス タブは、アプライアンス上でのシステム設定の構成を可能にします。
アプライアンス タブの主要要素
以下の表で、[アプライアンス]タブの主要な要素について説明します。
表 13-2 アプライアンス タブの主要要素
要素
説明
アプライアンス ツールバー
集中管理構成にアプライアンスを追加、削除、および一度に更新す
るための項目を含むツールバー。
アプライアンス ツリー
各アプライアンスのシステム設定を含むアプライアンスのツリー構
造
アプライアンス ツールバー
選択したアプライアンスで作業するための項目を含むツールバー
（アプライアンス ツリーでアプライアンスが選
択されたときに表示される）
アプライアンス設定
選択されたアプライアンスのシステム設定
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
276
McAfee Web Gateway 7.2
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
13
表 13-3 アプライアンス ツールバー
オプション
定義
[追加 ]
アプライアンスを追加するための[アプライアンスの追加]ウィンドウを開きます。
[削除]
選択されたアプライアンスを削除します。
削除を確認するためのウィンドウが開きます。
[手動エンジン更新] 集中管理構成にあるすべてのアプライアンスのウイルス シグネチャおよびその他のフィルタ
リング情報が含まれている DAT ファイルを更新します。
アプライアンス ツールバー
アプライアンス ツールバーには、次のオプションがあります。
表 13-4 アプライアンス ツールバー
オプション
定義
[再起動]
アプライアンスを再起動します。
[キャッシュを消去]
アプライアンスの Web キャッシュを消去します。
[アプライアンス ソフトウェアの更 アプライアンス ソフトウェアの更新バージョンをインストールします。
新]
[シャットダウン]
アプライアンスを非アクティブにします。
[ログをローテート]
アプライアンスのログ ファイルをローテートします。
[ログをローテートおよびプッシュ] アプライアンスのログ ファイルをローテートし、[ログ ファイル マネージャ
ー]の設定で指定されている送信先にプッシュします。
一般的なアプライアンス機能に対するシステム設定
一部のシステム設定は、アプライアンス システムの一般的なサービスを提供する機能に対して構成されます。
一般的なアプライアンス機能に対する設定には、以下が含まれます。
•
ライセンス設定
•
日時設定
•
ファイル サーバー設定
•
ユーザー インターフェース設定
ライセンス設定
ライセンス設定は、アプライアンスにライセンスをインポートするために使用します。ライセンスの情報は、これら
の設定とともに表示されます。
ライセンス管理
ラインセンスのインポートおよびインポートされたライセンスの情報の設定
McAfee Web Gateway 7.2
製品ガイド
277
13
システム構成
一般的なアプライアンス機能に対するシステム設定
表 13-5 ライセンス管理
オプション
定義
ライセンスの ライセンスをインポートするための項目
インポート
• [ライセンス ファイル] — ライセンス ファイルの名前を入力するための入力フィールド
ここにファイル名を入力するか、[参照]ボタンを使用して適切なファイルを選択することができま
す。
• [参照] － ローカル ファイル マネージャーを開き、ライセンス ファイルを参照することができま
す。
• [登録] — 入力フィールドに指定されているライセンスを登録します
[登録]ボタンは、入力フィールドにファイル名が入力されない限り、グレー表示になります。
ライセンス情 インポートされたライセンスの情報
報
• [ステータス] － ライセンス ファイルの名前を入力するための入力フィールド
ここにファイル名を入力するか、[参照]ボタンを使用して適切なファイルを選択することができま
す。
• [作成] － ローカル ファイル マネージャーを開き、ライセンス ファイルを参照することができま
す。
• [登録] — 入力フィールドに指定されているライセンスを登録します
[登録]ボタンは、入力フィールドにファイル名が入力されない限り、グレー表示になります。
• [有効期限] — ライセンスの期限が切れる日付
• [ライセンス ID] — ライセンスを識別する数値
• [カスタマー] — ライセンス所有者の名前
• [シート] — ライセンスが有効である所有者の会社の職場の数
• [評価] — ライセンスが評価済みどうかに関する情報
日時設定
日付および時刻の設定は、アプライアンス システムの日付および時刻を同期させる時刻サーバーを構成するために使
用されます。それらはシステム時刻を手動で設定することも可能にします。
日時
アプライアンス システムの日時の設定
278
McAfee Web Gateway 7.2
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
13
表 13-6 日時
オプション
定義
[NTP サーバーと 選択された場合、アプライアンスは時間の同期のために NTP
（Network Time Protocol）の時刻
の同期を有効にす サーバーを使用します。
る]
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時間差
が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動することを推
奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設定されま
す。
[NTP サーバー
リスト]
NTP プロトコルで時刻の同期に使用されるサーバーのリスト
リスト要素は以下のとおりです。
• [文字列] — NTP サーバーの名前
• [コメント] — NTP サーバーの平文コメント
[タイム ゾーンの タイム ゾーンを選択するためのリスト
選択]
NTP サーバーによって実行された時刻の同期、または手動で設定された時刻は、ここで選択する
タイム ゾーンを参照します。
手動でのシステム時刻の設定
アプライアンス システムの時刻および日付を構成するための設定
表 13-7 手動でのシステム時刻の設定
オプション
定義
[現在の日付および時 アプライアンス システムの日付および時刻の設定の要素
刻]
• [日付] — フィールドに入力またはカレンダーを使用して日付を入力します
• カレンダー アイコン — 日付選択のためにカレンダーが開きます
カレンダーで日付を選択した後、[OK]をクリックすると日付フィールドに日付が表示され
ます。
• [時刻] — 時刻の入力用
アプライアンスのシステム時刻は NTO サーバーの時刻と同期されます。しかし、両方の時
間差が大きすぎる場合、これは失敗します。
そのため、NTP サーバーとの時刻の同期を構成した後に、アプライアンスを再起動すること
を推奨します。アプライアンスを再起動すると、システム時刻が NTP サーバーの時刻に設
定されます。
[今すぐ設定]
入力した日付と時刻を対応するフィールドに設定します。
ファイル サーバー設定
ファイル サーバー設定は、アプライアンスの専用ファイル サーバー ポートの構成に使用されます（たとえば、クラ
イアントによるファイルのダウンロードを有効化するため）。
HTTP コネクタ ポート
アプライアンスの専用ファイル サーバー ポートの設定
McAfee Web Gateway 7.2
製品ガイド
279
13
システム構成
一般的なアプライアンス機能に対するシステム設定
表 13-8 HTTP コネクタ ポート
オプション
定義
[HTTP 経由の専用ファ 選択されていると、下に構成されている専用 HTTP ファイル サーバー ポートが有効にな
イル サーバー ポートを ります。
有効にする]
[HTTP コネクタ]
専用 HTTP ファイル サーバー ポートのポート番号
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲は
1024 ～ 65335 までです。
ポート 1 ～ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力することが
できます。これは、このポート経由のアプライアンスへの接続は、指定アドレスを使用し
た場合にのみ有効という意味です。
例:
アプライアンスには以下のとおり、IP アドレスを持つ 2 つのインターフェースがありま
す。
eth0:192.168.0.10, eth1: 10.149.110.10
次の数字を HTTP コネクタに入力します。
4711, 192.168.0.10:4722
ポート 4771 経由のアプライアンスへの接続では両方の IP アドレスを使用することが許
可される一方で、ポート 4772 経由で接続する場合は、IP アドレス 192.168.0.10 が使
用されます。
後者の方法による接続の制約は、イントラネットのセット アップに使用することができま
す。
[HTTPS 経由の専用フ 選択されていると、専用 HTTPS ファイル サーバー ポートが有効になります。
ァイル サーバー ポート
を有効にする]
[HTTPS コネクタ]
専用 HTTPS ファイル サーバー ポートのポート番号
ここでは、複数のポート番号をカンマで区切って入力できます。ポート番号の許容範囲は
1024 ～ 65335 までです。
ポート番号とともに IP アドレスを入力することは、HTTP コネクタと同様に行うことが可
能で、同じ意味を持ちます。
ポート 1 ～ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ユーザー インターフェース設定
ユーザー インターフェース設定は、ポート、ログオン ページ、SSL セキュア通信用の証明書など、ユーザー インタ
ーフェースの要素を構成するために使用されます。
HTTP コネクタ ポート
アプライアンスのローカル ユーザー インターフェースのポートとセッション タイムアウトに対する設定
280
McAfee Web Gateway 7.2
製品ガイド
システム構成
一般的なアプライアンス機能に対するシステム設定
13
表 13-9 HTTP コネクタ ポート
オプション
定義
[HTTP でローカル ユー 選択すると、HTTP プロトコルを使用してユーザー インターフェースに接続できます。
ザー インターフェース
を有効にする]
[HTTP コネクタ]
HTTP でユーザー インターフェースに接続するためのポート
ここでは、複数のポート番号をカンマで区切って入力できます。許容範囲は 1024 ～
65335 です。
ポート 1 ～ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力することが
できます。すると、指定したアドレスを使用する場合にのみ、このポート経由のユーザー
インターフェースへの接続が許可されます。
[HTTPS でローカル ユ 選択すると、HTTPS プロトコルを使用してユーザー インターフェースに接続できます。
ーザー インターフェー
スを有効にする]
[HTTPS コネクタ]
HTTPS でユーザー インターフェースに接続するためのポート
ここでは、複数のポート番号をカンマで区切って入力できます。許容範囲は 1024 ～
65335 です。
ポート 1 ～ 1023 にリクエストを転送する場合は、ポート転送ルールをセット アップで
きます。
ポート番号のみを入力するのではなく、ポート番号を IP アドレスとともに入力することが
できます。すると、指定したアドレスを使用する場合にのみ、このポート経由のユーザー
インターフェースへの接続が許可されます。
[セッション タイムアウ アクティビティが生じなくなってからユーザー インターフェースのセッションが閉じられ
ト]
るまでに必要な時間（分単位）
許容範囲は 1 ～ 9999 です。
ログイン ページ オプション
アプライアンスのユーザー インターフェースにログオンするために使用されるページに対する設定
表 13-10 ログイン ページ オプション
オプション
定義
[ログイン認証情報の保存をブラウザーに 選択すると、アプライアンスへログオンするためにユーザーが入力した
認証情報がブラウザーで保存されます。
許可する]
[ユーザーの IP アドレスにブラウザー セ 選択すると、ユーザー インターフェースを操作するためのセッション
ッションを制限する]
は、ユーザーによってこのセッションが開始されたクライアントの IP ア
ドレスが変更されない限り有効となります。
[IP アドレスに対してセッションを制限
するかどうかをユーザーに決定させる]
選択すると、ユーザー インターフェースを操作するためのセッションを
このセッションが開始されたクライアントの IP アドレスに対してのみ有
効にするかどうかについては、このセッションを開始したユーザー次第
になります。
[ログイン名ごとに複数のログインを許可 選択すると、同じユーザー名とパスワードを使用して複数のユーザーが
ユーザー インターフェースにログオンできます。
する]
[HTTPOnly セッション cookie を使用す 選択すると、ユーザー インタフェースに関するセッションに対して
る（アプレットの読み込みには時間がか HTTPOnly cookie が使用されます。
かることがある）]
McAfee Web Gateway 7.2
製品ガイド
281
13
システム構成
一般的なアプライアンス機能に対するシステム設定
ユーザー インターフェース証明書
ユーザー インターフェース用の HTTPS ポートを経由した SSL セキュア通信で使用される証明書に対する設定
表 13-11 ユーザー インターフェース証明書
オプション
定義
[件名、発行者、有効性、延長] 現在使用されている証明書に関する情報
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開き
ます。
[証明書チェーン]
証明書とともにインポートされる証明書チェーンを表示します。
［証明機関のインポート］ウィンドウ
SSL セキュア通信で使用される証明書をインポートするための設定
表 13-12 ［証明機関のインポート］ウィンドウ
オプション
定義
[証明書]
証明書ファイルの名前を入力するための入力フィールド
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
[参照]
証明書ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[秘密鍵]
秘密鍵ファイルの名前を入力するための入力フィールド
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
ここでは、AES 128 ビットの暗号化鍵または非暗号化鍵である鍵のみを使用できます。
[参照]
秘密鍵ファイルを参照して選択できるようにするために、ローカル ファイル マネージャーを開き
ます。
[パスワード]
秘密鍵の使用を許可するパスワードを入力するための入力フィールド
[インポート]
新しい証明書をインポートするために、[証明機関のインポート]ウィンドウを開きます。
[OK]
指定した証明書に対するインポート プロセスを開始します。
[証明書チェー 証明書チェーン ファイルの名前を入力するための入力フィールド
ン]
ファイル名は、手動で入力したり、同じ行にある[参照]ボタンを使用して入力したりすることがで
きます。
[参照]
証明書チェーン ファイルを参照して選択できるようにするために、ローカル ファイル マネージャ
ーを開きます。
証明書を証明書チェーンとともにインポートすると、ユーザー インターフェース証明書設定の[証
明書チェーン]フィールドに証明書チェーンが表示されます。
282
McAfee Web Gateway 7.2
製品ガイド
システム構成
ネットワーク機能に対するシステム設定
13
ネットワーク機能に対するシステム設定
一部のシステム設定は、アプライアンス システムをネットワークに統合する機能に対して構成されます。
ネットワーク機能に対するシステム設定には、プロキシ設定と以下の設定が含まれます。
•
ネットワーク設定
•
静的ルート設定
•
DNS 設定
•
ポート転送設定
•
ネットワーク保護設定
関連トピック:
118 ページの「プロキシ設定 」
ネットワーク設定
ネットワーク設定はアプライアンスのネットワーク インターフェースを構成するために使用します。
ネットワーク インターフェース設定
ネットワーク インターフェースの設定
表 13-13 ネットワーク インターフェース設定
オプション
定義
[ホスト名]
アプライアンスの名前
[これらのネットワーク インタ 有効または無効にすることができるネットワーク インターフェースのリスト
ーフェースを有効にする]
[IPv4]
インターネット プロトコルのバージョン 4 でネットワーク インターフェースを構
成するためのタブ
[IPv6]
インターネット プロトコルのバージョン 6 でネットワーク インターフェースを構
成するためのタブ
[詳細]
追加メディアおよびネットワーク インターフェースのブリッジを構成するための
タブ
IPv4
インターネット プロトコルのバージョン 4 でネットワーク インターフェースを構成するためのタブ
表 13-14 IPv4
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスの構成方法を選択するためのリスト
• [自動取得（DHCP）] — 動的ネットワーク ホスト プロトコル
（DHCP）を使用して、IP アド
レスは自動的に取得されます。
• [手動設定] — IP アドレスは下の入力フィールドを使用して手動で構成されます。
このオプションが選択されない場合、入力フィールドはグレー表示されます。
• [IPv4 の無効化] — インターネット プロトコルのバージョン 4 はこのインターフェースでは
使用されません。
[IP アドレス]
ネットワーク インターフェースの IP アドレス（手動構成）
[サブネット マス ネットワーク インターフェースのサブネット マスク（手動構成）
ク]
McAfee Web Gateway 7.2
製品ガイド
283
13
システム構成
ネットワーク機能に対するシステム設定
表 13-14 IPv4 (続き)
オプション
定義
[デフォルト ルー ネットワーク インターフェースを使用する Web トラフィックのデフォルト ルーティング
（手動
構成）
ティング]
[MTU]
単一転送単位の最大バイト数
[IP エイリアス]
IP アドレスのエイリアスのリスト
• [エイリアスの追加] - エイリアスを追加する入力ウィンドウが開きます
• [削除] - 選択されたエイリアスを削除します
IPv6
インターネット プロトコルのバージョン 6 でネットワーク インターフェースを構成するためのタブ
表 13-15 IPv6
オプション
定義
[IP 設定]
ネットワーク インターフェースの IP アドレスの構成方法を選択するためのリスト
• [自動取得（DHCP）] — 動的ネットワーク ホスト プロトコル（DHCP）を使用して、IP アド
レスは自動的に取得されます。
• [ルータから取得] — ルータから IP アドレスを取得します。
• [手動設定] — IP アドレスは下の入力フィールドを使用して手動で構成されます。
このオプションが選択されない場合、入力フィールドはグレー表示されます。
• [IPv6 の無効化] — インターネット プロトコルのバージョン 6 はこのインターフェースでは
使用されません。
[IP アドレス]
ネットワーク インターフェースの IP アドレス（手動構成）
[デフォルト ルー ネットワーク インターフェースを使用する Web トラフィックのデフォルト ルーティング（手動
構成）
ティング]
[MTU]
単一転送単位の最大バイト数
[IP エイリアス] IP アドレスのエイリアスのリスト
• [エイリアスの追加] - エイリアスを追加する入力ウィンドウが開きます
• [削除] - 選択されたエイリアスを削除します
詳細
追加メディアおよびネットワーク インターフェースのブリッジを構成するためのタブ
284
McAfee Web Gateway 7.2
製品ガイド
システム構成
ネットワーク機能に対するシステム設定
13
表 13-16 詳細
オプション
定義
[メディア]
ネットワーク インターフェースとともに使用する追加メディアを選択するリスト
• [自動検出] — ネットワーク インターフェースで使用するメディアは、アプライアンスのネットワ
ーク環境で利用可能な場合、自動的に検出されます。
• [1000BaseT-FD、1000Base-HD、 ...] — 選択されたメディア項目はネットワーク インターフェ
ースとともに使用されます。
[ブリッジの これが選択されている場合、Web トラフィックは透過型ブリッジ モードのネットワーク インターフ
有効化]
ェースを介してルーティングされます。
• [名前] — 透過型ブリッジの名前
DNS 設定
DNS 設定は、ユーザー リクエストで提出されたホスト名に一致する IP アドレスを取得するためにアプライアンス
が接続するドメイン ネーム サーバーを構成するために使用します。
ドメイン名サービス設定
さまざまなドメイン名サーバーの IP アドレスの設定
表 13-17 ドメイン名サービス設定
オプション
定義
[プライマリ ドメイン ネーム サーバー]
1 番目のサーバーの IP アドレス
[セカンダリ ドメイン ネーム サーバー]
2 番目のサーバーの IP アドレス
[テリタリ ドメイン ネーム サーバー]
3 番目のサーバーの IP アドレス
ネットワーク保護設定
ネットワーク保護システム設定は、ネットワークからアプライアンスへのトラフィックの保護ルールを構成するため
に使用されます。
ネットワーク保護ルール
ネットワーク保護ルールを構成するための設定
表 13-18 ネットワーク保護ルール
オプション
定義
[ネットワーク保護の有 これが選択されている場合、以下のネットワーク保護で構成されている設定が有効になり
ます。
効化]
[ポリシーの入力]
受信トラフィックに対して実行されるアクションを選択するためのリスト
受信トラフィックはドロップするか、受け入れることができます。
[Ping リクエストの許
可]
これが選択されている場合、アプライアンスは Ping リクエストを受け入れて応答します。
[デフォルト ポリシーか アプライアンス システムにトラフィックを送信するネットワーク デバイスのリスト
らの例外]
これらのデバイスからのトラフィックは、現在実装されているルールに従って処理されて
いません。これらのルールが受信トラフィックをドロップした場合、ここにリストされて
いるデバイスから送信されるトラフィックは受け入れられ、逆の場合も同様になります。
次の表は、デフォルト ポリシーからの例外のリストにあるエントリを示します。
McAfee Web Gateway 7.2
製品ガイド
285
13
システム構成
ネットワーク機能に対するシステム設定
表 13-19 デフォルト ポリシーからの例外 - リスト エントリ
オプション
定義
[デバイス]
アプライアンス システムにトラフィックを送信するネットワーク デバイスの名前
* の入力、または入力ないことは、すべてのデバイスが対象であることを意味します。
[プロトコル] トラフィックの送信に使用されるプロトコル
[ソース]
ネットワーク デバイスまたはアプライアンス システムにトラフィックを送信するデバイスの、IP ア
ドレスまたはアドレス範囲
[宛先ポート] ネットワーク トラフィックの宛先であるアプライアンスのポート
[コメント]
例外の平文コメント
ポート転送設定
ポート転送設定は、特定のホストで 1 つのポートから別のポートに送信される Web トラフィックをアプライアンス
が転送できるようにするルールを構成するために使用されます。
ポート転送
ポート転送ルールを構成するための設定
表 13-20 ポート転送
オプション
定義
[ポート転送ルール]
ポート転送ルールのリスト
次の表では、ポート転送ルールのリストのエントリを説明しています。
表 13-21
ポート転送ルール - リスト エントリ
オプション
定義
[送信元ホスト]
ポート転送ルール内で Web トラフィックの送信元であるホストの IP アドレス
[バインド IP]
バインド IP アドレス
[ターゲット ポート] 送信元ホストからの Web トラフィックが転送される先のポート
[宛先ホスト]
送信元ホストから送信される Web トラフィックの宛先であるホストの IP アドレス
[宛先ポート]
送信元ホストから受信する Web トラフィックをリッスンするために使用される宛先ホストの
ポート
[コメント]
ポート転送ルールに関するテキスト形式のコメント
静的ルート設定
静的ルート設定は、Web トラフィックがアプライアンスから特定のホストへルーティングされる場合に、同じゲー
トウェイおよびこのゲートウェイのインターフェースを常に使用するルートを構成するために使用されます。
静的ルート
インターネット プロトコルのバージョン 4 または 6 での静的ルートに対する設定
表 13-22 静的ルート
オプション
定義
[静的ルート リスト] インターネット プロトコルのバージョン 4 または 6 で Web トラフィックを送信するため
の静的ルートのリスト
次の表では、静的ルートのリストのエントリを説明しています。
286
McAfee Web Gateway 7.2
製品ガイド
システム構成
システム ファイル
13
表 13-23 静的ルート - リスト エントリ
オプション
定義
[宛先]
静的ルートの宛先であるホストの IP アドレスとオプションのネットマスク
[ゲートウェイ] アプライアンスからホストへ Web トラフィックをルーティングするためのゲートウェイの IP ア
ドレス
[デバイス ]
静的ルートに対してゲートウェイで使用されるインターフェース
[説明]
静的ルートのテキスト形式の説明
[コメント]
静的ルートに関するテキスト形式のコメント
システム ファイル
システム ファイルには、アプライアンス システムの機能に対する設定が含まれます。これらの設定は、ファイル エ
ディターを使用して編集できます。
システム ファイルに保存される設定には、IP アドレス、最大メッセージ サイズ、キューに入れることのできる最大
メッセージ数など、ネットワーク通信用にアプライアンス システムが使用するパラメーターの設定が含まれます。
ログやアクセス制限など、アプライアンス システムの機能を構成するには、他の設定が使用されます。
システム ファイルの例は /etc/hosts ファイルで、IP アドレスとホスト名のエントリ
（アプライアンス自体のロー
カル IP アドレスとホスト名を含む）が含まれます。
ユーザー インターフェースのタブからアクセスできるファイル エディターでは、これらのファイル内の設定を編集
できます。
関連トピック:
288 ページの「ファイル エディター タブ 」
McAfee Web Gateway 7.2
製品ガイド
287
13
システム構成
ファイル エディター タブ
ファイル エディター タブ
[ファイルエディター]タブは、アプライアンスのシステム ファイルの編集を可能にします。
ファイル エディター タブの主要要素
以下の表で、[ファイル エディター]タブの主要要素について説明します。
表 13-24 ファイル エディター タブの主要要素
要素
説明
[ファイル]
各アプライアンスのシステム設定を含むアプライアンスのツリー構造
[エディター ]
システム ファイルを編集するための項目、およびファイル エントリを
表示するためのコンテンツ ペインがあるツールバー
（[ファイル]でシステム ファイルが選択され
ているときに表示される）
エディター ツールバー
エディター ツールバーには、次のオプションがあります。
288
McAfee Web Gateway 7.2
製品ガイド
システム構成
データベースの更新
13
表 13-25 ファイル エディター ツールバー
オプション
定義
[編集]
システム ファイル エントリのテキストを編集するためのオプションがあるメニュ－を開きます。
• [切り取り] — 選択されたテキストを切り取ります
• [削除] — 選択されているテキス
トを削除します
• [コピー] — 選択されているテキストをコピーします
• [すべて選択] — テキスト全体を
選択します
• [貼り付け] — コピーまたは切り取られたテキストを貼り付
けます。
[変更を破棄] テキストの変更を破棄します。
ウィンドウが開き、破棄の確認が行われます。
データベースの更新
フィルタリング プロセスに使用される、外部データベースから取得される情報は、適宜、更新が必要です。
Web オブジェクトはアプライアンスでルールベースのプロセスに基づいてフィルタリングされます。フィルタリン
グ ルールは、オブジェクトへのアクセスをブロックするまたは許可するなどのアクションをトリガーする前にこれら
のオブジェクトの情報が必要です。それらは、特別なモジュール（エンジンとも呼ばれる）のこの情報に依存します。
例えば、ウイルスおよびマルウェア フィルタリング ルールは、オブジェクトがウイルスに感染しているか、または
URL カテゴリ情報の URL フィルター モジュール（モジュール）に URL フィルタリング ルールが依存しているかを
調べるために、マルウェア対策モジュール（エンジン）に依存します。
モジュールはこの情報、例えば DAT ファイルに保管されているウイルス シグネチャなどを外部データベースから取
得します。アプライアンスでのデータベースの更新は、この情報に適用されます。
アプライアンスのデータベース情報は、さまざまな方法を使用して、更新できます。
•
手動エンジン更新 — 現在ログオンしているアプライアンスのモジュールのデータベース情報は手動で更新できま
す。
•
自動エンジン更新 — また、現在ログオンしているアプライアンスのモジュールを定期的に自動更新するように構
成することもできます。
これらの更新で情報を取得できます。
•
インターネットから — 情報は関連する外部データベースからダウンロードされます。
データベース情報はアプライアンスの初期セットアップの後、この方法で直ちに初めて更新されます。
•
集中管理構成のその他のノードから — 情報はこれらのノードからダウンロードされます。すべてのノードは、
そのノードからその他のノードへの情報のアップロードが許可されるかどうかに関わらず、同様に構成できま
す。
集中管理構成をセット アップするとこれらの更新を構成し、自動更新に関する動作方法を各ノードに対し、
指定できます。
データベース情報の手動更新
アプライアンスのモジュールに対して、データベース情報を手動で更新することができます。
更新は、ログオンしたアプライアンスのモジュールと、集中管理構成でノードとして含めた他のアプライアンスのモ
ジュールに適用されます。
McAfee Web Gateway 7.2
製品ガイド
289
13
システム構成
データベースの更新
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーで、[手動エンジン更新]をクリックします。
更新が実行されます。
自動エンジン更新のスケジュール
アプライアンスのモジュールに対して、データベース情報の自動更新をスケジュールすることができます。
集中管理構成でノードとして複数のアプライアンスを実行している場合、この構成に対する設定を構成する一環とし
て、これらのノードのモジュール（エンジンとも呼ばれる）に対して更新をスケジュールできます。
タスク
290
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、自動更新をスケジュールするアプライアンスを選択し、[集中管理構成]をクリックし
ます。
3
[自動エンジン更新]まで下にスクロールし、必要に応じて更新設定を構成します。
4
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
14
一元管理
一元管理は、共通の設定でノードとしてネットワーク内でセットアップした複数のアプライアンスを管理できます。
一元管理の設定を管理するときは、主に以下の項目で作業を行います。
•
ノード — アプライアンスはその他のノードに接続されたノードとしてセットアップでき、更新、バックアップ、
ダウンロード、およびその他のアクティビティを実行するためにデータを送受信できます。
•
ノード グループ — ノードは別の方法でデータ転送を許可するさまざまなタイプのノード グループに割り当てら
れます。
•
スケジュール設定されたジョブ — データは設定できる異なる種類のスケジュールに従って転送できます。
更新スケジュールは、更新を実行するときと、しないときを指定する一元管理設定のノードに対しても設定できます。
目次
一元管理構成
一元管理の構成
一元管理構成にアプライアンスを追加
ノード グループにノードを割り当てる
一元管理設定の構成
スケジュール設定されたジョブを追加
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理設定
一元管理構成
一元管理構成では、複数のアプライアンスがノードとして実行され、構成したものにしたがって、すべてのノードか
ら管理できます。
一元管理構成のノードは、以下のネットワーク内で接続されています。
•
各ノードは、Web トラフィックを向けるネットワークのクライアント システムに接続されています。
•
ノード グループにノードを割り当てる
•
ノード グループは、1 つのノードからその他のノード、またはいくつかのその他ノードへの更新のためのデ
ータ転送など、グループ メンバーに対して一般管理アクティビティができます。
•
グループ メンバーとの間で異なる種類のデータ転送が可能な、異なるタイプのノード グループがあります。
複数の McAfee Web Gateway アプライアンスの一元管理構成は、時々クラスターと呼ばれます。しかし、これは
フェールオーバー機能を備えた高可用性クラスターの良識のクラスターではありません。
McAfee Web Gateway 7.2
製品ガイド
291
14
一元管理
一元管理構成
以下の図は、一元管理構成のノードとして実行される、いくつかのアプライアンスを示しています。
図 14-1 一元管理構成
ノード グループのタイプ
一元管理構成のノードは、ノード グループに割り当て可能です。
ノード グループには名前があり、タイプを考慮して異なります。次のノード グループのタイプがあります。
•
ランタイム グループ — ランタイム グループのメンバーであるノードは、ランタイム データをグループ内のその
他すべてのノードと共有できます。
ランタイム データは、アプライアンスのランタイムに作成されるデータです。たとえば、クォータ制限が Web
の使用状況に課された場合、与えられた時点でユーザーに残される時間は、ランタイム データです。
ノードは、1 つ特定のランタイム グループのメンバーにのみできます。
•
更新グループ — 更新グループのメンバーであるノードは、更新をグループ内のその他すべてのノードと共有でき
ます。
ノードは、1 つ特定の更新グループのメンバーにのみできます。
•
ネットワーク グループ — ネットワーク グループのメンバーであるノードは、グループ内のその他すべてのノー
ドにすぐに接続できます。
ノードは同時に異なるネットワーク グループのメンバーになります。
ノードは、グループ A や B など異なるノード グループのメンバーです。ノードを通して、データの転送が可能
です。グループ B の中のノードによって、グループ B のメンバーでないグループ A 内の他のノードから、グル
ープ A のメンバーでないノードまでデータを転送することが可能です。
スケジュール設定されたジョブ
アプライアンスで、構成バックアップの作成、またはファイルのダウンロードなどを特定の時間および日付、または
一定の間隔に実行する、ジョブをスケジュール設定できます。、
また、現在作業しているアプライアンスのユーザー インターフェースでスケジュール設定の構成もでき、同じ一元管
理構成のその他ノードでジョブを実行しました。
292
McAfee Web Gateway 7.2
製品ガイド
一元管理
一元管理の構成
14
一元管理の構成
ネットワーク内の複数のアプライアンスの一元管理を構成し、共通設定のノードとして管理できます。
以下の高レベル手順を完了します。
タスク
1
ネットワーク内のアプライアンスのユーザー インターフェースで一元管理の構成を開始し、共通構成のノードと
して他の 1 つ以上のアプライアンスを追加します。
アプライアンスは、ノードとしてはデフォルトで一元管理構成に含まれていないため、すべての関連アクティビ
ティは管理者によって実行される必要があります。
これらすべてのアクティビティに対して、[構成]トップレベル メニューの[アプライアンス] タブのオプションで
作業します。
構成にノードを追加するには、少なくとも以下を構成する必要があります。
•
ノードとして追加するアプライアンスのホスト名または IP アドレス
•
ネットワーク ノード グループのノードのメンバーシップ
ノードの以下の設定も構成できます。
•
他のノードとの通信に使用される IP アドレスおよびポート
•
ランタイムおよび更新ノード グループのメンバーシップ
•
スケジュール設定されたジョブ
•
更新
構成にノードとして追加する他のアプライアンスに、これらのアクティビティを繰り返します。
2
一元管理構成の初期設定後、必要に応じてさらに構成アクティビティを実行します。
たとえば、以下の操作を実行できます。
•
構成ノードの一元管理の設定を確認し、変更する
構成のその他ノードのユーザー インターフェース上にあるノードの設定を確認および変更する
•
3
構成に 1 つ以上の新しいノードを追加する
変更を保存します。
一元管理構成にアプライアンスを追加
アプライアンスをノードとして一元管理構成に追加し、ネットワーク グループに割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツールバーの[追加]をクリックします。
[アプライアンスの追加]ウィンドウが開きます。
3
[ホスト名または IP アドレス] フィールドで、ホスト名またはネットワーク内のその他のアプライアンスの IP ア
ドレスを入力します。
McAfee Web Gateway 7.2
製品ガイド
293
14
一元管理
ノード グループにノードを割り当てる
4
[ネットワーク グループ] リストから、アプライアンスのネットワーク グループを選択します。
5
[OK]をクリックします。
ウィンドウが閉じ、アプライアンス ツリーにアプライアンスが表示されます。
これで、作業するアプライアンスの一元管理構成のノードになり、追加を完了します。
ノード グループにノードを割り当てる
一元管理構成のノードのアプライアンスをを異なるタイプのノード グループに割り当て、異なる種類のデータ転送を
可能にします。
ランタイムまたは更新グループにノードを割り当てる手順も、ほとんど同じです。
ネットワーク グループの手順は、ノードが 1 つ以上のネットワーク グループのメンバーになる場合があるため、異
なります。
タスク
•
294 ページの「ランタイム グループにノードを割り当てる 」
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられま
す。
•
295 ページの「更新グループにノードを割り当てる 」
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
•
295 ページの「ネットワーク グループにノードを割り当てる 」
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに
割り当てられます。
ランタイム グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、ランタイム グループにノードを割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとしてランタイム グループに割り当てるアプライアンスを選択し、[一元管理]
をクリックします。
3
[このノードは次のグループのメンバーです]セクションの[グループ ランタイム] フィールドで、ノードを割り当
てるランタイム グループの名前を入力します。
名前を入力したら、すべてを上書きします。これは、ランタイム グループのデフォルト名としてフィールドに表
示されます。
デフォルト名は、異なるランタイム グループで使用しないオプションを提供しますが、すべてのノードの 1 ラン
タイム グループのみあります。
デフォルトのすべてを削除し、名前を入力しない場合、名前として空の文字列のグループにノードを割り当てるこ
とになります。
4
同じランタイム グループにその他のノードを含むには、アプライアンス ツリーのこのノードを選択し、[一元管
理]を再度クリックして、[グループ ランタイム] フィールドに同じ名前を入力します。
同じランタイム グループに含むすべてのノードに、この手順を繰り返します。
5
294
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
一元管理
ノード グループにノードを割り当てる
14
更新グループにノードを割り当てる
適切な入力フィールドにグループ名を入力することで、更新グループにノードを割り当てられます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして更新グループに割り当てるアプライアンスを選択し、[一元管理]をクリ
ックします。
3
[このノードは次のグループのメンバーです]セクションの[グループ更新]フィールドで、ノードを割り当てるラン
タイム グループの名前を入力します。
手順は、ランタイム グループにノードを割り当てるのと同じです。
また。グループにその他のノードを含み、ランタイム グループと同じ方法で続行します。
4
[変更の保存]をクリックします。
関連トピック:
294 ページの「ランタイム グループにノードを割り当てる 」
ネットワーク グループにノードを割り当てる
グループ名または名前を適切なリストに入力することで、ノードを 1 つ以上のネットワーク グループに割り当てら
れます。
タスク
1
アプライアンスのユーザー インターフェースで、[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ノードとして 1 つ以上のネットワーク グループに割り当てるアプライアンスを選択
し、[一元管理]をクリックします。
3
デフォルトのすべてグループ以外にノードをネットワーク グループに割り当てるには、[グループ ネットワーク]
インライン リストのツールバーの[追加]アイコンをクリックします。
デフォルト グループは、異なるネットワーク グループで使用しないオプションを提供しますが、すべてのノード
の 1 ネットワーク グループのみあります。
1 つ以上のネットワーク グループを持つ場合は、すべてグループを削除するか、名前を変更する必要があります。
[文字列の追加]ウィンドウが開きます。
4
新しいネットワーク グループを構成します。
a
[名前]フィールドで、ネットワーク グループ名を入力します。
b ［オプション］[コメント]フィールドで、ネットワーク グループの平文コメントを入力します。
c
[OK]をクリックします。
ウィンドウが閉じられ、新しいネットワーク グループが[グループ ネットワーク] インライン リストに表示
されます。
ノードがこのネットワーク グループのメンバーに追加されます。
[複数の追加]アイコンをクリックし、開いた[文字列の追加]ウィンドウで作業することで、複数のネットワーク
グループを 1 度に追加できます。
ウィンドウで、各自の新しい行を使用して、複数のグループ名を入力できます。
McAfee Web Gateway 7.2
製品ガイド
295
14
一元管理
一元管理設定の構成
ウィンドウにはまた、同じコメントをすべてのグループに追加するか、異なるコメントを各グループに追加する
オプションもあります。
5
同じネットワーク グループまたはグループにその他のノードを含むには、アプライアンス ツリーのこのノードを
選択し、[一元管理]を再度クリックして、[グループ ネットワーク] インライン リストに同じグループ名または名
前を入力します。
同じネットワーク グループまたはグループに含むすべてのノードに、この手順を繰り返します。
6
[変更の保存]をクリックします。
一元管理設定の構成
一元管理設定を構成し、共通構成でノードとして複数のアプライアンスを管理できるようにします。
タスク
1 [構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、システム設定を構成するアプライアンスを選択して、[一元管理]をクリックします。
一元管理設定が設定パネルに表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
298 ページの「一元管理設定 」
スケジュール設定されたジョブを追加
スケジュール設定されたジョブをアプライアンスのリストに追加し、構成したタイム スケジュールに従って実行でき
ます。
タスク
1 [構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、スケジュール設定されたジョブを追加するアプライアンスを選択し、[一元管理]をク
リックします。
3
設定パネルで、[詳細スケジュール設定ジョブ]を展開します。
スケジュール設定ジョブ リストがが表示されます。
4
リスト上のツールバーの[追加]をクリックします。
[スケジュール設定ジョブの追加]ウィンドウが開きます。
5
スケジュール設定ジョブの設定を構成します。
6
[OK]をクリックします。
ウィンドウが閉じ、新しいスケジュール設定ジョブがジョブ リストに表示されます。
7
[変更の保存]をクリックします。
関連トピック:
298 ページの「一元管理設定 」
296
McAfee Web Gateway 7.2
製品ガイド
一元管理
一元管理構成でのアプライアンス ソフトウェアの更新
14
一元管理構成でのアプライアンス ソフトウェアの更新
一元管理構成のノードでアプライアンス ソフトウェアを更新するためには、最後に更新するノードの 1 つのユーザ
ー インターフェースから更新手順を実行できます。
開始する前に
現在の設定のバックアップを作成していることを確認します。
タスク
1
設定のノードである各アプライアンスに更新する製品バージョンでリポジトリーをインストールします。
a
SSH を使用してシステム コンソールからアプライアンスにログオンします。
b
以下のコマンドを実行します。
yum install yumconf-<version number>-mwg
yumconf-<version number>-mwg はリポジトリーの名前です。バージョン番号はドットを使用して指定さ
れます。例: 7.2.0。
2
この構成の 1 つのアプライアンスのユーザー インターフェースにログオンします。
3
[構成] 、 [アプライアンス]を選択します。
アプライアンス ツリーで、ログインしたアプライアンス以外のものを選択します。
4
設定パネルの上のツールバーで [アプライアンス ソフトウェアの更新] をクリックします。
そのアプライアンスのソフトウェアは、リポジトリにあった製品バージョンに更新されます。
5
アプライアンス ツリーのすべてのその他のアプライアンスに対してステップ 4 を繰り返しますが、操作するアプ
ライアンスはそのまま残します。
6
構成のノードにあるその他のすべてのアプライアンスがそれぞれの更新を実行中の場合は、操作するアプライア
ンスに対して更新を実行してください。
a
アプライアンス ツリーのアプライアンスを選択します。
b
[アプライアンス ソフトウェアの更新]をクリックします。
構成のノードが、一部のノードが複数のグループのメンバーになっているときに、別のネットワーク
グループに割り当てられる場合、以下のように行うことを推奨します。
•
複数のメンバーシップをもつノードの 1 つから、更新手続きを実行します。
•
手続きの最後に、複数のメンバーシップをもつその他のノードを更新します。
•
最後に操作したノードを更新します。
たとえば、ノード 1、2、3、4 をもつネットワーク グループ A およびノード 3、4、5、6 をもつネ
ットワーク グループ B をもつ場合、ノード 3 または 4 を選択して、更新手順を実行してください。
最初にノード 1、2、5、6 を更新してから、4 (手順を実行するために 3 を選択した場合) を更新し、
最後に 3 を更新します。
一元管理構成は完全に更新されました。
McAfee Web Gateway 7.2
製品ガイド
297
14
一元管理
一元管理設定
一元管理設定
一元管理設定は、一般構成のノードとして管理するアプライアンスの構成に使用されます。
一元管理設定
一元管理構成でのノードの基本通信パラメーターの設定
表 14-1 一元管理設定
オプション
定義
[一元管理通信のこのノードの IP アド
レスおよびポート]
一元管理構成でその他ノードとの通信に使用するノードである IP アドレ
スおよびポート番号のリスト
[その他のノードへメッセージを配信す その他のノードが現在のノードからメッセージに応答できる時間（秒）
るタイムアウト]
時間範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
以下の表は、IP アドレスおよびポート リストのエントリの要素を説明しています。
表 14-2 IP アドレスおよびポート – リスト エントリ
オプション
定義
[文字列]
ノードの IP アドレスおよびポート番号
[コメント]
IP アドレスおよびポート番号の平文コメント
詳細管理設定
一元管理構成の詳細管理設定
表 14-3 詳細管理設定
オプション
定義
[複数のノードへ配信す 時間隔を増やす要因は、一元管理設定セクションのその他のノードへメッセージを配信する
るときのタイムアウト タイムアウトで構成されました。
の乗算]
時間間隔を増加させることは、1 つのノードからその他まで、そこから次のノードなどまで
メッセージを処理する時間をより多く提供します。。
間隔は 1 ～ 2 の値ずつ長くすることが可能です。
値は、スライダーのスケールで設定されます。
[ノード プライオリテ ノード グループ内で取得するノードのプライオリティ
ィ]
最高プライオリティは 1 です。
ノードの構成データは、その他ノードとこれ以上同期しません。たとえば、ノードが少しの
間ダウンしたため、ノードが最高プライオリティのノードからもっとも最近の構成データを
受け取るなどです。
これを意図していない場合は、すべてのノードが同じプライオリティで、推奨されている設
定であることを確認します。
ノードのプライオリティは 1 から 100 の範囲です。
スライダーのスケールに設定されます。
[GUI サーバーにこの
ノードの添付を許可]
選択されると、サーバーは追加のユーザー インターフェースをアプライアンスに提供し、
ノードに接続できます。
[非ローカル ホストか 選択されると、現在のノードで実行していない追加のユーザー インターフェースを備えた
らの GUI サーバーの サーバーは、ノードに接続できます。
接続を許可する]
298
McAfee Web Gateway 7.2
製品ガイド
一元管理
一元管理設定
14
表 14-3 詳細管理設定 (続き)
オプション
定義
[GUI コントロール ア 追加ユーザー インターフェースのIP アドレスおよびポート番号は、現在のノードに接続す
るために使用します。
ドレス]
[GUI リクエスト アド リクエストを送信するときに使用されるこのサーバーの IP アドレスおよびポート番号
レス]
[暗号化されていない他 選択すると、構成内でこのノードから他のノードに送信されるメッセージが暗号化されませ
のノードへの接続]
ん。
しかし、証明書を使用した認証は実行されています。
[その他のノードの IP 選択されると、構成でこのノードからその他のノードにメッセージを送信するとき IP アド
の確認を可能にする] レスを確認できます
この機能で Web セキュリティは強化されますが、NAT セットアップなど、いくつかのネ
ットワーク セットアップの問題を引き起こす可能性があります。
[時間の差異を許可]
構成の変更が受け入れられる時間の差異を許可します（秒）
秒数の範囲は 10 秒から 600 秒です。
スライダーのスケールに設定されます。
[その他のノードのバー 選択されると、構成の変更がノード間に配布される前に、アプライアンス ソフトウェアの
ジョンの確認を可能に バージョンが確認されます。
する]
このノードのアプライアンス ソフトウェアのバージョンが、変更を配布するノードのバー
ジョンと一致しない場合、構成の変更はノードに配布されません。
• [バージョン確認のレベル ]— 更新バージョンを確認するときの徹底レベル
1 からの確認レベル範囲
（とても簡単に:主要なバージョン番号のみ一致させる必要がありま
す）6 まで（とても厳しく:ビルド番号も一致させる必要があります）
スライダーのスケールに設定されます。
このノードは次のグループのメンバーです
ノードをグループ内のノードに含める設定
表 14-4 このノードは次のグループのメンバーです
オプション
定義
[グループ ランタイム] ランタイム データをグループ内のすべてのノードと共有できるノードのグループ。例:時間
のクォータ
[グループ更新]
更新をグループ内すべてのノードと共有できるノードのグループ
[グループ ネットワー グループ内のその他すべてのノードに直ちに接続できるノードのグループ
ク]
ノードは複数のネットワーク グループのメンバーになれます。
この場合ノードは、このノードもメンバーである別のグループのノードにこのノードを通し
て接続できるメンバーである 1 つのノードのグループです。
ノードがメンバーであるすべてのグループはグループ ネットワーク リストにリストされて
います。
以下の表は、グループ ネットワーク リストのリスト エントリの要素を説明しています。
表 14-5 グループ ネットワーク – リスト エントリ
オプション
定義
[文字列]
ネットワーク ノード グループの名前
[コメント]
ネットワーク ノード グループの平文コメント
McAfee Web Gateway 7.2
製品ガイド
299
14
一元管理
一元管理設定
自動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の自動更新をスケジュール設定する設定
表 14-6 自動エンジン更新
オプション
定義
[自動更新を有効にする]
選択されると、データベース情報が自動的に更新されます。
[インターネットからの更 選択されると、データベース更新がインターネットからダウンロードされます。
新のダウンロードを許可
する]
[その他ノードからの更新 選択されると、データベース更新が一元管理構成のその他ノードからダウンロードされ
のダウンロードを許可す ます。
る]
[更新間隔]
データベース情報が再び更新される前に経過する時間（分）
時間はスライダーのスケールに設定されます。
許可されている値の範囲は 15 ～ 360 です。
[CRL 更新間隔]
フィルタリング SSL セキュア Web トラフィックに使用される証明失効リストが更新さ
れる前に経過する時間（分）
この更新はその他の更新とは異なる方法を使用するため別々に構成される必要がありま
す。
時間はスライダーのスケールに設定されます
許可されている値の範囲は 3 ～ 168 です。
[更新プロキシを有効にす 選択した場合、プロキシ サーバーは更新されたデータベース情報のルーティングに使用
されます。
る]
[プロキシの更新（フェー 更新されたデータベース情報を送信するために使用されたプロキシ サーバーのリスト
ルオーバー）]
プロキシ サーバーはフェールオーバー モードで使用されます。リストの最初のサーバー
が最初に試行され、構成されたタイムアウトが経過した場合のみ次のサーバーが試行さ
れます。
以下の表は、更新プロキシ リストのエントリの要素を説明しています。
表 14-7 更新プロキシ – リスト エントリ
オプション
定義
[ホスト]
ルーティング更新のプロキシとして使用されるサーバーのホスト名または IP アドレス
[ポート]
更新リクエストをリスンするプロキシのポート
[ユーザー]
ルーティング更新のためプロキシへのアクセスが許可されたユーザーのユーザー名
[パスワード]
このユーザーのパスワード
コメント
プロキシの平文テキストのコメント
詳細な更新設定
詳細更新機能の設定
300
McAfee Web Gateway 7.2
製品ガイド
一元管理
一元管理設定
14
表 14-8 詳細な更新設定
オプション
定義
（一元管理構成の
[その他ノードへの更新のアップ 選択されると、更新されたデータベース情報が、アプライアンス
ノードとして）から他のノードへアップロードされます。
ロードを許可する]
[初めて更新を開始するときは、 更新が開始される前に経過した時間（秒）
開始する前に適切な時間待つ]
許可されている値の範囲は 5 ～ 1200 です。
[1 回目の自動アップロードの開 初めて自動更新を起動する場合の試行間隔時間（秒）
始時、更新の起動間隔を使用す
更新中、更新された情報をアプライアンスに保管するコーディネーター サブシス
る]
テムは、この情報を使用するモジュールのあるアプライアンス コアへ接続を試み
ます。
この間隔に対しての低い値は、コアがデータを受信する準備ができるまでの待ち
時間を短縮できるため、更新をスピード アップできます。
許可されている値の範囲は 5 ～ 600 です。
[起動間隔を使って更新する]
更新を開始したときにアプライアンスが行った試行の最大数（1 から 9）
[代替 URL を使用]
デフォルト サーバーの代わりに使用される更新 サーバーの URL
[SSL トンネルを確認する]
選択されると、 SSL セキュア通信の更新 サーバーが確認されたことで、証明書
がノードに送信されます。
[定義された時間枠で更新されな データベース情報が更新されない間の毎日のタイム スロットのエントリ リスト
い]
以下の表は、タイム スロット リストのエントリの要素を説明しています。
表 14-9 タイム スロット – リスト エントリ
オプション
定義
[タイム スロットの開始（時間）]
毎日のタイム スロットを開始する時間
[タイム スロットの開始（分）]
毎日のタイム スロットを開始する分
[タイム スロットの開始（秒）]
毎日のタイム スロットを開始する秒
[タイム スロットの終了（時間）]
毎日のタイム スロットを終了する時間数
[タイム スロットの終了（分）]
毎日のタイム スロットを終了する分
[タイム スロットの終了（秒）]
毎日のタイム スロットを終了する秒
コメント
タイム スロットの平文テキストのコメント
詳細な契約リスト設定
詳細な契約リスト機能の設定
McAfee Web Gateway 7.2
製品ガイド
301
14
一元管理
一元管理設定
表 14-10 詳細な契約リスト設定
オプション
定義
[顧客の契約リストの 選択されると、顧客契約リストが現在のアプライアンスからダウンロードできます。
ダウンロードを許可す
アプライアンすが一元管理構成のノードであり、このオプションが他のノードでも選択され
る]
ている場合、ノードの 1 つがリストをダウンロードします。
特定のノードをリストにダウンロードする場合、他のすべてのノードのオプションが選択解
除されていることを確認する必要があります。
ノードが再起動され、1 つ以上の契約リストがこのノードで構成されている場合、リスト
コンテンツがダウンロードされ、有効な構成を確認します。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
ノードが契約リストが構成された他のノードとともに追加されるとき、リスト コンテンツ
が新しいノードのこれらのリストにダウンロードされます。
内部トラフィックを軽減するため、他のノードとの優先的な通信がなくダウンロードが実行
されます。
ダウンロード オプションが選択されているか否かに関わらず、ダウンロードが実行されま
す。
手動エンジン更新
フィルタリング プロセスで使用されるモジュールのデータベース情報の手動更新を実行する設定
表 14-11 手動エンジン更新
オプション
定義
[手動エンジン更新] フィルター処理で使用されているモジュールのデータベース情報をすぐに更新
データベース情報は、現在作業しているアプライアンスのモジュールにのみ更新されます
処理保管構成ファイル
ディスクの構成ファイル フォルダーの保管設定
表 14-12 処理保管構成ファイル
オプション
定義
[最小限の時間で保管された 構成ファイル フォルダーがディスクに保管される最低限の時間（日数）
構成フォルダーを維持]
日数の範囲は 1 秒から 100 秒です。
[最小限の構成フォルダー数 いつでもディスクに保管できる最小限の構成ファイル フォルダー数
を維持 ]
数の範囲は 1 から 100 です。
[最小限の圧縮フォルダー数 いつでもディスクに保管できる最小限の圧縮構成ファイル フォルダー数
を維持 ]
ディスクでそれらを保管するために構成された最小限の時間が経過したとき、構成フ
ォルダーは圧縮されます。そして常にディスクに保管している最小限のフォルダー数
は、圧縮されないでいると超過してしまいます。
フォルダー数の範囲は 1 から 100 です。
詳細スケジュール設定ジョブ
スケジュール設定ジョブの設定
302
McAfee Web Gateway 7.2
製品ガイド
一元管理
一元管理設定
14
表 14-13 詳細スケジュール設定ジョブ
オプション
定義
[ジョブ リスト]
スケジュール設定ジョブのリスト
以下の表はリスト エントリの要素を説明しています。
表 14-14 ジョブ リスト エントリ
オプション
定義
[ジョブの開始]
スケジュール設定ジョブを開始する時間の設定。例:時間別、日別、1 回
[オリジナルのスケジュールで開始しなか オリジナルで構成されたスケジュールに従って発生しなかった場合、ス
った場合、直ちにジョブを開始します] ケジュール設定ジョブが直ちに開始するかどうかの情報
[ジョブ]
ジョブのタイプ。例:バックアップ構成
[固有のジョブ ID]
スケジュール設定ジョブの ID
[このジョブが ID でジョブの実行を終了 このジョブの後に直ちに実行するジョブの ID
したとき]
コメント
スケジュール設定されたジョブの標準テキスト形式のコメント
スケジュール設定ジョブ ウィンドウの追加
スケジュール設定ジョブの追加のウィンドウの設定
•
時間の設定 – スケジュール設定ジョブが開始するときの時間の設定
•
ジョブ設定 – タイプおよびスケジュール設定ジョブの ID 設定
•
パラメーター設定 – スケジュール設定ジョブの追加パラメーター設定
これらの設定は各ジョブ タイプによって以下のように異なります:
• （バックアップ構成設定） – アプライアンス構成のバックアップを作成するスケジュール設定ジョブの設定
• （バックアップ設定の復元） – アプライアンス構成のバックアップを復元するスケジュール設定ジョブの設定
• （ファイル設定のアップロード） – HTTP または HTTPS プロトコルを使用して外部サーバーにファイルをア
ップロードするスケジュール設定ジョブの設定
• （ファイル設定のダウンロード） – HTTP または HTTPS プロトコルを使用してアプライアンスにファイルを
ダウンロードするスケジュール設定ジョブの設定
yum 更新を実行するスケジュール設定ジョブに対して追加のパラメーター設定があります。
McAfee Web Gateway 7.2
製品ガイド
303
14
一元管理
一元管理設定
表 14-15 時間の設定
オプション
定義
[ジョブの開始]
時間設定を選択するためのリスト
• [時間別] — 毎時間スケジュール設定ジ • [月別] — スケジュール設定ジョブを 1 ヶ月に 1
ョブを開始します
回開始します
• [日別] — スケジュール設定ジョブを 1 • [1 回] — 1 回のみスケジュール設定ジョブを開始
します
日に 1 回開始します
• [週別] — スケジュール設定ジョブを 1 • [その他のジョブによる有効化] — その他のジョ
ブが完了した後にスケジュール設定ジョブを開始
週間に 1 回開始します
します
（時間パラメータ 時間設定のパラメーターを指定する設定。例:時間別に実行されるジョブのスケジュール設定が開
ー設定）
始されるときの 1 時間内の分
どのパラメーター設定が選択された時間設定によって表示されますか。
例:時間別を選択した場合、時間内で分を構成できますが、月内で日は構成できません。
• [分] — 時間内の分
• [週の中の日を入力] — 週の中で日を選択するリスト
• [時間] — 日の中の時間 • [月] — 年内の月（1 から 12 の数から指定）
• [月の日] — 月の中の日 • [年内] — 年（数時 4 桁）
[オリジナルのス
ケジュールで開
始しなかった場
合、直ちにジョ
ブを開始します]
選択されると、オリジナルで構成されたスケジュールに従って発生しなかった場合、スケジュー
ル設定ジョブが直ちに開始されます。
このケースの場合は、例えば、アプライアンスが負荷がかかりすぎたため一時的にシャットダウ
ンし、ダウンタイム中にジョブがスケジュールを実行したときなどです。
ジョブはアプライアンスが再びアップされてからすぐに実行されます。
表 14-16 ジョブ設定
オプション
定義
[ジョブ]
スケジュール設定されたジョブのタイプを選択するリスト
• [構成のバックアップ] — アプライアンス構成のバックアップを作成
• [バックアップの復元] — アプライアンス構成のバックアップの復元
• [ファイルのアップロード] — HTTP または HTTPS プロトコルを使用してファイルを外部サー
バーにアップロードします
• [ファイルのダウンロード] — HTTP または HTTPS プロトコルを使用してファイルをアプライ
アンスにダウンロードします
• [Yum 更新] — アプライアンス構成に yum 更新を実行します
このスケジュール設定ジョブ タイプはアプライアンスが FIPS 対応モードで実行している場合
利用できません。
304
[固有のジョブ
ID]
スケジュール設定されたジョブを固有に識別する文字列
[ジョブ説明]
標準テキスト形式でのスケジュール設定ジョブのオプション説明
この文字列で指定される文字は大文字と小文字で区別されます。
McAfee Web Gateway 7.2
製品ガイド
一元管理
一元管理設定
14
表 14-16 ジョブ設定 (続き)
オプション
定義
[このジョブが
ここで構成したジョブを完了した後、直ちに実行するスケジュール設定ジョブの ID
ID でジョブの実
行を終了したと このジョブに、その他のジョブによって有効化時間設定を構成する必要があります。
き]
[リモート ノード スケジュール設定されたジョブを実行する構成の他のノードのリスト
でジョブを実行
リストは他のノードのホスト名を表示します。
する]
このアプライアンスで構成するスケジュール設定ジョブは、選択されたノードの時間およびパラ
メーターで実行されます。
メッセージはその他のノードに送信され、スケジュール設定ジョブについて通知します。
表 14-17 パラメーター設定 – バックアップ構成
オプション
定義
[一番最近の構成
を使用する]
選択されると、スケジュール設定されたジョブは、もっとも最近のアプライアンス構成からバッ
クアップを作成します。
形式:|<path name>/<file name with extension>
[バックアップ構
成パス]
バックアップに使用される必要がある構成が保管されている場所のフォルダーへのパス名
形式:/opt/mwg/storage/default/configfolder
[一番最近の構成を使用する]が選択解除された場合、この設定のみ利用できます。
[パスの構成を保
存する]
バックアップ構成のパスおよびファイル名
形式:/<path name>/<file name with file name extension>
フォルダーにデータを書き込める所有者にアプライアンスを作成して、バックアップ構成を保管
するフォルダーに対しユーザー権限を設定する必要があります。
コマンド ラインが提供され、例えば、シリアル コンソールによって、適切なコマンド実行し、
フォルダーを作成または既存のフォルダーの権利を変更します。
表 14-18 パラメーター設定 – バックアップ復元
オプション
定義
[ファイルからバッ バックアップの復元に使用されるファイルのパスおよびファイル名
クアップを復元す
形式:|<path name>/<file name with extension>
る]
[ポリシーのみ復元 ] 選択されると、スケジュール設定ジョブはアプライアンスで実行された Web セキュリティ ポ
リシーに関連した設定のみバックアップします
その他の設定。例:アプライアンスのネットワークへの接続に必要な設定は復元しません。
[復元中のロック保 選択されると、スケジュール設定ジョブがバックアップ構成を完全に復元するまで他のファイ
ルはアプライアンスに保管できません
管]
[パスワード]
パスワードを基本認証に提出します
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
McAfee Web Gateway 7.2
製品ガイド
305
14
一元管理
一元管理設定
表 14-19 パラメーター設定 – ファイルのアップロード
オプション
定義
[アップロードするフ
ァイル]
アップロードするファイルのパスおよびファイル名
[ファイルをアップロ
ードする送信先]
HTTP または HTTPS プロトコルでファイルをアップロードするサーバーのパス名およびサ
ーバーにファイルを保管するファイル名
形式:|<path name>/<file name with extension>
形式:http|https://<URL>/<file name with extension>
[基本認証を有効にす
る]
選択されると、ファイルをアップロードするために基本認証が必要になります。
[ユーザー名]
ユーザー名を基本認証に提出します
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
[パスワード]
パスワードを基本認証に提出します
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが開
き、[設定]ボタンが[変更]ボタンに代わります。
この設定は[基本認証を有効化]が選択された場合のみ利用できます。
表 14-20 パラメーター設定 – ファイルのダウンロード
オプション
定義
[ダウンロードする
URL]
HTTP または HTTPS プロトコルでダウンロードされたファイルの場所の URL およびファ
イル名
形式:http|https://<URL>/<file name with extension>
[ダウンロードしたファ ダウンロードしたファイルを保管した場所のバスおよび保存するファイルの名前
イルを保存する]
形式:|<path name>/<file name with extension>
[基本認証を有効にする] 選択されると、ファイルをダウンロードするために基本認証が必要になります。
[ユーザー名]
ユーザー名を基本認証に提出します
この設定は基本認証を有効化が選択された場合のみ利用できます。
[パスワード]
パスワードを基本認証に提出します
[設定]
[新しいパスワード]ウィンドウを開いてパスワードを設定します
パスワードが設定されると、パスワードを変更するため[新しいパスワード] ウィンドウが
開き、[設定]ボタンが[変更]ボタンに代わります。
この設定は基本認証を有効化が選択された場合のみ利用できます。
306
McAfee Web Gateway 7.2
製品ガイド
15
Web Hybrid
Web オブジェクトのフィルタリングの設定は McAfee Web Gateway と McAfee SaaS Web Protection Service
の間で同期できます。McAfee SaaS Web Protection Service は、「クラウド」Web セキュリティ向けの McAfee
製品です。両方の製品は連動して Web Hybrid セキュリティ ソリューションと及ばれます。
目次
Web Hybrid Security ソリューションの設定の同期
同期のための Web フィルタリングの設定
同期設定の構成
Web Hybrid 設定
Web Hybrid Security ソリューションの設定の同期
McAfee Web Gateway およびMcAfee SaaS 型 Web 保護サービス が共に Web Hybrid Security ソリューション
で連動する場合、Web フィルタリング設定は製品間で同期して、共通の Web セキュリティ ポリシーに対して許可
する必要があります。
McAfee Web Hybrid Security ソリューションは、企業ネットワーク内のシステムを操作するユーザーだけではな
く、家庭や移動中にシステムを操作するユーザーのための共通の Web セキュリティ ポリシーを強化することができ
ます。
この目的で、このソリューションは McAfee Web Gateway などの施設内の製品と McAfee SaaS 型 Web 保護サ
ービス などのクラウドベースの製品を組み合わせて使用します。
2 つの製品間の Web フィルタリング設定の同期は、両方の方法で機能します。McAfee Web Gateway の Web フ
ィルタリング設定に変更を適用すると、これらの変更は McAfee SaaS 型 Web 保護サービス にも適用されます。
同様に、McAfee SaaS 型 Web 保護サービス の管理者が製品に適用した変更は、McAfee Web Gateway にも適用
されます。
REST（Representational State Transfer）インターフェースとして知られる内部インターフェースはデータ転送を
扱います。
同期を有効にするためには、McAfee SaaS 型 Web 保護サービスへのアクセスを提供するポータルのホスト名や
IP アドレスなど、McAfee Web Gateway 側のいくつかの設定が必要です。
一元管理構成でノードとして複数の McAfee Web Gateway アプライアンスを管理する場合、構成のどのノードか
らでも同期を実行できます。
Web Hybrid Security ソリューションに関する詳細については、McAfee Web Hybrid Security ソリューショ
ン配備ガイドを参照してください。
McAfee Web Gateway 7.2
製品ガイド
307
15
Web Hybrid
同期のための Web フィルタリングの設定
同期のための Web フィルタリングの設定
種々のタイプの Web フィルタリング設定をMcAfee Web Gateway および McAfee SaaS 型 Web 保護サービス の
間で同期させることができます。
2 つの製品の間の同期のための Web フィルタリング設定には、以下が含まれます。
•
ポリシー設定 — ホスト名や URL カテゴリーなどの Web セキュリティ ポリシーのパラメーターを指定する設定
•
ユーザー グループ設定 — ユーザー グループを指定する設定
これらの設定を処理するさまざまな方法は、McAfee Web Gateway アプライアンスで実行できます。
同期のためのポリシー設定
特定のフィルタリング設定は、McAfee SaaS 型 Web 保護サービスで組み合わせられ、Web セキュリティ ポリシ
ーを作成します。以下のパラメーターの設定は、以下のとおりです。
•
ポリシーの名前
•
ブロックされている URL カテゴリー
•
ポリシーの説明
•
ホスト名ごとの信頼されている Web サイト
•
マルウェア対策フィルタリングの有効化/無効化
•
ホスト名ごとのブロックされている Web サイト
•
SafeSearchフィルタリングの有効化/無効化
•
IP アドレスごとの信頼されている Web サイト
•
URL カテゴリーの許可
•
IP アドレスごとのブロックされている Web サイト
これらのパラメーターは、McAfee Web Gateway と McAfee Saas 型 Web 保護サービスの両方で変更でき、変更
は 2 つの製品の間で同期されます。
同期のためのユーザー グループ設定
ユーザー グループ設定には、McAfee SaaS 型 Web 保護サービス上で特定の Web セキュリティー ポリシーが割り
当てられているユーザーのグループを含みます。
これらの設定は、McAfee SaaS 型 Web 保護サービスで変更できます。ユーザーをグループに追加するか、新しい
グループを作成できます。McAfee Web Gatewayでは、これらの設定は表示だけができ、変更されません。
しかし、McAfee SaaS 型 Web 保護サービス での変更は同期されるため、現在の設定は常にMcAfee Web
Gateway に表示できます。
同期設定の構成
McAfee Web Gateway アプライアンスと McAfee SaaS Web Protection Service の間の Web フィルタリング設
定の同期を有効にするには、適切な設定を構成する必要があります。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
同期設定を構成するアプライアンスを選択し、[Web Hybrid] をクリックします。
McAfee Web Gateway および McAfee SaaS Web Protection Service の間の同期の設定は、設定パネルに表
示されます。
308
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
Web Hybrid
Web Hybrid 設定
15
関連トピック:
309 ページの「Web Hybrid 設定 」
Web Hybrid 設定
Web Hybrid 設定はMcAfee Web Gateway および McAfee SaaS 型 Web 保護サービス の間で Web フィルタリ
ング設定を構成するために使用されます。
Web Hybrid 設定
Web フィルタリング設定を同期させるための設定
表 15-1 Web Hybrid 設定
オプション
定義
[SaaS アドレス]
McAfee SaaS 型 Web 保護サービス へのアクセスを提供するポータルの IP アドレス
またはホスト名
[SaaS 顧客 ID]
McAfee SaaS 型 Web 保護サービス を実行する顧客を識別します。
[SaaS 管理者アカウント
名]
McAfee SaaS 型 Web 保護サービス を管理する管理者のアカウントのユーザー名
ここで指定する名前は、顧客管理 のロールを割り当てられたMcAfee SaaS 型 Web 保
護サービス のユーザーの名前であることが必要です。
[SaaS 管理者アカウント
パスワード]
管理者アカウントのパスワードです。
[SaaS 管理者アカウント名] の下で指定されたMcAfee SaaS 型 Web 保護サービス の
ユーザーのパスワードです。
[設定]をクリックすると、新しいパスワードを設定するためのウィンドウが開きます。
[SaaS の同期を有効にす
る]
これが選択されると、McAfee Web Gateway の Web フィルタリング設定に変更を適
用すると、これらの変更は McAfee SaaS 型 Web 保護サービス にも適用されます。
[SaaS からの同期を有効
にする]
これが選択されると、McAfee SaaS 型 Web 保護サービス の Web フィルタリング設
定に変更を適用すると、これらの変更は McAfee Web Gateway にも適用されます。
[ローカル ポリシーの変更 これが選択されると、McAfee Web Gateway に適用したポリシー設定の変更は、直ち
が直ちに SaaS にアップロ に McAfee SaaS 型 Web 保護サービス にアップロードされます。
ードされる]
[ローカル ポリシーの変更 これが選択されると、McAfee Web Gateway に適用したポリシー設定の変更は、以下
は以下に定義した間隔と同 で設定した時間が経過した後で McAfee SaaS 型 Web 保護サービス にアップロード
じ時間内にアップロードさ されます。
れる]
時間間隔範囲に許可される値は、10 ～ 60 分間です。
時間間隔はスライダーのスケールに設定されます。
Web Hybrid アクション
Web フィルタリング設定の同期を実行するためのオプション
表 15-2 Web Hybrid 設定
オプション
定義
[SaaS への同期]
これが選択されると、McAfee Web Gateway の Web フィルタリング設定の McAfee
SaaS 型 Web 保護サービス の対応設定との即時同期が実行されます。
[SaaS からの同期] これが選択されると、McAfee SaaS 型 Web 保護サービス の Web フィルタリング設定の
McAfee Web Gateway の対応設定との即時同期が実行されます。
McAfee Web Gateway 7.2
製品ガイド
309
15
Web Hybrid
Web Hybrid 設定
310
McAfee Web Gateway 7.2
製品ガイド
16
REST インターフェース
アプライアンスの標準インターフェースにログオンすることなく、アプライアンスを管理することを可能にするイン
ターフェースが提供されています。この代わりのインターフェースは、REST（）インターフェースとして知られてい
ます。
REST インターフェースを使用して、さまざまな種類のアクティビティを特定のアプライアンス、またはそれに接続
されている他のアプライアンスに実行できます。
•
アクション — アプライアンスをシャットダウン、再起動、キャッシュを消去、構成バックアップを作成、および
さまざまな他のアクティビティを実行します
•
ファイル処理 — ダウンロード、変更、削除、およびその他のアクティビティを実行するために、システムにアク
セス、ログ、およびファイルのトラブルシューティングします
•
リスト処理 — 追加、変更、削除、およびその他のアクティビティを実行するために、システムにアクセス、ロ
グ、およびファイルをトラブルシューティングします
これらのアクティビティを実行する通常の方法は、適切なスクリプトに実行させることです。
目次
REST インターフェースの使用の準備
REST インターフェースの操作
REST インターフェースを操作するためのサンプル スクリプト
REST インターフェースの使用の準備
ユーザーが REST インターフェースを操作できるようにするには、アプライアンスの標準ユーザー インターフェー
スで REST インターフェースを有効にし、アクセスを許可する必要があります。
タスク
•
312 ページの「インターフェースの使用の有効化 」
アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェー
スの使用を有効化できます。
•
312 ページの「インターフェースにアクセスする権限を与える 」
インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限
を追加する必要があります。
McAfee Web Gateway 7.2
製品ガイド
311
16
REST インターフェース
REST インターフェースの操作
インターフェースの使用の有効化
アプライアンス上でアプライアンスの管理アクティビティを完了させるために、REST インターフェースの使用を有
効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、REST インターフェースを使用して管理するアプライアンスを選択して、[ユーザー
インタフェース]をクリックします。
3
[UI アクセス]で、必要に応じて、[HTTP 経由の REST インターフェースの有効化]または[HTTPS 経由の
REST インターフェースの有効化]を選択します。
4
[変更の保存]をクリックします。
インターフェースにアクセスする権限を与える
インターフェースで作業する者のために、管理者ロールに REST インターフェースにアクセスする権限を追加する必
要があります。
タスク
1
[アカウント] 、 [管理者アカウント]を選択します。
2
[ロール領域]で管理者ロールを選択して、[編集]をクリックします。
[ロールの編集]ウィンドウが開きます。
3
[REST インタフェースがアクセス可能]を選択します。
4
[OK]をクリックしてウィンドウを閉じます。
5
[変更の保存]をクリックします。
これで、管理者ロールを適切なユーザーに割り当てることができます。
既存のロールにアクセス権限を追加する代わりに、この権限を持つ新しいロールを作成して、それを名前を付けるこ
とも可能です。例: REST Admin。
REST インターフェースの操作
REST インターフェースを操作する際には、1 つまたは複数のアプライアンスでアクティビティを実行するために、
HTTP または HTTPS の要求を送信することを目的として REST インターフェースを使用します。
直ちに処理される個々の要求を送信したり、bash スクリプトなどのスクリプト内で要求を使用したりすることがで
きます。後者は、一般的な使用法です。
要求は、この要求を処理して応答を送信するためのサーバーを提供するアプライアンスのクライアントを使用して、
REST インターフェースに送信されます。このサーバーでは特定の作業領域が割り当てられるため、一部のタイプの
変更を適用するには、変更を確定するための要求を送信して、この変更が有効になるようにする必要があります。
1 つのアプライアンスで REST インターフェースにログオンする際には、認証が行われ、セッション ID が提供され
ます。すると、アプライアンスでアクションを実行したり、ファイルやリストを操作したりするために、HTTP また
は HTTPS の要求を送信できます。さらに、集中管理構成でノードとして接続されているその他のアプライアンス
（最
初にログオンしたアプライアンス以外）でも、同じことを実行できます。
REST インターフェースは、ATOM 形式とも呼ばれる特定の形式で提供されます。
312
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースの操作
16
インターフェース サーバーと通信するためのクライアントとして、curl（Client for URLs）などのデータ転送ツール
を使用することができます。
要求を送信するためのサンプル スクリプト
curl を使用して REST インターフェースに要求を送信する bash スクリプトの例は、次のとおりです。要求の目的
は、構成バックアップを作成することです。
このスクリプトは、基本的に以下を実行します。
•
アプライアンスで REST インターフェースへのログオンと認証を行う
•
バックアップ ファイルを作成するための要求を送信する
•
再度ログオフする
また、このスクリプトは、REST インターフェースにログオンするための要求内で指定された URL に対する変数を
使用します。この変数は、先頭で設定されます。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Create backup file
curl -b cookies.txt -X POST "$REST/backup" -o filename.backup
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
データ転送ツールとしての curl の使用
アプライアンスで REST インターフェースに要求を送信するために、データ転送ツールとして curl を使用すること
ができます。
curl を使用して送信される要求は、curl コマンド、1 つまたは複数のオプション、および 1 つの URL という 3 つ
の部分で通常は構成されます。
たとえば、次のバックアップ要求が送信されたとします。
curl -b cookies.txt -X POST "$REST/backup" -o filename.backup
ここで、curl コマンドは、テキスト ファイル内に収集された cookie を送信するための -b オプション、および別の
ファイルに要求の出力を保存する -o オプションとともに指定されています。-X オプションは、要求メソッドに対す
るものです。
URL は、IP アドレス、ポート番号、およびアプライアンスで REST インターフェースにアクセスするために必要な
その他の情報を値として持つ変数として指定されます。この後には、実行する必要のあるアクティビティの名前が続
きます。
これらと、curl の他のオプションを、適切な URL とともに使用することにより、必要に応じてアクティビティを実
行するために、アプライアンスで REST インターフェースに要求を送信できます。
curl データ転送ツールは、Linux およびその他の UNIX オペレーティング システムで利用可能です。詳細は、
curl マン ページなどで説明されています。
McAfee Web Gateway 7.2
製品ガイド
313
16
REST インターフェース
REST インターフェースの操作
要求メソッド
要求メソッドは、-X オプションによって curl で指定されます。アプライアンスで REST インターフェースを操作す
る際には、GET、POST、PUT、および DELETE という方法を使用することができます。例は次のとおりです。
curl -X POST <URL>
要求メソッドが指定されていない場合は、デフォルトのメソッドとして GET が使用されます。
ヘッダー
要求とともにヘッダーが送信される場合は、-H オプションによって指定されます。例は次のとおりです。
curl -H <ヘッダー名>:<ヘッダー値> -X POST <URL>
-Hオプション文字を各ヘッダーの前で繰り返すことにより、1 つの要求内で複数のヘッダーを送信できます。
curl -H <ヘッダー名 1>:<ヘッダー値 1> -H <ヘッダー名 2>:<ヘッダー 2> <...>-X POST <URL>
要求には、application/atom+xml を値として持つ Accept ヘッダーが通常は含まれています。curl では、
REST インターフェースで受け入れられる Accept: */* がデフォルトとして送信されるため、多くの場合はこのヘ
ッダーを省略してもかまいません。
ただし、要求の本文内にあるデータを送信する場合は、application/atom+xml を値として持つ
Content-Type ヘッダーを含める必要があります。その後、Content-Length ヘッダーを含めて正しく設定する
必要もあります。後者については、デフォルトによって curl で行われるため、このツールを使用する場合には明示
的に行う必要はありません。
要求時に取得する応答のヘッダーを出力に含める場合は、-i オプションを挿入する必要があります。
curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
-v オプションは、詳細出力を作成します。つまり、要求ヘッダーも含まれるようになります。
URL
要求内の URL は、プロトコル
（REST インターフェースとの通信において HTTP または HTTPS）、IP アドレスまた
はホスト名と、要求が送信される先のアプライアンスのポート番号、および REST インターフェースへのアプライア
ンスの内部パスを指定します。
この後には、実行する必要のあるアクティビティの名前と、存在する場合はさらなるパラメーターが続きます。
REST インターフェースはアプライアンスのコンフィギュレーター サブシステム内にあるため、このサブシステムの
内部名である Konfigurator が URL 内に現れます。
たとえば、ログイン要求内の URL は、次のようになります。
curl -X POST "HTTP://localhost:4711/Konfigurator/REST/login?userName=myusername
&pass=mypassword
この要求では、ログオン認証情報に対するクエリ パラメーターも URL 内にあります。クエリ パラメーターは、ここ
に表示されているとおり、?
（疑問符）によって導入され、&（アンパサンド）によって区切られます。また、URL
は、;（セミコロン）によって導入されるマトリックス パラメーターを持つこともできます。
URL エンコードが正しくなるように、URL 内のスペースは %20 記号で埋める必要があります。たとえば、Bob
Smith は Bob%20Smith にします。
コードの書き込みと読み取りを容易にするために、URL 内では変数を使用できます。たとえば、$REST 変数を適宜
設定した場合、上記の要求は次のようになります。
314
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースの操作
16
curl -X POST "$REST/login?userName=myusername&pass=mypassword
要求本文内のデータの送信
要求の本文内にあるデータを送信するには、そのデータを含んでいるファイルの名前の前で -d オプションを使用し
ます。
curl -b cookies.txt -X POST -d "file.txt" "$REST/list?name=newlist&type=string"
バイナリ データのみを送信する場合に使用するオプションは、--data-binary です。
curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H
"Content-Type:text/plain; charset=UTF-8"
ファイル名を指定するためのオプション名の後には、@ 記号を使用できます。
関連トピック:
327 ページの「REST インターフェースを操作するためのサンプル スクリプト 」
インターフェースへの認証
REST インターフェースを使用して、アプライアンスのアクティビティを実行する前に、認証する必要があります。
認証するには、REST インターフェースに送信するログオン リクエストでユーザー名とパスワードを提出します。
それらを提出するには、以下の 2 つの方法があります。
•
クエリ パラメーターの使用
•
認証ヘッダーの使用
認証に成功した後、応答には後に続くそれぞれのリクエストに含む必要のある、セッション ID が含まれます。
認証のためにクエリ パラメーターを使用する
ログオン リクエストで URL に追加するクエリ パラメーターで認証情報を提出できます。
curl -i -X POST "$REST/login?userName=myusername&pass=mypassword"
認証ヘッダーの使用
また、認証するために基本アクセス認証方法を使用することも可能で、それは認証情報を認証ヘッダーに提出するこ
とを必要とします。
curl -i -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/login
認証ヘッダーで、認証: 基本 の後の文字列が、ユーザー名とパスワードの Base64 エンコード形式です。
セッション ID
セッション ID は、ログオン リクエストへの応答で送信されます。セッション ID は、たとえば、以下のように見え
ます。
D0EFF1F50909466159728F28465CF763
それは、次のいずれかに含まれます。応答本文:
<entryxmlns="http://www.w3.org/2005/
Atom"><contenttype="text">D0EFF1F50909466159728F28465CF763</content></entry>
McAfee Web Gateway 7.2
製品ガイド
315
16
REST インターフェース
REST インターフェースの操作
Set-Cookie ヘッダー:
Set-Cookie:JSESSIONID=D0EFF1F50909466159728F28465CF763
ログオン リクエストの後に続くセッションのリクエストでは、セッション ID を JSESSIONID として含める必要が
あります。
より簡単にコードを書いたり読んだりするために、変数を ID の値に設定し、それを ID を含めるために使用するこ
とが可能です。
export SESSIONID=D0EFF1F50909466159728F28465CF763
ID の前にセミコロンを付けたして、それをマトリックス パラメーターとして URL に付与することができます。
curl -i "$REST/appliances;jsessionid=$SESSIONID"
あるいは、ID を Cookie ヘッダー内で ID を送信できます。
curl -i -H "Cookie:JSESSIONID=$SESSIONID" "$REST/appliances"
curl のオプション -c は、テキストファイルですべての Cookie を収集することを可能にし、それはその後に後続の
リクエストとともに送信されます。
curl -i -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
Cookie ファイルをリクエストとともに送信するには、オプション -b が使用されます。
curl -i -b cookies.txt "$REST/appliances"
リソースの要求
システム ファイル、ログ ファイル、リスト、およびその他の項目に関して REST インターフェースに送信された要
求は、リソースの要求と見なされます。
リソースの要求に対する応答は、以下のいずれかに設定できます。
•
エントリ — エントリは、個々のリソースに関する情報（リソースにアクセスするために使用できる ID、名前、
URL など）を xml 形式で配信します。
•
フィード － フィードは、リソースの集合に関する情報を xml 形式で配信します。
フィードの例には、集中管理構成でノードとして利用可能なアプライアンスのリスト、アプライアンスに存在す
るすべてのリストのリスト、または特定のタイプのすべてのリストのリストが含まれます。
•
バイナリ データ — バイナリ データは、ダウンロードを要求したファイル内に配信されます。
要求されたデータが利用可能でない場合は、応答を空にすることもできます。
xml データのオーバーヘッドの削減
応答で受信する xml データのオーバーヘッドは、適切な Accept ヘッダーをリソースの要求に含めることによって
削減できます。この目的のため、ヘッダー値は application/mwg+xml にする必要があります。
通常の Atom 形式のエントリの代わりに、xml データのみをその形式のコンテンツ部分から受信します。
Atom 形式のフィードの代わりに、ID のリストのみを要求したリソースに対して受信します。
同様に、リソースを操作する際（リソースを変更する場合など）にも xml データのオーバーヘッドを削減できます。
このためには、Content-Type ヘッダーを application/mwg+xml に設定する必要があります。
316
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースの操作
16
フィードのページング
フィードを要求する際に、ページングを使用することができます。つまり、複数のページに分割されるフィードを要
求することが可能です。
ページング情報は、URL に追加されるクエリ パラメーターによって要求内で指定されます。使用できるパラメータ
ーには、以下の 2 つがあります。
•
PageSize — 1 ページの最大要素数
•
Page — ページ番号
ページングを使用するフィードの要求は、次のようになります。
curl -i -b cookies.txt "$REST/list?pageSize=10&page=4"
たとえば、フィードが 35 リストのリストである場合、上記の要求内の pageSize パラメーターはフィードを 4 ペ
ージに分割し、そのうちの 3 ページにはそれぞれ 10 リスト、最後の 1 つには 5 リストのみが含まれます。また、
最後のページが配信される対象です。
フィード内での移動
フィード内での移動を可能にするため、受信する xml ファイルには適切なリンクが含まれています。
これらのリンクを使用すると、現在、次、前、最初、および最後のページにそれぞれ移動できます。
基本アクティビティの実行
REST インターフェースを操作する際には、ログオン、ログオフ、変更の確定、構成バックアップの作成など、複数
の基本アクティビティを作業環境内で実行できます。
POST 要求メソッドは、これらのアクティビティすべてを実行するために使用されます。特定のアクティビティは、
要求の URL に追加されるパラメーターによって指定されます。
たとえば、アプライアンスで REST インターフェースからログオフするための要求は、次のとおりです。
curl -i -b cookies.txt -X POST "$REST/logout"
基本アクティビティに対するパラメーターは、以下のとおりです。
•
login — ログオンします
•
discard — 変更を破棄します
•
logout — ログオフします
•
backup — 構成をバックアップします
•
heartbeat — セッションをキープアライブ（維持）します
•
restore — 構成を復元します
•
commit — 変更を確定します
これらのアクティビティの実行以外にも、REST インターフェースのバージョンに関する情報、および現在作業して
いるアプライアンスの標準ユーザー インターフェースのバージョンに関する情報も要求することができます。
ログオン
アプライアンスで REST インターフェースにログオンするには、login パラメーターが要求内で使用されます。この
要求内では、認証用の情報も入力します。例は次のとおりです。
curl -i -X POST "$REST/login?userName=myusername&pass=mypassword"
認証が正常に実行されると、ログオン要求に対する応答によってセッション ID が提供されます。
ログオフ
アプライアンスで REST インターフェースからログオフするには、logout パラメーターが使用されます。
McAfee Web Gateway 7.2
製品ガイド
317
16
REST インターフェース
REST インターフェースの操作
curl -i -b cookies.txt -X POST "$REST/logout"
ログオフすると、セッション情報が削除され、必要な確定が行われていないセッション中の変更は破棄されます。
セッションのキープアライブ
要求内で heartbeat パラメーターを使用すると、現在作業しているセッションが維持されます。
curl -i -b cookies.txt -X POST "$REST/heartbeat"
変更の確定
アプライアンスで項目（システム ファイル、ログ ファイル、リストなど）に対して行った変更を確定するには、
commit パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/commit"
変更の破棄
アプライアンスで項目（システム ファイル、ログ ファイル、リストなど）に対して行った変更を破棄するには、
discard パラメーターが使用されます。
curl -i -b cookies.txt -X POST "$REST/discard"
構成のバックアップ
現在作業しているアプライアンスに対して構成バックアップを作成するには、backiup パラメーターが使用されま
す。
curl -b cookies.txt -X POST "$REST/backup -o filename.backup"
構成をバックアップまたは復元する際には、出力の一部として応答ヘッダーは必要ないため、要求内に -i オプショ
ンを含めなくてもかまいません。
構成の復元
現在作業しているアプライアンスの構成を復元するには、restore パラメーターが使用されます。また、バックアッ
プ ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。
curl -b cookies.txt --data-binary @filename.backup -X POST "$REST/restore" -H
"Content-Type:text/plain;charset=UTF-8"
バージョン情報の要求
REST インターフェースのバージョンに関する情報や、現在作業しているアプライアンスの標準ユーザー インターフ
ェースのバージョンに関する情報を要求するには、version パラメーターを使用できます。
このパラメーターを要求内で単独使用すると、両方のインターフェースのバージョンを含むフィードが xml 形式で
取得されます。
curl -i -b cookies.txt -X GET "$REST/version"
また、いずれかのインターフェースに対するバージョン情報のみを取得することもできます。REST インターフェー
スに対しては、次の要求を送信できます。
curl -i -b cookies.txt -X GET "$REST/version/mwg-rest"
標準ユーザー インターフェースに対しては、次の要求を送信できます。
curl -i -b cookies.txt -X GET "$REST/version/mwg-ui"
318
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースの操作
16
関連トピック:
327 ページの「REST インターフェースを操作するためのサンプル スクリプト 」
個々のアプライアンスでの作業
1 つのアプライアンスで REST インターフェースにログオンした後、接続されているその他のアプライアンスでアク
ティビティを実行することができます。個々のアプライアンスは、その UUID によって要求内で識別されます。
個々のアプライアンスの UUID
（ユニバーサル固有識別子）を調べるには、集中管理構成でノードとして接続されて
いるすべてのアプライアンスのフィードを、現在作業しているアプライアンスに要求できます。
フィードには、すべてのノードに対する UUID のリストが含まれます。UUID は次のようになります。
081EEDBC-7978-4611-9B96-CB388EEFC4BC
フィードを取得するために、GET 要求が送信されます（appliances パラメーターが URL に追加された状態で）。
curl -i -b cookies.txt -X GET "$REST/appliances"
これで、個々のアプライアンスを UUID によって識別し、たとえば、action パラメーターと shutdown アクショ
ン名が追加された POST 要求を使用してこのアプライアンスをシャットダウンできます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown"
適切なスクリプトを実行するなどして、フィードによって UUID が配信された個々のアプライアンスすべてで、この
アクションまたはその他のアクティビティを繰り返すことが可能です。
アクション
REST インターフェースを操作する際のアクションとは、要求内の action パラメーターに先行するアクティビティ
です。リソースの変更を伴わず、アクションは直ちに実行され、確定するための要求は必要ありません。
アクション名は以下のとおりです。
•
restart — アプライアンスを再起動しま
す
•
rotateLogs — ログ ファイルのローテーションを行いま
す
•
shutdown — アプライアンスをシャッ
トダウンします
•
rotateAndPushLogs — ログ ファイルのローテーショ
ンとプッシュを行います
•
flushcache — キャッシュをフラッシュ
します
•
license — ライセンスをインポートします
アプライアンスの再起動
アプライアンスを再起動するには、要求内のアクション名として restart が使用されます。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/action/restart"
アプライアンスのシャットダウン
アプライアンスをシャットダウンするには、アクション名として shutdown が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/shutdown"
キャッシュのフラッシュ
アプライアンスでキャッシュをフラッシュするには、アクション名として flushcache が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/flushcache"
McAfee Web Gateway 7.2
製品ガイド
319
16
REST インターフェース
REST インターフェースの操作
ログ ファイルのローテーション
アプライアンスでログ ファイルのローテーションを行うには、アクション名として rotateLogs が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/<UUID>/action/rotateLogs"
ログ ファイルのローテーションとプッシュ
アプライアンスでログ ファイルのローテーションとプッシュを行うには、アクション名として
rotateAndPushLogs が使用されます。
curl -i -b cookies.txt -X POST "$REST/appliances/" <UUID>/action/rotateAndPushLogs"
ライセンスのインポート
アプライアンスでライセンスをインポートするには、アクション名として license が使用されます。また、ライセ
ンス ファイルのタイプに対して Content-Type ヘッダーを指定する必要もあります。
curl -i -b cookies.txt -H "Content-Type:text/plain; charset=UTF-8" -X POST "$REST/
appliances/ <UUID>/action/license" --data-binary @license.xml
ファイルとリストの操作
システム ファイル、ログ ファイル、トラブルシューティング用にアップロードされたファイル、およびリストを操
作する際には、action パラメーターの代わりに、system、log、files、および list といったパラメーターが要求
内で使用されます。
システム ファイルおよびリストに対して行われた変更は、適切な要求を送信することによって確定される必要があり
ます。
関連トピック:
320 ページの「システム ファイルの操作 」
321 ページの「ログ ファイルの操作 」
322 ページの「トラブルシューティング用にアップロードされたファイルの操作 」
323 ページの「リストの操作 」
327 ページの「REST インターフェースを操作するためのサンプル スクリプト 」
システム ファイルの操作
アプライアンスでシステム ファイルを操作するために、REST インターフェースを使用することができます。
不適切な方法でシステム ファイルを移動すると、正常に動作しているアプライアンスに影響を与える可能性がありま
す。
特定のアプライアンスでシステム ファイル（/etc/hosts ファイルなど）にアクセスするための要求内では、UUID
を使用してアプライアンスを識別し、system パラメーターを URL に追加します。
システム ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接ア
クセスすることができます。
それ以外の場合は、アプライアンスに存在するシステム ファイルのリストを配信するフィードを要求できます。例は
次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/system"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
システム ファイルに関しては、以下を実行できます。
320
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースの操作
•
システム ファイルのダウンロード
•
システム ファイルの変更
16
アプライアンスのログ ファイルやその他のファイルとは異なり、システム ファイルに対して行った変更を確定する
ための要求を別途に送信する必要があります。
FIPS 対応モードでアプライアンスを実行している場合は、システム ファイルを変更できません。
システム ファイルのダウンロード
システム ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、
このシステム ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID> /system/etc/hosts" -O
-O オプションは、データをローカル ファイル（名前は、データをダウンロードしたアプライアンスで指定されてい
るものと同じ）内に保存します。
システム ファイルの変更
システム ファイルを変更する際には、Content-Type ヘッダーを設定し、このシステム ファイルのパスと名前を
URL に追加します。また、ファイルは、このシステム ファイルを変更するためのバイナリ形式データを含む要求本
文として提供します。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/system/
etc/hosts" --data-binary @binary.zip
ログ ファイルの操作
アプライアンスでログ ファイルを操作するために、REST インターフェースを使用することができます。
特定のアプライアンスでログ ファイルにアクセスするための要求内では、UUID を使用してアプライアンスを識別
し、log パラメーターを URL に追加します。
ログ ファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイルに直接アクセ
スすることができます。
それ以外の場合は、アプライアンスのルート ログ ディレクトリに保存されているファイルとディレクトリのリスト
を配信するフィードを要求できます。例は次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/log"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
応答のフィードとして受信する xml ファイルは、MIME タイプの情報を提供し、個々のログ ファイルであるのか、
またはディレクトリであるのかを、フィード内の各要素に対して示します。
•
"application/x-download" — 個々のログ ファイルの場合
•
"application/atom+xml; type=feed" — ディレクトリの場合
たとえば、ルート ログ ディレクトリに個々のログ ファイル debug_1234.log が含まれていることを示す xml フ
ァイルは、次のようになります。
<link href="http://localhost:4711/Konfigurator/REST/appliances/
081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/debug_1234.log" rel="self"
type="application/x-download"/>
また、ディレクトリ connection_tracing が含まれていることは、次のように示されます。
McAfee Web Gateway 7.2
製品ガイド
321
16
REST インターフェース
REST インターフェースの操作
<link href="http://localhost:4711/Konfigurator/REST/appliances/
081EEDBC-7978-4611-9B96-CB388EEFC4BC/log/debug/connection_tracing" rel="self"
type="application/atom+xml; type=feed"/>
個々のログ ファイルに関しては、以下を実行できます。
•
ログ ファイルのダウンロード
•
ログ ファイルの削除
ログ ファイルのダウンロード
ログ ファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダーを指定し、この
ログ ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID> /log/debug/debug_1234.log" -O
-O オプションは、ログ ファイル データをローカル ファイル
（名前は、データをダウンロードしたアプライアンスで
指定されているものと同じ）内に保存します。
ログ ファイルの削除
ログ ファイルを削除する際には、このログ ファイルのパスと名前を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/log/debug/debug_1234.log"
トラブルシューティング用にアップロードされたファイルの操作
アプライアンスでトラブルシューティングを目的としてアップロードされたファイルを操作するために、REST イン
ターフェースを使用することができます。
アプライアンスの標準ユーザー インターフェースでは、
［トラブルシューティング］トップレベル メニューからアク
セスできる［ファイル］の下に、トラブルシューティングを目的としてファイルをアップロードできます。
特定のアプライアンスでアップロードされたファイルの 1 つにアクセスするための要求内では、UUID を使用してア
プライアンスを識別し、files パラメーターを URL に追加します。
アップロードされたファイルへのパスとファイル名がわかっている場合は、これらの情報を要求内に含めて、ファイ
ルに直接アクセスすることができます。
それ以外の場合は、これらのファイルのリストを配信するフィードを要求できます。例は次のとおりです。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/files"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することもできます。
アップロードされたファイルに関しては、以下を実行できます。
•
アップロードされたファイルのダウンロード
•
アップロードされたファイルへのファイルの追加
•
アップロードされたファイルの変更
•
アップロードされたファイルの削除
アップロードされたファイルのダウンロード
アップロードされたファイルをダウンロードする際には、要求内で application/x-download Accept ヘッダー
を指定し、このファイルの名前を URL に追加します。
322
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースの操作
16
curl -i -b cookies.txt -H "Accept:application/x-download" -X GET "$REST/appliances/
<UUID>/files/troubleshooting.zip" -O
-O オプションは、ダウンロードされたデータをローカル ファイル（名前は、データをダウンロードしたアプライア
ンスで指定されているものと同じ）内に保存します。
アップロードされたファイルへのファイルの追加
アップロードされたファイルに別のファイルを追加する際には、Content-Type ヘッダーを設定し、追加するファイ
ルの名前を URL に追加します。また、バイナリ形式のデータを含むこのファイルは、要求本文として提供します。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/
moretroubleshooting.zip" --data-binary @moretroubleshooting.zip
コンテンツ タイプが application/x-www-form-urlencoded でないことを確認してください。これは、curl
ツールによってヘッダーがこの値に設定されるためです。
アップロードされたファイルの変更
アップロードされたファイルを変更する際には、Content-Type ヘッダーを設定し、このファイルの名前を URL に
追加します。また、ファイルは、このファイルを変更するためのバイナリ形式データを含む要求本文として提供しま
す。
curl -i -b cookies.txt -H "Content-Type:*/*" -X PUT "$REST/appliances/<UUID>/files/
troubleshooting.zip" --data-binary @binary.zip
アップロードされたファイルの削除
アップロードされたファイルを削除する際には、このファイルの名前を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/appliances/ <UUID>/files/troubleshooting.zip"
リストの操作
アプライアンスでリストとリスト エントリを操作するために、REST インターフェースを使用することができます。
リストにアクセスするための要求内では、list パラメーターを URL に追加します。
アプライアンスで利用可能なすべてのリストのリストを配信するフィードに対する要求は、次のようになります。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/list"
その他のフィード要求と同様に、ページングに対するクエリ パラメーターを URL に追加することができます。これ
以外に、ファイルの名前とタイプに対するクエリ パラメーターを追加することもできます。
次の要求は、利用可能な文字列リストのフィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/list?type=string"
次の要求は、Default という名前を持つすべてのリストのフィードを取得します。
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/list?name=Default"
要求に応答するフィードとして受信する xml ファイルは、各リストに対してリスト ID を提供します。この ID は、
アクセスするリストを識別するために使用できます。リスト ID は次のようになります。
com.scur.type.regex.11347
リスト ID は、特定のリストのエントリのフィードに対する要求内で、entry パラメーターとともに使用することも
できます。次の要求は、リスト エントリ フィードを取得します。
McAfee Web Gateway 7.2
製品ガイド
323
16
REST インターフェース
REST インターフェースの操作
curl -i -b cookies.txt -X GET "$REST/appliances/<UUID>/list/<リスト ID>/entry"
要求に応答するフィードとして受信する xml ファイルは、各エントリに対して位置を識別するための番号を提供し
ます。この位置は、アクセスするエントリを識別するために使用できます。
リストに関しては、以下を実行できます。
•
コンテンツを含むリストの追加
•
リストの取得
•
コンテンツ内に名前とタイプを含むリストの追加
•
リストの変更
•
空のリストの追加
•
リストのコピー
•
リストの削除
リスト エントリに関しては、以下を実行できます。
•
リスト エントリの取得
•
リスト エントリの移動
•
リスト エントリの削除
•
リスト エントリの挿入
•
リスト エントリの変更
コンテンツを含むリストの追加
コンテンツを含むリストを追加する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式
のファイルを要求本文として提供します。また、URL のクエリ パラメーターを使用して、リストの名前をタイプを
指定します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d
@listwithcontent.xml "$REST/list?name=newlist&type=category"
この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。
要求とともに送信する xml ファイルは、次のようになります。
<entry>
<content type=“application/xml”>
<list>
<description/>
<content>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.195</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.140</entry>
<description/>
</listEntry>
324
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースの操作
16
</content>
</list>
</content>
</entry>
コンテンツ内に名前とタイプを含むリストの追加
コンテンツ内に名前とタイプが含まれているリストを追加する際には、Content-Type ヘッダーを指定し、-d オプ
ションを使用して xml 形式のファイルを要求本文として提供します。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d
@nameandtypeinside.xml" "$REST/list"
この要求への応答には、xml 形式の新しいリストが要求本文として含まれます。
要求とともに送信する xml ファイルは、次のようになります。
<entry>
<content type=“application/xml”>
<list name=“Lifestyle” typeId=“com.scur.type.category”>
<description/>
<content>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.195</entry>
<description/>
</listEntry>
<listEntry>
<entry>com.scur.category.140</entry>
<description/>
</listEntry>
</content>
</list>
</content>
</entry>
空のリストの追加
空のリストを追加する際には、URL のクエリ パラメーターを使用して、リストの名前をタイプを指定します。
curl -i -b cookies.txt -X POST "$REST/list?name=newlist&type=category"
この要求への応答には、xml 形式の空のリストが要求本文として含まれます。
McAfee Web Gateway 7.2
製品ガイド
325
16
REST インターフェース
REST インターフェースの操作
リストの取得
コンテンツを含むリストを取得する際には、そのリスト ID を URL に追加します。
curl -i -b cookies.txt -X GET "$REST/list/ <リスト ID>"
この要求への応答には、xml 形式の該当リストが要求本文として含まれます。これは、新しいリストが追加された場
合と同じ構造を持ちます。
リストの削除
リストを削除する際には、そのリスト ID を URL に追加します。
curl -i -b cookies.txt -X DELETE "$REST/list/ <リスト ID>"
リストの変更
リストを変更する際には、変更されたコンテンツでそのリストを置換します。Content-Type ヘッダーを指定
し、-d オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。また、リスト ID も
URL に追加します。
変更されたコンテンツの構造は、コンテンツ内に名前とタイプを含めずにリストのコンテンツが追加された場合と同
じです。
curl -i -b cookies.txt -H "Content-Type:application/xml" -X POST -d @modifiedlist.xml
"$REST/list/<リスト ID>"
この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。
リストのコピー
リストをコピーする際には、コピーするリストの ID を URL に追加します。また、copy パラメーターと、コピー
されるリストが持つべき名前に対するクエリ パラメーターも追加します。
curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/copy/?newname"
この要求への応答には、xml 形式の変更済みリストが要求本文として含まれます。
リスト エントリの取得
リスト エントリを取得する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し
ます。
curl -i -b cookies.txt -X GET "$REST/list/<リスト ID>/entry/3"
この要求への応答には、xml 形式のエントリが要求本文として含まれます。
リスト エントリの削除
リスト エントリを削除する際には、リスト ID、entry パラメーター、およびそのエントリの位置を URL に追加し
ます。
curl -i -b cookies.txt -X DELETE "$REST/list/<リスト ID>/entry/4"
リスト エントリの変更
リスト エントリを変更する際には、変更されたコンテンツでそのリスト エントリを置換します。Content-Type ヘ
ッダーを指定し、-d オプションを使用して xml 形式の変更済みコンテンツを要求本文として提供します。
また、リスト ID、entry パラメーター、およびそのエントリの位置も URL に追加します。
326
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
16
curl -i -b cookies.txt -H "Content-Type:application/xml" -X PUT -d @modifiedentry.xml
"$REST/list/<リスト ID>/entry/2"
この要求への応答には、xml 形式の変更済みエントリが要求本文として含まれます。
要求とともに送信する変更済みコンテンツは、次のようになります。
<entry xmlns=“http://www.w3org/2011/Atom”>
<content type=“application/xml”>
<listEntry>
<entry>com.scur.category.192</entry>
<description/>
</listEntry>
</content>
</entry>
リスト エントリの移動
リスト エントリを移動する際には、リスト ID、entry パラメーター、およびそのエントリの元の位置を URL に追
加します。また、move、newpos クエリ パラメーター、およびそのエントリの新しい位置も追加します。
curl -i -b cookies.txt -X POST "$REST/list/<リスト ID>/entry/4/move?newpos=3"
この要求への応答には、xml 形式のエントリ（新しい位置）が要求本文として含まれます。
リスト エントリの挿入
リスト エントリを挿入する際には、Content-Type ヘッダーを指定し、-d オプションを使用して xml 形式のエント
リを要求本文として提供します。
また、リスト ID、entry パラメーター、そのエントリを挿入する位置、および insert パラメーターも URL に追
加します。
curl -i -b cookies.txt -H "Content-Type:application/xml -X POST -d @newentry.xml "$REST/
list/<リスト ID>/entry/2/insert"
この要求への応答には、xml 形式の挿入済みエントリが要求本文として含まれます。
REST インターフェースを操作するためのサンプル スクリプト
REST インターフェースを操作する際には、インターフェースに要求を送信するために適切なスクリプトを使用する
ことができます。
以下のスクリプトは、データ転送ツールとして curl を使用する bash スクリプトです。これらは、以下のアクティ
ビティを完了します。
•
アクションの実行
•
ログ ファイルのダウンロード
•
構成バックアップの作成
•
バックアップからの構成の復元
McAfee Web Gateway 7.2
製品ガイド
327
16
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
アクションの実行
次の bash スクリプトは、複数のアプライアンスのそれぞれで特定のアクションを実行します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://10.149.112.48:4711/Konfigurator/REST"
# Set action variable
action="flushcache"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Write appliances feed to appliancesxml variable
appliancesxml=`curl -b cookies.txt "$REST/appliances"`
## Retrieve UUIDs from appliancesxml variable using xpath
uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"``
## Perform action on all appliances, identifying them by their UUIDs
echo $uuids
for uuid in $uuids
do
echo Sending $action to $uuid
curl -b cookies.txt -X POST "$REST/appliances/$uuid/action/$action"
done
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
ログ ファイルのダウンロード
次の bash スクリプトは、複数のアプライアンスのそれぞれから特定のログ ファイルをダウンロードします。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://10.149.112.48:4711/Konfigurator/REST"
# Set log file variable
auditlog="/audit/audit.log"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Write appliances feed to appliancesxml variable
appliancesxml=`curl -b cookies.txt "$REST/appliances"`
## Retrieve UUIDs from appliancesxml variable using xpath
uuids=`echo $appliancesxml|xpath -e "/feed/entry/id/text()"`
## Retrieve log file from all appliances, identifying them by their UUIDs
echo $uuids
for uuid in $uuids
328
McAfee Web Gateway 7.2
製品ガイド
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
16
do
echo Downloading $auditlog from $uuid
curl -b cookies.txt -H "Accept:application/x-download" -X POST "$REST/appliances/
$uuid/log/$auditlog" -o audit$uuid.log
done
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
構成バックアップの作成
次の bash スクリプトは、1 つのアプライアンスで構成バックアップを作成します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Create backup file
curl -b cookies.txt -X POST "$REST/backup" -o file.backup
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
構成の復元
次の bash スクリプトは、1 つのアプライアンスでバックアップ ファイルから構成を復元します。
# !bin/bash
# Set URL variable for access to REST interface
REST="http://localhost:4711/Konfigurator/REST"
## Log on and authenticate
curl -c cookies.txt -H "Authorization:Basic YWRtaW46d2ViZ2F0ZXdheQ==" -X POST "$REST/
login"
## Restore configuration from backup file
curl -b cookies.txt --data-binary @file.backup -X POST "$REST/restore" -H
"Content-Type:text/plain; charset=UTF-8"
## Log off again
curl -b cookies.txt -X POST "$REST/logout"
McAfee Web Gateway 7.2
製品ガイド
329
16
REST インターフェース
REST インターフェースを操作するためのサンプル スクリプト
330
McAfee Web Gateway 7.2
製品ガイド
17
システム ツール
ハードウェア プラットフォームで McAfee Web Gateway を実行しているとき、ハードウェア関連の管理アクティ
ビティを完了させるために、システム ツールを使用できます。
使用可能なツールは以下のとおりです。
•
Platform Confidence Test ツール（PCT） — ハードウェア テストの実行用。
•
リモート管理モジュール（RMM） — ハードウェアのリモート管理用
•
Active System Console (ASC) — ハードウェアに関するデバッグ情報の取得用
アプライアンスのセットアップを完了した後にこれらのツールをセットアップできます。
目次
アプライアンス ハードウェアを管理するためのシステム ツール
Platform Confidence Test ツールのセットアップ
Platform Confidence Test ツールを使用したハードウェア テストの実行
Remote Management Module のセットアップ
Active System Console のセットアップ
アプライアンス ハードウェアを管理するためのシステム ツール
McAfee Web Gateway が実行されているハードウェア プラットフォームを管理するために利用可能なシステム ツ
ールは、複数存在します。
Platform Confidence Test ツール
Platform Confidence Test
（PCT）ツールを使用すると、アプライアンスに対してハードウェア プラットフォームの
機能をテストできます。テストの実行は、アプライアンスがネットワーク デバイスに接続されていない状態で行う必
要があります。
テストの結果は result.log ファイルに保存されますが、さらなる使用のために USB ドライブにコピーすることも
できます。
Remote Management Module
Remote Management Module
（RMM）を使用すると、アプライアンスに対するハードウェア機能をリモートから管
理できます。
このツールと一緒に、Baseboard Management Controller
（BMC）というもう 1 つのツールも同じインストール手
順でセットアップされます。デバッグ情報を取得するために Active System Console を使用する場合は、BMC も
実行されている必要があります。
Remote Management Module と Baseboard Management Controller のインターフェースは、McAfee Web
Gateway アプライアンス ボックスの背面パネルにあります。
McAfee Web Gateway 7.2
製品ガイド
331
17
システム ツール
Platform Confidence Test ツールのセットアップ
Active System Console
Active System Console
（ASC）は、Web ベースのデバッグ ツールです。これにより、シャーシ、ストレージ、冷
却、プロセッサ、メモリ、電源装置、およびその他のコンポーネントと機能が関与するハードウェア エラーに関する
情報が提供されます。
エラーは、Remote Management Module
（RMM）とともにセットアップされる Baseboard Management
Controller（BMC）によって検出されます。BMC は、アプライアンスのシステム イベントとセンサー データ レコ
ードにアクセスします。
Active System Console を使用すると、複数の BMC 機能（IP アドレス、電子メールとトラップ通信など）を構成
できます。
このツールは、ハードウェア データを マカフィー テクニカル サポート チームに送信することも可能にします。
Platform Confidence Test ツールのセットアップ
ハードウェア エラーに関する情報を取得するために、Platform Confidence Test
（PCT）をセットアップすることが
できます。
アプライアンス モデルごとに、ツールの特定のバージョンがあります。
タスク
1
マカフィー Content & Cloud Security Portal から適切なツール バージョンをダウンロードします。
ここでは、ツール バージョンを zip 形式で入手できます。
2
ダウンロードした zip ファイルのコンテンツを、Microsoft DOS モードでフォーマットされた USB ドライブの
ルート ディレクトリに展開します。
3
USB ドライブをアプライアンスに接続します。
4
アプライアンスを再起動します。
5
メッセージが表示されたら、[F2]を押してセットアップ メニューに入ります。
6
[サーバー管理] 、 [コンソール リダイレクト]を選択し、[コンソール リダイレクト]が無効になっていることを
確認します。
7
[ブート マネージャー]を選択し、[EFI シェル]をクリックします。
アプライアンスは、EFI
（拡張ファームウェア インターフェース）シェル モードで再起動されます。
EFI シェル モードは、USB ドライブから startup.nsh プロシージャを実行し、診断メニューを表示します。
診断サイクルを終了するには、[F10]を押します。
関連トピック:
332 ページの「Platform Confidence Test ツールを使用したハードウェア テストの実行 」
Platform Confidence Test ツールを使用したハードウェア テストの実行
Platform Confidence Test ツールを使用してアプライアンス ハードウェアをテストし、結果情報をログ ファイル
に保存することができます。
開始する前に
アプライアンスがその他のネットワーク コンポーネントに接続されていないことを確認してください。
332
McAfee Web Gateway 7.2
製品ガイド
システム ツール
Remote Management Module のセットアップ
17
タスク
1
ツールの診断メニューから、テスト タイプを選択します。
ネットワーク インターフェース ポートをテストするには、クロスオーバー ケーブルを使用して、同じシステム
上にある特定のポートから別のポートに接続できます。
テストが実行され、結果が RAM ディスク上のログ ファイルに書き込まれます。このログ ファイルの名前は、
result.log です。
2
result.log ファイルを USB ドライブにコピーします。
a
map コマンドを実行します。
b
表示されるリストで USB ドライブを識別します。その後、次のコマンドを入力します。
cp result.log blk0: <USB ドライブの名前>
上記のコマンドでは、blk0 は、USB ドライブを使用する際に必要なデバイス パラメーターです。
場合によっては、異なるデバイス パラメーターもここで指定できます。
包括的なテストまたは包括的なループ テストの実行を選択した場合は、テストが完了した後で続行する前に（システ
ムから電源を取り外すことによって）完全な AC 電源サイクルを行うことが推奨されます。
これにより、すべてのコントローラーがリセットされ、期待のモードで実行されるようになります。
Remote Management Module のセットアップ
アプライアンス ハードウェアをリモートから管理するために、Remote Management Module
（RMM）をセットア
ップすることができます。
Remote Management Module をサポートするため、このツールと一緒に Baseboard Management Controller
（BMC）も同じインストール手順でセットアップされます。
タスク
1
アプライアンス ボックスの背面パネルにある RMM と BMC のインターフェースをネットワークに接続します。
2
アプライアンスを再起動します。
3
起動フェーズの間に、[F2]を押します。
セットアップ メニューが表示されます。
4
[サーバー管理] 、 [BMC LAN の構成]を選択します。
5
[Baseboard LAN の構成]で、IP アドレス、サブネット マスク、およびゲートウェイ IP アドレスを構成します。
6
[Intel (R) RMM3 LAN の構成]で、IP アドレス、サブネット マスク、およびゲートウェイ IP アドレスを構成し
ます。
7
[ユーザーの構成]で、ユーザー名とパスワードを構成し、Remote Management Module へのアクセスを初期ユ
ーザーに許可します。
8
[F10]を押し、表示されたダイアログ ウィンドウで[はい]をクリックし、変更を保存します。
これで、アプライアンス ハードウェアをリモートから管理するために Remote Management Module が利用可能
になります。
ツールへは、構成した IP アドレスからアクセスできます。
McAfee Web Gateway 7.2
製品ガイド
333
17
システム ツール
Active System Console のセットアップ
RMM と BMC のインターフェースは、ネットワークのその他のコンポーネントとの通信用に割り当てられたポート
であるネットワーク インターフェースとともに、アプライアンス ボックスの背面パネルにあります。
関連トピック:
30 ページの「ポートの割り当て 」
Active System Console のセットアップ
アプライアンス ハードウェアに関するデバッグ情報を取得するために、Active System Console
（ASC）をセットア
ップすることができます。
開始する前に
Baseboard Management Controller
（BMC）が実行されていることを確認してください。これは、
Active System Console を使用するための前提条件です。
タスク
1
システム コンソールで、次のコマンドを実行します。
asc-enable
2
メッセージが表示されたら、管理者パスワードを作成します。
強力なパスワードの設定に関するメッセージが表示された場合は、要件に従って対応します。
パスワードが設定されると、Active System Console が起動します。
3
Web ブラウザーを使用して、次のアドレスで ASC ユーザー インターフェースにアクセスします。
https://<アプライアンスの IP アドレス>:9393
次回アプライアンスを起動すると、自動的に Active System Console も起動します。
Active System Console を無効にするには、asc-disable コマンドを使用します。
詳細については、ASC ユーザー インターフェースのヘルプ情報、およびハードウェア プラットフォームに付属のユ
ーザー マニュアルを参照してください。
334
McAfee Web Gateway 7.2
製品ガイド
18
モニタリング
アプライアンスがネットワークの Web セキュリティを確保するフィルタリングを実行するとき、それをモニタリン
グできます。
モニタリングはさまざまな方法で実行されます。アプライアンスのデフォルト モニタリングには以下が含まれます。
•
ダッシュボード — アプライアンス システムとアクティビティに関する主要な情報が表示されます。
•
ログ — アプライアンス上での重要なイベントに関する情報をログ ファイルに書き込みます。
•
エラー処理 — アプライアンス上でインシデントまたはエラーが発生する際に対策を取ります
アプライアンスの機能のパフォーマンスを測定すること、およびモニタリングのために マカフィー ePO サーバーま
たは SNMP エージェントなどの外部デバイスを使用することもできます。
目次
ダッシュボード
ログ
エラー処理
パフォーマンス測定
マカフィー ePO を監視するためのデータの転送
SNMP でのイベント モニタリング
ダッシュボード
アプライアンスのユーザー インターフェースのダッシュボードは、アラート、フィルタリング アクティビティ、ス
テータス、Web 使用およびシステム動作など、キー イベントおよびパラメーターのモニタリングを可能にします。
情報は、次の 2 つのタブで提供されます。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
アプライアンスが集中管理構成のノードである場合、その他のアプライアンスのステータスおよびアラートも表示さ
れます。
McAfee Web Gateway 7.2
製品ガイド
335
18
モニタリング
ダッシュボード
ダッシュボードへのアクセス
アプライアンスのユーザー インターフェースでダッシュボードにアクセスできます。
タスク
1
トップレベル メニューの［[ダッシュボード]］を選択します。
2
表示するタブに応じて、次の 2 つのタブのうち 1 つを選択します。
•
[アラート ]— ステータスおよびアラートを表示します
•
[グラフおよび表 ]— Web 使用、フィルタリング アクティビティ、およびシステム動作を表示します
関連トピック:
336 ページの「ステータスとアラートの情報の表示 」
339 ページの「グラフと表の情報の表示 」
アラート タブ
[アラート]タブは、アプライアンスのステータスおよびアラートの情報を表示し、アプライアンスが集中管理構成の
ノードである場合、その他のアプライアンスの情報も表示します。
ステータスとアラートの情報の表示
［アラート］タブでは、アプライアンスのステータスおよび発生したアラートに関する情報を表示できます。
タスク
1
[ダッシュボード] 、 [アラート]を選択します。
2
オプションで、以下の 2 つのオプションのうちいずれかを使用して、アラートに関する情報を更新します。
•
[自動更新] — 定期的に自動更新を実行します
このオプションはデフォルトで有効になっています。
•
[今すぐ更新] － 直ちに更新を実行します
関連トピック:
336 ページの「ステータス情報の概要 」
337 ページの「アラート フィルタリング オプション 」
ステータス情報の概要
アプライアンスのステータスに関する情報は、ダッシュボードの[アラート]タブの[アプライアンス ステータス]に表
示されます。
アプライアンスが集中管理構成のノードである場合は、その他のノードに関する情報も表示されます。
次の表では、この情報の概要を示しています。
336
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ダッシュボード
18
表 18-1 ステータス情報の概要
情報
説明
[アプライアンス]
基本アプライアンス情報
• [名前] — アプライアンスの名前
[パフォーマンス]
主要なパフォーマンス パラメーター
• [アラート ピーク（過去 7 日間）] — アプライアンスにおいて過去 7 日間以内で最も重大
なアラート
色付きのフィールドが日ごとに表示されます（右端のフィールドが今日）:
• 灰色 — この日アラートはなかった
• 緑色 — この日最も重大なアラートは情報であった
• 黄色 — この日最も重大なアラートは警告であった
• 赤色 — この日最も重大なアラートはエラーであった
• [1 秒あたりの要求数] — アプライアンスで受信した HTTP と HTTPS のモードにおける
Web 要求の数が過去 30 分間でどのように変化したかを示す図
図の右側にある値は、過去 10 分間における 1 秒あたりの平均要求数です。
[McAfee マルウェ ウイルスとマルウェアのフィルタリングで使用される更新モジュールおよびバージョン情報モ
ア対策バージョン] ジュール
• [最終更新] — モジュールが最後に更新されてから経過した分数
• [Gateway エンジン] — McAfee Web Gateway Gateway マルウェア対策エンジンのバー
ジョン番号
• [プロアクティブ データベース] — プロアクティブ データベースのバージョン番号
• [DAT] — DAT ファイルのバージョン番号（ウイルス シグネチャを含む）
[URL フィルター] URL フィルタリングで使用されるモジュールに対する更新およびバージョン情報
• [最終更新] — モジュールが最後に更新されてから経過した日数
• [バージョン] — モジュールのバージョン番号
アラート フィルタリング オプション
アプライアンスの[アラート]についての情報は、ダッシュボードの
［アラート］タブのアラートで提供されます。さま
ざまなフィルタリング オプションを使用して、この情報をフィルタリングできます。
アプライアンスが集中管理構成のノードである場合、他のノードのアラートも表示されます。次に、アラートを表示
するノードもフィルタリングできます。
次の表では、フィルタリング オプションについて説明します。
McAfee Web Gateway 7.2
製品ガイド
337
18
モニタリング
ダッシュボード
表 18-2 アラート フィルタリング オプション
オプション
定義
[アプライアン 集中管理構成で発生したノードに従って、アラートをフィルタリングします。
ス フィルター]
このボタンをクリックすると、アラートを表示するノードを選択するウィンドウが開きます。
フィルターはウィンドウを閉じてからすぐに適用されます。
[日付フィルタ
ー]
発生した期間に従ってアラートをフィルタリングします。
このボタンをクリックすると、アラートを表示する機関を選択するメニューが開きます。
以下から 1 つを選択できます。
• [ すべて ]
• [今日 ]
• [ 昨日 ]
• [先週]
• [カスタム]
[カスタム]で、2 つのカレンダー上で開始日および終了日を設定でき、2 つのフィルター フィ
ールド上で開始時間および終了時間を入力できます。時間形式は 24 時間表記を使用した
hh:mm:ss です。例: 午後 1:00 は 13:00:00。
アプライアンスが集中管理構成のノードであり、[アプライアンス フィルター]でこの構成のノー
ドがいくつか選択されたとき、これらのノードのアラートが表示されます。
ただし、それらは[日付フィルター]を設定するために、特定のノードで作業していたユーザー イ
ンターフェースの日付および時刻に従って表示されます。
たとえば、現地時間でアムステルダムの午後 7 時にノードの[日付フィルター]で今日を選択する
とします。
これは 19 時間以内に発生したすべてのアラートを表示します。ニューヨークのノードでは、フィ
ルターを設定した時点で現地時間は午後 1 時です。
ニューヨークのノードで発生したアラートは、ニューヨーク ノードで今日に対応する 13 時間で
はなく 19 時間表示されます。
[メッセージ フ メッセージ テキスト内のアラート メッセージ タイプおよび文字列に従ってアラートをフィルタリ
ングします。
ィルター]
フィルター オプションを設定したら、フィルターはすぐに適用されます。
次の方法でこれらのオプションを設定します。
• [エラー、警告、情報] — 表示するアラート メッセージのタイプ、または任意の組み合わせのタ
イプのを選択します。
• [フィルター] — 任意でこのフィールドにフィルタリング用語を入力します。この用語に合って
いる警告および選択されたタイプのメッセージ テキストのみが表示されます。
一致する用語の検索は、ユーザー インターフェースに表示されているものだけではなく、アプ
ライアンスの内部インターフェースに保管されているアラート エントリに実行されます。
アラートがユーザー インターフェースに表示されるとき、アラート メッセージ テキストは追加
部分を含む可能性があります。
例: origin という単語はアラートの元の場所であるコンポーネント名に追加されます。しかし、
origin またはその他の追加された用語をアラートのフィルタリングに使用できません。
338
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ダッシュボード
18
グラフおよび表のタブ
[グラフおよび表]のタブはアプライアンスの Web 使用、フィルタリング アクティビティ、およびシステム動作を表
示します。また、アプライアンスが集中管理構成のノードの場合、その他すべてのノードの情報も表示されます。
グラフと表の情報の表示
[グラフおよび表]タブでは、Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報を
表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[アプライアンス]ドロップダウン リストから、グラフと表の情報を表示するアプライアンスを選択します。
3
オプションで、[更新]をクリックし、最新情報が表示されるようにします。
4
ナビゲーション ペインのリストから、表示する情報のタイプ（[Web トラフィック サマリ]など）を選択します。
関連トピック:
339 ページの「グラフおよび表の表示オプション」
340 ページの「グラフと表の情報の概要 」
グラフおよび表の表示オプション
提供された情報のタイプによっては、グラフおよび表のタブで情報を表示するためのオプションがいくつかあります。
情報のタイプには、以下のものがあります。
•
発展データ — 選択された時間間隔にわたり、特定パラメーターがどのように変化したかについて表示します
例: 選択された時間間隔にわたってブロックまたは許可された URL リクエスト数がどのように発展したかを表示
できます。
•
トップ スコア — 表示した時点までの、フィルタリング プロセスのキー項目に関連したアクティビティまたはバ
イト量の最高数を表示します
経時変化ではなく、これらの数を表示します。
例: 最も頻繁にリクエストされた URL カテゴリを表示できます。またはこれらのタイプの Web オブジェクトが
ダウンロードされたときに転送された量にによって順位化されたメディア タイプを表示できます。
いかなる時点で、トップ スコアを表示するためにアプライアンスに保管される項目の最大数は 1500 です。この
数を超えると、最も発生回数が少ない項目、またはバイト量が最も低い項目は削除されます。
•
その他の情報 — 表で示されている他の情報が表示されます
例: マルウェア対策モジュールまたは URL フィルター モジュールなどアプライアンスのキー モジュール
（エンジ
ンとも呼ばれる）の現在のバージョンを表示できます。
次の表では、さまざまなタイプの情報の表示オプションが表示されます。
表 18-3 グラフおよび表の表示オプション
オプション
定義
[最後を表示] 時間間隔を選択するためのドロップダウン リスト:1 時間 | 3 時間 | ...| 1 年
[解決]
選択された時間間隔にわたるパラメーターの変化が表示される図に使用する時間単位を表示します。
解決は間隔によって異なります。
例:1 時間が選択されたら、図は時間単位として分を使用し、1年が選択されたら、図は 1 日を使用
します。
McAfee Web Gateway 7.2
製品ガイド
339
18
モニタリング
ダッシュボード
表 18-3 グラフおよび表の表示オプション (続き)
オプション
定義
[表示]
選択するためのドロップダウン メニュー:
• 表示モード:行 | スタック
• 平均値
更新アイコン 表示を更新します。
[トップ]
最高スコアがある項目で表示できる数を選択するためのドロップダウン リスト。10 | 25 | ... |
1000
例: 最も頻繁にリクエストされる 25 URL カテゴリが表示されます。
更新アイコン 表示を更新します。
グラフと表の情報の概要
アプライアンスに対する Web の使用、フィルタリング アクティビティ、およびシステムの動作に関する情報は、ダ
ッシュボードの[グラフおよび表]タブに表示されます。
次の表では、この情報の概要を示しています。
表 18-4 エグゼクティブ サマリー
情報
説明
[URL エグゼクティブ サマ サマリーに対して選択した期間中に要求数がどのように変化したかを表示します。
リー]
要求は、許可された
（
「望ましい」）要求と、ウイルスやその他のマルウェア、URL、お
よびメディア タイプに対するフィルタリング ルールによってブロックされた要求にソ
ートされます。
[ヒット数別のカテゴリ]
選択した期間中に最も頻繁に要求された URL のカテゴリを表示します。
[ヒット数別のマルウェア] 選択した期間中に最も頻繁に要求されたウイルスとマルウェアのタイプを表示します。
表 18-5 システム サマリー
情報
説明
[ネットワーク使用率] サマリーに対して選択した期間中に送信要求と受信要求の数がどのように変化したかを表示
します。
340
[システム使用率]
選択した期間中にアプライアンス システムのハード ディスク、CPU、および物理メモリの
使用率と、コア サブシステムおよびコーディネーター サブシステムの物理メモリの使用率
がどのように変化したかを表示します。
[更新ステータス]
Gateway マルウェア対策エンジンやマルウェア対策シグネチャ ファイルなど、アプライア
ンスで実装された複数のモジュールおよびフィルター情報ファイルのバージョンを表示しま
す。
[最終更新]
URL フィルター モジュールなど、アプライアンスの複数のモジュールが最後に更新された
日時を表示します。
[開いているポート]
現在要求をリッスンしているアプライアンスのポートをリストします。
[WCCP サービス]
アプライアンスにトラフィックをリダイレクトするために使用される WCCP サービスのス
テータスを表示します。
[アクティブなプロキ
シ接続]
選択した期間中に接続数がどのように変化したかを表示します。
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ダッシュボード
18
表 18-6 Web トラフィック サマリー
情報
説明
[プロトコル別のトラフィッ
ク]
サマリーに対して選択した期間中に HTTP、HTTPS、および FTP のプロトコルで
Web トラフィック量がどのように変化したかを表示します。
[プロトコル別の要求]
選択した期間中に HTTP、HTTPS、および FTP のプロトコルで要求数がどのように
変化したかを表示します。
表 18-7 ICAP トラフィック サマリー
情報
説明
[ICAP トラフィック ] サマリーに対して選択した期間中に REQMOD および RESPMOD のモードで ICAP トラフ
ィック量がどのように変化したかを表示します。
[ICAP 要求]
選択した期間中に REQMOD および RESPMOD のモードで ICAP 要求数がどのように変化
したかを表示します。
表 18-8 IM トラフィック サマリー
情報
説明
[インスタント メッセージング
トラフィック ]
サマリーに対して選択した期間中にインスタント メッセージング トラフィック
量が各種サービスに対してどのように変化したかを表示します。
[インスタント メッセージング要 選択した期間中にインスタント メッセージング要求数が各種サービスに対してど
のように変化したかを表示します。
求]
[インスタント メッセージング
クライアント]
選択した期間中にインスタント メッセージング クライアント数が各種サービス
に対してどのように変化したかを表示します。
表 18-9 トラフィック量
情報
説明
[転送されたバイト数別のトップレベ ドメインから転送されたバイト数に基づいて、最も頻繁に要求されたドメイ
ンをリストします。
ル ドメイン ]
[要求の数別のトップレベル ドメイ
ン]
ドメインに対する要求数に基づいて、最も要求されたドメインをリストしま
す。
[転送されたバイト数別の宛先]
宛先から転送されたバイト数に基づいて、最も頻繁に要求された宛先をリス
トします。
[要求の数別の宛先]
ドメインに対する要求数に基づいて、最も要求されたドメインをリストしま
す。
[転送されたバイト数別の送信元 IP]
転送されたバイト数が最も多い送信元 IP をリストします。
[要求の数別の送信元 IP]
行われた要求数が最も多い送信元 IP をリストします。
表 18-10 Web キャッシュ統計
情報
説明
[Web キャッシュ効率]
サマリーに対して選択した期間中にキャッシュ要求数がどのように変化したかを表
示し、ヒットおよびミスにそれらをソートします。
[Web キャッシュ オブジェク
ト カウント]
選択した期間中にキャッシュ内のオブジェクト数がどのように変化したかを表示し
ます。
[Web キャッシュ使用率]
選択した期間中にキャッシュの使用率がどのように変化したかを表示します。
表 18-11 マルウェア統計
情報
説明
[ヒット数別のマルウェア URL] 最も要求されたウイルスとその他のマルウェアに感染した URL をリストします。
[ヒット数別のマルウェア]
McAfee Web Gateway 7.2
最も要求されたマルウェア タイプをリストします。
製品ガイド
341
18
モニタリング
ダッシュボード
表 18-12 URL フィルター統計
情報
説明
[カテゴリ]
サマリーに対して選択した期間中に要求された URL カテゴリの数がどのように変
化したかを表示します。
[レピュテーション]
選択した期間中に要求数がどのように変化したかを表示し、要求された URL のレ
ピュテーションに基づいてそれらをソートします。
[ヒット数別のカテゴリ]
最も要求された URL カテゴリをリストします。
[ヒット数別の分類されないサ 最も要求されたサイトの中で分類されないものをリストします。
イト]
[ヒット数別の悪質なサイト]
最も要求されたサイトの中で感染が検出されたものをリストします。
表 18-13 メディア タイプ統計
情報
説明
[ヒット数別のメディア タイ サマリーに対して選択した期間中に要求されたメディア タイプ グループの数がどの
ように変化したかを表示します。
プ グループ]
タイプは、オーディオ ファイル、イメージ、およびその他にソートされます。
[バイト数別のメディア タイ 転送されたバイト数に基づいて、最も要求されたメディア タイプをリストします。
プ]
[ヒット数別のメディア タイ メディア タイプに対する成功した要求の数に基づいて、最も要求されたメディア タ
イプをリストします。
プ]
表 18-14 証明書統計
情報
説明
[証明書のインシデ
ント]
サマリーに対して選択した期間中にインシデント数がどのように変化したかを表示します。
インシデントは、インシデントに起因するイベントのタイプ（期限切れの証明書や共通名の不
一致など）に基づいてソートされます。
表 18-15 システム詳細
情報
説明
[ネットワーク使用率]
サマリーに対して選択した期間中に送信要求と受信要求の数がどのように変化したか
を表示します。
[CPU 使用率]
選択した期間中に CPU 使用率がどのように変化したかを表示します。
[メモリ使用率]
選択した期間中にメモリの使用率がどのように変化したかを表示します。
[スワップ領域（仮想メモリ） 選択した期間中に仮想メモリの使用率がどのように変化したかを表示します。
使用率]
[ファイル システム使用率]
選択した期間中にファイル システムの使用率がどのように変化したかを表示します。
[ファイル システム使用率]
選択した期間中にパーティションごとのファイル システムの使用率がどのように変化
したかを表示します。
[開いている TCP ポート]
選択した期間中に開いている TCP ポートの数がどのように変化したかを表示します。
表 18-16 認証統計
情報
説明
[認証要求]
サマリーに対して選択した期間中に各認証方法でリモートまたはローカルで処理され
た要求の数あるいはキャッシュ内で見つかった要求の数がどのように変化したかを表
示します。
[方法別の平均要求処理時間 選択した期間中に各認証方法でサーバーに送信された要求に対する平均処理時間がど
のように変化したかを表示します。
（ms）]
342
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ログ
18
表 18-16 認証統計 (続き)
情報
説明
[現在の要求レポート]
要求数、キャッシュ ヒット数、およびサーバーに送信された要求に対する最小処理時
間、最大処理時間、平均処理時間を表示します。
[現在の接続ステータス]
各認証方法で現在アクティブな接続を表示します。
[ファイル システム使用率] 選択した期間中にファイル システムの使用率がどのように変化したかを表示します。
[ファイル システム使用率] 選択した期間中にパーティションごとのファイル システムの使用率がどのように変化
したかを表示します。
[開いている TCP ポート]
選択した期間中に開いている TCP ポートの数がどのように変化したかを表示します。
表 18-17 パフォーマンス情報
情報
説明
[一般的なパ
フォーマン
ス]
サマリーに対して選択した期間中に特定のタスクを完了するのにかかった平均時間がどのように変化
したかを表示します。
このようなタスクには、DNS 参照の実行、指定の Web サーバーへの接続、およびすべてのサイク
ルをとおして要求を処理するためにルール エンジンが行った作業が含まれます。
DNS 参照にかかった時間を測定する際には、外部サーバーでの参照のみが考慮に入れられます。つ
まり、キャッシュ参照は無視されます。
[詳細なパフ
ォーマンス]
選択した期間中にすべてのサイクルをとおして要求を処理するのにかかった平均時間がどのように変
化したかを表示します。
このパフォーマンス情報は、HTTP および HTTPS の接続を使用する Web トラフィックに対しての
み測定および表示されます。
すべてのサイクル（要求、応答、および埋め込みオブジェクト）をとおして要求を処理することは、
1 つのトランザクションと見なされます。
平均処理時間は完了トランザクションに対して表示されますが、トランザクションの最中に行われる
特定のデータ転送に対しても表示されます。
• クライアントから最初のバイトを受信してから、クライアントに最初のバイトを送信するまで —
同一トランザクション内において、アプライアンスでクライアントから最初のバイトを受信してか
らこのクライアントに最初のバイトを送信するまでの間にかかった平均処理時間を表示します。
• クライアントから最後のバイトを受信してから、クライアントに最後のバイトを送信するまで —
同一トランザクション内において、アプライアンスでクライアントから最後のバイトを受信してか
らこのクライアントに最後のバイトを送信するまでの間にかかった平均処理時間を表示します。
• サーバーに最初のバイトを送信してから、サーバーから最初のバイトを受信するまで — 同一トラ
ンザクション内において、アプライアンスから Web サーバーに最初のバイトを送信してからこの
サーバーから最初のバイトを受信するまでの間にかかった平均処理時間を表示します。
• サーバーに最後のバイトを送信してから、サーバーから最後のバイトを受信するまで — 同一トラ
ンザクション内において、アプライアンスから Web サーバーに最後のバイトを送信してからこの
サーバーから最後のバイトを受信するまでの間にかかった平均処理時間を表示します。
ログ
ロギングは、アプライアンスの Web フィルタリングと他のプロセスの記録を可能にします。記録を含むログ ファイ
ルを確認することは、失敗の理由を見つけて問題を解決することを可能にします。
ロギングには、以下の要素が関連しています。
McAfee Web Gateway 7.2
製品ガイド
343
18
モニタリング
ログ
•
Web フィルタリングと他のプロセスを記録するエントリが
書き込まれるログ ファイル
•
ログ ファイルにエントリを書き込むログ
ルール
•
ログ ファイルにエントリを書き込むシステム機能
•
ログ ファイルをローテート、削除、およ
びプッシュするログ ファイル管理モジュ
ール
•
ログ ファイルにエントリを書き込むモジュール
ログ ファイル
ログ ファイルには、Web フィルタリングと他のプロセスに関するエントリが含まれます。同じ種類のコンテンツを
持つログ ファイルは、logs と呼ばれるフォルダーに保管されています。アプライアンスのユーザー インターフェー
スですべてのログとログ ファイルを表示できます。
コンテンツに応じて、ログ ファイルはアプライアンス システムの機能、モジュール、またはログ ルールによって管
理されています。従って、これらのログ ファイルに対し、表示、編集、ローテート、およびその他などの、いくつか
またはあらゆる種類のアクティビティを実行できます。
システム機能でのロギング
一部のコンテンツでは、ログ ファイル エントリはアプライアンス システムの機能によって書き込まれます。これら
のファイルはユーザー インターフェースで表示できますが、編集と削除はできません。また、ファイルはシステム機
能によって定期的にローテートされます。
モジュールでのロギング
一部のコンテンツでは、ログ ファイル エントリはプロキシ モジュールまたはマルウェア対策モジュールなどの特定
モジュールによって書き込まれます。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。これらのファイルのロ
ーテーション、削除、および他の場所へのプッシュは、設定の構成が可能なログ ファイル マネージャーによって処
理されます。
ルールでのロギング
ログ ルールは、イベントを使用してログ ファイル エントリを作成して、その条件が一致する場合、ログ ファイルに
それを書き込みます。
他のルールと同様に、ログ ルールはルール セットに含まれています。これらのルール セットはログ ハンドラーとし
て知られるトップレベル ルール セットにネストされています。デフォルト ログ ハンドラーは初期セットアップの後
に利用できます。
ログ ルールは、アプライアンスで受信されたリクエストのリクエスト、応答、埋め込みオブジェクトサイクルが完了
した後に、処理されます。
ログ ルールとそれらのルール セットは、他のルールとルール セットと同様に作業を行えます。
これらのファイルのローテーション、削除、および他の場所へのプッシュは、設定の構成が可能なファイル システ
ム ログ モジュールによって処理されます。
ログ ファイル管理モジュール
ログ ファイルにローテーション、削除、および他の場所へのプッシュを含む管理アクティビティを実行するためのモ
ジュールは 2 つあります。
これらのモジュールは、モジュールによって管理されているログ ファイル マネージャー、およびログ ルールによっ
て管理されているログ ファイル用のファイル システム ログ モジュール（エンジンとも呼ばれる）です。
344
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ログ
18
これらのモジュールの設定を構成して、ログ ファイルのローテーション、削除、およびプッシュをご使用のネットワ
ークの要件に適合させることができます。
ロギングの管理
アプライアンスのロギング機能を管理して、ネットワーク上の Web セキュリティを確保するためにアプライアンス
がフィルタリングと他のアクティビティをどのように実行するかを監視できます。
以下の高レベル手順を完了します。
タスク
1
アプライアンスで維持されているログ ファイルを表示します。
2
必要に応じて、実装されているログ ファイル システムを変更します。
たとえば、以下の操作を実行できます。
3
•
ログ ルールの有効化、無効化、または削除
•
ログ ルールの変更
•
自分のログ ルールの追加
•
以下のロギング モジュールの設定の構成
•
ログ ファイルのローテーション
•
ログ ファイルのプッシュ
•
ログ ファイルの削除
変更を保存します。
ログ ファイルの表示
ログ ファイルは、アプライアンスのユーザー インターフェースで表示することができます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ログ ファイルを表示するアプライアンスを選択し、[ログ ファイル]をクリックしま
す。
ログ ファイル フォルダー（場合によってはサブフォルダーが含まれている）のリストが表示されます。
3
表示するログ ファイルを含むフォルダーまたはサブフォルダーをダブルクリックします。
フォルダーが開き、ログ ファイルが表示されます。
4
表示するログ ファイルを選択し、リストの上にあるツールバーの[表示]をクリックします。
関連トピック:
345 ページの「ログ ファイル タイプ 」
ログ ファイル タイプ
アプライアンス上にはさまざまなログ ファイル タイプがあります。これらは記録されるコンテンツの種類、および
記録が行われる方法において異なります。
同じ種類のデータを記録するログ ファイルは同じフォルダーに保管されます。同じ種類のコンテンツであるログ フ
ァイルを保管するためのフォルダーは、log と呼ばれます。
コンテンツに応じて、ログ ファイルはシステム機能、モジュール、またはログ ルールによって管理されています。
McAfee Web Gateway 7.2
製品ガイド
345
18
モニタリング
ログ
システムによって管理されるログ ファイル
いくつかのログ ファイルはオペレーティング システムおよびさまざまなシステム関連サービスを含むアプライアン
ス システムの機能によって維持されています。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ただし、システム ロ
グ ファイルが読み込めないとき、それらはユーザー インターフェースに表示されません。
また、ファイルはシステム機能によって定期的にローテートされます。このローテーションを構成するオプションは
ありません。
モジュールによって管理されるログ ファイル
その他のログ ファイルはプロキシ モジュールまたはマルウェア対策モジュールなどアプライアンスの特定モジュー
ルによって管理されます。
これらのファイルはユーザー インターフェースで表示できますが、編集と削除はできません。ファイルはアプライア
ンスの以下の場所にあるサブフォルダーに保管されます。
/opt/mwg/log
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なログ ファイル マネージャーに
よって定期的に処理されます。
これらのフォルダーのすべてのファイルは、名前の一部に mwgResInfo を含むファイルを除き、ログ ファイル
マネージャーによって処理されます。
また、以下の名前を含むフォルダーはログ ファイル マネージャーによって処理されません（cores, feedbacks,
tcpdump, migration, system, ruleengine_tracing, connection_tracing, message_tracing）。
モジュールによって管理されているログ ファイルのログには以下が含まれます。
•
監査ログ — アプライアンス構成の変更を記録するログ ファイルを保管します
•
デバッグ ログ — デバッグ情報を記録するログ ファイルを保管します
•
移行ログ — 移行アクティビティを記録するログ ファイルを保管します
•
MWG エラー ログ － アプライアンス コンポーネントで発生するエラーを記録するログ ファイルを保存します。
コーディネーター サブシステム、マルウェア対策モジュール、ユーザー インターフェース、およびシステム構成
デーモンには別のエラー ログがあります。
•
更新ログ － モジュールおよびファイルの更新を記録するログ ファイルを保存します
ルールによって管理されるログ ファイル
また、ログ ルールによって管理されているログ ファイルもあります。これらのルールが適用されるときにトリガー
されるイベントによって、データの記録が実行されます。
例: ユーザーがリクエストしたオブジェクトがウイルスに感染していると、ルールはイベントをトリガーします。ト
リガーされたイベントはユーザー、感染しているオブジェクト、リクエストの日付および時刻などの情報とともにロ
グ ファイルにエントリを書き込みます。
その他のルールと同じ方法でこのログ ファイルのタイプのルールの作業を行えます。
これらのファイルのローテーション、削除、およびプッシュは、設定の構成が可能なファイル システム ログ モジュ
ールによって定期的に処理されます。
以下のルールによって管理されているログ ファイルはデフォルトでアプライアンスに提供されます。
346
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ログ
18
•
アクセス ログ — 日付および時刻、ユーザー名、リクエストされたオブジェクト、オブジェクトの感染、オブジ
ェクトのブロックを含む、リクエストおよび関連情報を記録するログ ファイルを保管します
•
ウイルス検出ログ — ウイルスおよびリクエストされたオブジェクトを感染させると判明した他のマルウェアの名
前を記録するログ ファイルを保管します
また、ログは日付と時刻、ユーザー名、リクエストされた URL、およびリクエスト送信元のクライアントの IP
アドレスも記録します。
•
インシデント ログ — ライセンス、モニタリング、またはアップデートなどさまざまな機能に関連するインシデ
ントを記録するログ ファイルを保管します
これらのデフォルト ログに、作成したログを追加できます。
ログ ファイル設定の構成
ログ ファイル管理モジュールの設定を構成することで、ログ ファイルがどのようにローテート、削除、およびプッ
シュされるかを決定できます。
ログ ファイル管理モジュールは、モジュールによって維持されているログ ファイル、およびルールによって維持さ
れているログ ファイルのローテーション、削除、およびプッシュを処理します。
システムによって維持されているログ ファイルのログ ファイル管理は構成できません。
タスク
•
347 ページの「モジュールによって維持されるログ ファイルの設定の構成 」
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構
成できます。これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
•
348 ページの「ルールによって維持されるログ ファイルの設定の構成 」
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成で
きます。これらのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
モジュールによって維持されるログ ファイルの設定の構成
モジュールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。
これらのアクティビティは、ログ ファイル マネージャーによって処理されます。
モジュールによって維持されるログ ファイルの設定は、ログ ファイル マネージャーのために構成されるシステム設
定です。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、ログ ファイル設定を構成するアプライアンスを選択して、[ログ ファイル マネージャ
ー]をクリックします。
設定パネルにログ ファイル マネージャー設定が表示されます。
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
348 ページの「ログ ファイル マネージャー設定 」
McAfee Web Gateway 7.2
製品ガイド
347
18
モニタリング
ログ
ルールによって維持されるログ ファイルの設定の構成
ルールによって維持されるログ ファイルをローテート、削除、およびプッシュするための設定を構成できます。これ
らのアクティビティは、ファイル システム ロギング モジュールによって処理されます。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
設定ツリーで、[ファイル システム ログ]を展開し、構成するログ ファイル設定を選択します。例:[ウイルス検出
ログ]。、
3
必要に応じて、これらの設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
350 ページの「ファイル システム ログ設定 」
ログ ファイル マネージャー設定
ログ ファイル マネージャー設定は、アプライアンスの特定モジュールによって管理されているログ ファイルのロー
テーション、削除、およびプッシュの構成のために使用されます。
一般的に、および 2 つの重要なタイプのログ ファイル
（更新ログと監査ログに保管される）の設定を構成することが
可能です。
グローバル ログ ファイル設定
一般的なログ ファイルの設定
これらの設定には、ログ ファイルのローテーションと削除、および他の場所へのプッシュのオプションが含まれま
す。
自動ローテーション
ログ ファイルのサイズと日時に従って自動的にログ ファイルをローテートするための設定
表 18-18 自動ローテーション
オプション
定義
[自動ローテーションの有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じてローテー
トされます。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超えて これが選択されている場合、提供されている入力フィールドで指定されていると
しまった場合ログ ファイル ロー おりに、ログはそれらのサイズ（MiB）に従ってローテートされます。
テーションを有効化]
[ログ ファイル ローテーション これが選択されている場合、提供されている入力フィールドで指定されていると
のスケジュールを有効化]
おりに、ログは日時（時間と分の単位）に従ってローテートされます。
ここでは24 時間形式が使用されています。例: 午後 1 時は 13:00。
自動削除
サイズと最後に変更された時刻に応じてログ ファイルを自動的に削除するための設定
348
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ログ
18
表 18-19 自動削除
オプション
定義
[自動削除の有効化]
これが選択されている場合、ログ ファイルは、次のオプションに応じて削除されま
す。
2 つのオプションのうち 1 つ、または両方を構成できます。
[ログ ファイルがサイズを超え これが選択されている場合、提供されている入力フィールドで指定されているとお
てしまった場合ログ ファイル りに、ログ ファイルはそれらのサイズ（MiB）に従って削除されます。
の削除を有効化]
[変更されていないファイルの これが選択されている場合、提供されている入力フィールドで指定されているとお
りに、ログ ファイルは入力フィールドに指定されている期間（日単位）に従って削
自動削除を有効化]
除されます。
自動プッシュ
ローテートされたログ ファイルを自動的に他の場所にプッシュするための設定
表 18-20 自動プッシュ
オプション
定義
[自動プッシュの これが選択されている場合、ローテートされたログ ファイルはアプライアンスのローカル デー
タベースから次の設定で指定されたサーバーにプッシュされます。
有効化]
[宛先]
ネットワーク プロトコル、ホスト名、およびサーバーのパス
プッシュ処理をより精密に指定するために、変数をパス名に追加することが可能です。
たとえば、ログ ファイルがプッシュされるアプライアンスのホスト名では %h を追加できま
す。よって、送信先は以下のように指定することができます。
ftp://myftp.com/%h
ログ ファイルがプッシュされる際に、変数は適切な値（この例ではホスト名）と置き換えられま
す。
使用できる変数は次のとおりです。
• %h — アプライアンスのホスト名
• %y — 現在の年（4 桁）
• %m — 現在の月（1 または 2 桁）
• %% — % の文字を指定するために使用（ホスト名に使用する場合）
[ユーザー名]
ログ ファイルをサーバーにプッシュすることを許可されているユーザーの名前
ユーザー名には変数 %h を指定できます。ランタイムで、それは現在のアプライアンスのホス
ト名に置き換わります。
[ローテーション これが選択されている場合、ローテーションの直後にプッシュが続きます。
直後のログ ファ
イルのプッシュ
を有効化]
[プッシュ間隔]
次のログ ファイルがプッシュされる前に経過する時間
（時間単位）（ローテーション直後にプッシ
ュされなかった場合）
更新ログの設定
更新ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
McAfee Web Gateway 7.2
製品ガイド
349
18
モニタリング
ログ
表 18-21 更新ログの設定
オプション
定義
[更新ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が更新ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれて
いて、それらは同様に構成します。
自動プッシュ]
監査ログの設定
監査ログの特定の設定
これらの設定をグローバル ログ ファイル設定と違うものにする場合は、これらの設定を構成できます。
表 18-22 監査ログの設定
オプション
定義
[監査ログの特定の設定を有効化 ] これが選択されている場合、以下で構成された設定が監査ログに適用されます。
そうでない場合、グローバル ログ ファイルの設定が適用されます。
[自動ローテーション、自動削除、 これらの設定には、グローバル ログ ファイル設定と同じオプションが含まれて
いて、それらは同様に構成します。
自動プッシュ]
詳細
コアおよびフィードバック ファイルの自動削除の設定
表 18-23 詳細
オプション
定義
[コア ファイルの自動削除 これが選択されている場合、構成した設定に応じて自動的にコア ファイルが削除されま
を有効化]
す。
数、時間間隔、および容量の値を超過するコア ファイルを自動的に削除するために、こ
れらの値を指定できます。
[フィードバック ファイル これが選択されている場合、構成した設定に応じて自動的にフィードバック ファイルが
の自動削除を有効化]
削除されます。
数、時間間隔、および容量をコア ファイルと同じ方法で指定できます。
ファイル システム ログ設定
ファイル システム ログ設定は、ログ ルールによって管理されているログ ファイルのローテーション、削除、および
プッシュの構成のために使用されます。
ファイル システム ログ設定
ルールによって管理されているログ ファイルを保管するログの設定
表 18-24 ファイル システム ログ設定
オプション
定義
[ログの名前]
ログ名
[ログ バッファリングを有効にする]
選択されていると、ログがバッファリングされます。
バッファー間隔は、30 秒です。
350
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ログ
18
表 18-24 ファイル システム ログ設定 (続き)
オプション
定義
[ヘッダー書き込みを有効にする]
選択されていると、下のヘッダーがすべてのログ ファイルに追加されます。
[ログ ヘッダー]
すべてのログ ファイルに含めるヘッダーを入力するための入力フィールド
[ログ ファイルを暗号化]
選択されていると、ログ ファイルは暗号化された状態で保管されます。
[最初のパスワード、繰り返しのパス 暗号化されたログ ファイルへのアクセスを提供するパスワードを作成するた
めの入力フィールド
ワード]
［オプション］[2 番目のパスワード、 暗号化されたログ ファイルへのアクセスを提供する 2 つ目のパスワードを
作成するための入力フィールド
繰り返しのパスワード]
ローテート、削除、およびプッシュの設定
ログ ファイルの管理のための設定
ルールによって管理されているログ ファイルのローテート、削除、およびプッシュの設定には、ログ ファイル マネ
ージャーの設定の一部として構成される、モジュールによって管理されているログ ファイルの対応している設定と同
じオプションが含まれていて、同様に構成されています。
関連トピック:
348 ページの「ログ ファイル マネージャー設定 」
ログの作成
ログ ファイルにエントリを書き込むために、ログ ルールが使用できるログを作成できます。
ログを作成する際に、それを別途作成するのではなく、ファイル システム設定モジュールの新規設定作成の一部とし
て、作成します。
タスク
1
[ポリシー] 、 [設定]を選択します。
2
[ファイル システム ログ]を展開し、既存の設定の 1 つを選択します。例:[アクセス ログ設定]。
これらは新しいログの設定を含めて、新しい設定の作成の開始点となります。
3
設定ツリーの上の[追加]をクリックします。
[設定の追加]ウィンドウが開きます。
4
[名前]フィールドで、設定名を入力します。
5 ［オプション］[コメント]フィールドで、設定の平文コメントを入力します。
6 ［オプション］[権限]タブを選択して、設定へのアクセスが許可されるユーザーを設定します。
7
[ログ名]で、新しいログの名前を入力します。
8
必要に応じて、ローテーションまたは削除などの他の設定を構成します。
9
[OK]をクリックします。
[設定の追加]ウィンドウを閉じて、設定ツリーの[ファイル システム ログ]に新しい設定が表示されます。
10 [変更の保存]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
351
18
モニタリング
ログ
ログ ハンドラーの作成
新しいログ ルールを作成する際、それらを既存のログ記録ルール セットに挿入するか、それらのために新しいルー
ル セットを作成します。これらはログ ハンドラーとして知られるトップレベル ルール セットでそれら自体をネスト
化する必要があります。
また、新しいログ ルール セットの挿入にデフォルト ログハンドラーを使用することもできます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
[ルール セット]メニューから[ログ ハンドラー]を選択します。
3
ログ ハンドラー ツリーの上にある[追加]をクリックして、表示されるドロップダウン メニューから[ログ ハンド
ラー]を選択します。
[新しいログ ハンドラーの追加]ウィンドウが開きます。
4
[名前]フィールドで、ログ ハンドラーの名前を入力します。
5
[有効にする]が選択されていることを確認します。
6 ［オプション］[コメント]フィールドで、ログ ハンドラーの平文コメントを入力します。
7 ［オプション］[権限]タブをクリックして、ログ ハンドラーへのアクセスが許可されるユーザーを設定します。
8
[OK]をクリックして、[新しいログ ハンドラーの追加]ウィンドウを閉じます。
新しいログ ハンドラーがログ ハンドラー ツリーに表示されます。
9
[変更の保存]をクリックします。
ログ ルールの要素
ログ ルールは、特定ログへのログ ファイル エントリの書き込みを処理します。その要素は、他のルールと同じタイ
プのものです。
名前
ウイルス検出ログの書き込み
条件
Antimalware.Infected
equals true
アクション
–> 続行
イベント
– Set User-Defined.LogLine =
+ DateTime.ToWebReporterString
+ “ ””
+ Authentication.Username
+“”
+ String.ReplaceIf Equals (IP.ToString(Client.IP),
““”, “-”)
+ ““ ””
+ List.OfString.ToString
(Antimalware.VirusNames)
+ ““ ””
+ URL
+ ““”
352
McAfee Web Gateway 7.2
製品ガイド
モニタリング
ログ
18
FileSystemLogging.WriteLogEntry
(User-Defined.logLine)<ウイルス検出ログ>
このルールの要素には以下の意味があります。
•
条件 — Antimalware.Infected equals true
ルールの条件は Antimalware.Infected プロパティを使用します。これは、このプロパティの値が true の
場合一致します。これはフィルタリングされたオブジェクトが感染している場合、ルールが適用されるという意
味です。
•
アクション — Continue
ルールが適用されると、Continue アクションが実行されます。このアクションは、現在のルールのイベントも実
行された後、次のルールで処理を続行させます。
•
イベント — ルールが適用される際に、以下の 2 つのイベントも実行されます。
•
Set User-Defined.logLine = ... — ロギングされるパラメーター値を設定します。
これらの値は次のとおりです。
•
FileSystemLogging.WriteLogEntry ... — 書き込みイベントを実行します
書き込むエントリ、および書き込まれるログ ファイルはイベントで指定されます。
•
(User-Defined.logLine) — エントリを指定するイベント パラメーター
これはルールの他のイベントによって設定されたパラメーター値のログ ファイル ラインです。
•
<ウイルス検出ログ> — ログ ファイルを指定するイベント設定
ログ ルール セットへのアクセス
アクセス ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セットで
す。
ネストされているデフォルト ルール セット — アクセス ログ
条件 — Always
ルール セットには、以下のルールが含まれます。
access.log の書き込み
Always –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ログ構成>
ルールはイベントを使用して、ユーザー名またはリクエスト ヘッダーなどのユーザーによって送信されたリクエス
トに関連したパラメーター値で、ログ ファイル エントリを満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
McAfee Web Gateway 7.2
製品ガイド
353
18
モニタリング
ログ
以下のパラメーターの値は、ルールのイベントによって設定およびロギングされます
（値を設定するイベントによっ
て使用されるプロパティはイタリックで表示されます）。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• 応答ステータス — String.ReplaceIfEquals (Number.ToString (Response.StatusCode), “”, “-”)
• リクエスト ヘッダー — RequestHeader.FirstLine
• URL カテゴリ — List.OfCategory.ToString (URL.Categories)
• URL レピュテーション — String.ReplaceIfEquals (URL.ReputationString, “”, “-”)
(URL.Reputation<Default>)
• メディア タイプ — MediaType.ToString (MediaType.FromHeader)
• 本文サイズ — String.ReplaceIfEquals (Number.ToString (Body.Size), “”, “-”)
• ユーザー エージェント — Header.Request.Get(“User-Agent”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• ブロック アクション ID — Number.ToString (Block.ID)
ログ ルールは、Web へのアクセス リクエストが受信されたときに適用されます。
次に、ログ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
ウイルス検出ログ ルール セット
ウイルス検出ログ ルール セットは、デフォルト ログ ハンドラー ルール セット内にネストされているルール セット
です。
ネストされているデフォルト ルール セット — ウイルス検出ログ
条件 — Always
ルール セットには、以下のルールが含まれます。
found viruses.log の書き込み
Antimalware.Infected equals true –> Continue —
Set User-Defined.logLine = DateTime.ToWebReporterString + “ ”” ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<ウイルス検出ログ>
ルールは、イベントを使用してログ ファイル エントリをウイルス名や IP アドレスなど、ウイルスまたはその他の
マルウェアに感染した Web オブジェクトに関連するパラメーター値で満たします。
それはその他のイベントを使用して、このエントリをログ ファイルに書き込みます。
ログ ファイル エントリは両方のイベントでパラメーターとして指定されます。ログ ファイルを保管するログは、
書き込みイベントの設定によって指定されます。
354
McAfee Web Gateway 7.2
製品ガイド
モニタリング
エラー処理
18
以下のパラメーターの値は、ルールのイベントによって設定およびログされます
（設定されているイベントによって
使用されるプロパティはイタリックで表示されます）。
• 日付および時刻 — DateTime.ToWebReporterString
• ユーザー名 — Authentication.UserName
• クライアント IP アドレス — String.ReplaceIfEquals (IP.ToString(Client.IP), “”, “-”)
• ウイルスおよびマルウェア名 — List.OfString.ToString (Antimalware.VirusNames)
• URL — URL
ログ ルールは、リクエストされた Web オブジェクトが感染していると判明した場合に、適用されます。次に、ロ
グ エントリを満たし書き込む 2 つのルール イベントが実行されます。
次のルールまたはルール セットで処理が続行されます。
エラー処理
エラーおよびインシデントがアプライアンスで発生した場合、適切な対策が取れます。いくつかの対策は、ルールに
よってコントロールされています。
エラー ID を使用するエラー処理
アプライアンス上で発生するエラーは、エラー ID によって識別されます。これらは、エラー処理の特定方法をトリ
ガーするために、ルールによって使用される可能性があります。
ルールでエラー ID の使用を有効にするには、Error.ID プロパティを利用できます。ルールは、このプロパティが
特定値を持つ場合（たとえば、マルウェア対策モジュールの読み込みの失敗を示す 14000）、アクションまたはイ
ベントをトリガーします。
トリガーされるアクションまたはイベントは、Web オブジェクトへのアクセスのブロック、またはログ ファイルの
エントリの作成など、エラー処理の特定方法を使用します。
エラー処理方法をトリガーするためのエラー ID を使用するルールは、たとえば、以下のものがあります。
名前
マルウェア対策エンジンに負荷をかけられない場合にブロック
条件
Error.ID equals 14000
アクション
–>
ブロック<マルウェア対策エンジンに負荷をかけられない>
インシデント情報を使用するエラー処理
インシデントと呼ばれるアプライアンス上のアクティビティと状況のグループがあります。インシデント情報は、エ
ラー処理の特定方法をトリガーするために、ルールによって使用される可能性があります。
インシデントは、アプライアンス システムに加え、そのサブシステムとモジュールに関連する可能性があります。
例: ログ ファイル マネージャーがログ ファイルのプッシュに失敗した場合、インシデントとして記録されます。
インシデントは、通知メッセージの送信またはシステム ログでのエントリの作成など、特定のエラー処理方法をトリ
ガーするために、ルールによって使用される可能性があります。ルールのインシデントの使用を有効化するために、
ID、重大度、元の場所、およびその他を含む主要インシデント パラメーターがプロパティとして利用可能にされま
す。
McAfee Web Gateway 7.2
製品ガイド
355
18
モニタリング
エラー処理
例: Incident.ID プロパティがあります。ルールはこのプロパティを使用して、プロパティの値が特定の数の場合
に syslog エントリを作成するイベントをトリガーできます。
インシデントを利用するルール
エラー処理のデフォルト ルール セットには、ログ ファイル マネージャーに関連するインシデントが発生する場合に
通知メッセージおよびその他エラー処理イベントをトリガーするルールを提供する、ネストされているルール セット
が含まれます。このネストされているルール セットの名前はログ ファイル マネージャー インシデントです。その他
のネストされているルール セットは更新およびライセンスに関連するインシデントを処理します。
また、ルールおよびエラー処理のインシデントを使用する独自のルール セットも作成できます。
インシデント パラメーターおよびプロパティ
インシデントは、それらの ID およびその他パラメーターとともにアプライアンスに記録されます。各パラメーター
には、適切なルールに使用できるプロパティがあります。
•
インシデント ID — 各インシデントは番号によって識別されます。例: ID 501 を持つインシデントは、ログ フ
ァイル マネージャーがログ ファイルをプッシュできなかった場合のものです。Incident.ID プロパティは、イ
ンシデントの ID を確認するために、ルールで使用できます。
•
説明 — インシデントは平文で説明できます。関連するプロパティの名前は Incident.Description です。
•
元の場所 — 各インシデントは元の場所のアプライアンス コンポーネントに割り当てられます。元の場所は番号
によって指定されます。例: 元の場所の番号 5 はログ ファイル ハンドラーを指定します。関連するプロパティの
名前は Incident.Origin です。
•
OriginName — インシデントの元はインシデントに関連するアプライアンス コンポーネントの名前によってさ
らに指定されます。関連するプロパティの名前は Incident.OriginName です。
元の名前は、元の場所の数値に指定されたコンポーネントの一部であるサブコンポーネントを指定できます。
例: 元の場所の数値 2
（コア） は次の元の名前でさらに指定できます。
•
•
コア
•
プロキシ
•
URL フィルター
•
その他のコア サブコンポーネントの名前
重大度 — 各インシデントは重大度に従って分類されます。重大度レベルの範囲は 0 ～ 7 で、0 が最高レベルで
す。
これらのレベルは syslog ファイルのエントリで使用されているものと同じです。
関連するプロパティの名前は Incident.Severity です。
•
影響を受けるホスト — インシデントに関連する外部システムがある場合、例えば、アプライアンスが接続できな
いサーバーがある場合、このシステムの IP アドレスも記録されます。関連するプロパティの名前は
Incident.AffectedHost です。
エラー処理の構成
このプロセスがネットワークの要件に対応するように、エラー処理を構成することが可能です。
以下の高レベル手順を完了します。
タスク
1
エラー処理のデフォルト ルール セットのネストされているルール セットにあるルールを確認します。
このルール セットの名前は デフォルトです。
356
McAfee Web Gateway 7.2
製品ガイド
モニタリング
エラー処理
2
18
必要に応じて、これらのルールを変更します。
たとえば、以下の操作を実行できます。
3
•
特定のエラーまたはインシデントが発生する際に、エラー処理の追加措置をとるルールの有効化。
•
追加のエラーとインシデントを処理する新しいルールとルール セットの作成。
変更を保存します。
エラー処理ルール セットの表示
Web フィルタリング ルールに対する通常のルール セット ツリーに加えて、ユーザー インターフェースに提供され
るルール セット ツリーでエラー処理用に実装されるルール セットを表示することができます。
タスク
1
[ポリシー] 、 [ルール セット]を選択します。
2
ルール セット ツリーの下で、[エラー ハンドラー]を選択します。
3
[デフォルト]トップレベル ルール セットを展開します。
エラー処理用のネストされたルール セットが表示されます。
4
ネストされたルール セットを選択します。
ネストされたルール セットのルールが設定ペインに表示されます。
関連トピック:
357 ページの「デフォルト エラー ハンドラー ルール セット 」
デフォルト エラー ハンドラー ルール セット
デフォルト エラー ハンドラー ルール セットは、エラー処理のデフォルト ルール セットです。
デフォルト エラー ハンドラー ルール セット - デフォルト
条件 — Always
以下のルール セットは、このルール セット内にネストされています。
•
長期接続
•
モニタリング
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
•
ログ ファイル マネージャーのインシデント
•
更新インシデントの処理
•
ライセンス インシデントの処理
•
マルウェア対策エンジンのエラー時にブロック
•
URL フィルター エラー時にブロック
•
すべてのエラー時にブロック
McAfee Web Gateway 7.2
製品ガイド
357
18
モニタリング
エラー処理
長期接続
ネストされているエラー処理ルール セットは、プロキシ モジュールのエラー発生時に接続を有効状態に維持します。
ネストされているエラー ハンドラー ルール セット — 長期接続
条件 – Error.ID equals 20000
このルール セットの条件は、Error.ID プロパティの値がプロキシ モジュールの異常を示す 20000 になった場合、
ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
接続を常に有効状態に維持
Always –> Stop Cycle
ルールが実行されると、現在処理中のサイクルを停止します。ルールはルール セットの条件が一致した場合、必ず
実行されます。処理中のサイクルを停止することは、接続がさらなるルール処理を行う間に閉じることを防ぎます。
このルールは、デフォルトでは有効になっていません。
モニタリング
このネストされているエラー ハンドラー ルール セットは、アプライアンス システムに関連するインシデントが発生
したときに取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — モニタリング
条件 — Incident.ID equals 5
このルール セットの条件は、Incident.ID プロパティの値がアプライアンス システムに関連するインシデントを示
す 5 の場合、ルール セットを適用することを指定します。
以下のルール セットは、このルール セット内にネストされています。
•
CPU の負荷を確認
•
キャッシュ パーティションを確認
•
リクエストの過負荷を確認
CPU の負荷を確認
このネストされているエラー ハンドラー ルール セットは CPU の負荷が構成された値を超えたときに取られる対策
を処理します。
ネストされているエラー ハンドラー ルール セット — CPU の負荷を確認
条件 — Statistics.Counter.GetCurrent(“CPULoad”) <デフォルト> greater than or equals 95
このルール セットの条件は、CPU の負荷の Statistics.Counter. GetCurrent プロパティ値が 95 以上の場合、ルー
ル セットを適用することを指定します。この値は CPU が現在実行中の最大負荷のパーセンテージを示しています。
値を提供する統計モジュールは、CPU の負荷プロパティのパラメーターの後に指定されているように、デフォルトの
設定とともに実行されます。
このルール セットは、以下のルールを含みます。
358
McAfee Web Gateway 7.2
製品ガイド
モニタリング
エラー処理
18
通知メッセージの作成
Always –> Continue – Set User-Defined.loadMessage =
“CPU load at “
+ Number.ToString (Statistics.Counter.GetCurrent(“CPULoad”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティを CPU 負荷のメッセージ テキストを構成する値のチェ
ーンに設定します。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットのSNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して CPU の負荷を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
キャッシュ パーティションを確認
このネストされているエラー ハンドラー ルール セットは、Web キャッシュの使用率が構成された値を超えたとき
に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — キャッシュのパーティションを確認
条件 – Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト> greater than or
equals 95
このルール セットの条件は、Web キャッシュの使用率の Statistics.Counter. GetCurrent プロパティ値が 95 以
上の場合に、ルール セットを適用することを指定します。この値は、現在使用されている Web キャッシュの最大許
容使用率のパーセンテージを示します。
値を提供する統計モジュールは、WebCacheDiskUsage プロパティのパラメーターの後に指定されているように、
デフォルトの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.cacheMessage =
“Cache partition usage at “
+Number.ToString (Statistics.Counter.GetCurrent(“WebCacheDiskUsage”)<デフォルト>)
+ “%”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されてます。もう一方は Web キャッシュの使
用率に関するメッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
McAfee Web Gateway 7.2
製品ガイド
359
18
モニタリング
エラー処理
ルール セットのSNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して Web キャッシュの使用率を管理者に知らせます。
これらのルールはデフォルトでは有効ではありません。
リクエストの過負荷を確認
このネストされているエラー ハンドラー ルール セットは、1 秒あたりのアプライアンスで処理されるリクエスト数
が構成された値を超えた場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — リクエストの過負荷を確認
条件 — Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト> greater than or equals
480000
このルール セットの条件は、リクエストの Statistics.Counter. GetCurrent プロパティ値が 480,000 以上の場
合、ルール セットを適用することを指定します。この値は 1 秒あたりに現在処理されているリクエスト数です。
値を提供する統計モジュールは、HttpRequests プロパティのパラメーターの後に指定されているように、デフォル
トの設定とともに実行されます。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Always –> Continue – Set User-Defined.requestsPerSecond =
Statistics.Counter.GetCurrent(“HttpRequests”)<デフォルト>)
/ 60
Set User-Defined.requestLoadMessage =
“detected high load: ”
+ Number.ToString (User-Defined.requestsPerSecond)
+ “requests per second”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールは 2 つのイベントを使用してユーザー定義のプロパティを設定します。これらのプロパティの 1 つは 1 秒
あたりに現在アプライアンスで処理されているリクエスト数に設定されています。もう一方はこの番号に関するメ
ッセージ テキストを構成する値のチェーンに設定されます。
Continue アクションは次のルールで処理を続行します。
SNMP トラップおよびその他のルールの送信
Always –> Continue – ...
ルール セットのSNMP の送信トラップ ルールおよびその他のルールは、ルール セットの条件が一致した場合、必
ず実行されます。
ルールは対策を取るためにさまざまなイベントを使用して、リクエストの過負荷を管理者に知られます。
これらのルールはデフォルトでは有効ではありません。
ログ ファイル マネージャーのインシデント
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ログ ファイル マネージャー インシデント
条件 – Incident.ID greater than or equals 501 AND Incident ID less than or equals 600
360
McAfee Web Gateway 7.2
製品ガイド
モニタリング
エラー処理
18
このルール セットの条件は、Incident.ID プロパティの値がログ ファイル マネージャーに関連するインシデントの
範囲内の場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
通知メッセージの作成
Incident.ID equals 501 –> Continue – Set User-Defined.notificationMessage =
“License expires in ”
+ Number.ToString (License.RemainingDays)
+ “ days”
ルールはルール セットの条件が一致した場合、必ず実行されます。
ルールはイベントを使用して、ユーザー定義のプロパティをライセンスの残り日数のメッセージ テキストを構成す
る値のチェーンに設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルール セットのその他のルールは、通知メッセージの作成ルールと同じ方法
で Incident.ID の値のプロパティを確認し、この値が 501 の場合さまざまなイベントを使用して対策を取ります。
これらのルールはデフォルトでは有効ではありません。
更新インシデントの処理
このネストされているエラー ハンドラー ルール セットは、ログ ファイル マネージャーに関連するインシデントが
発生した場合に、取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — 更新インシデントの処理
条件 – IIncident.OriginName equals “Updater” OR Incident.ID equals 850 OR Incident.ID
equals 851 OR Incident.ID equals 940 OR Incident.ID equals 941 OR Incident.ID equals
1050 OR Incident.ID equals 1051 OR Incident.ID equals 1650 OR Incident.ID equals 1651
このルール セットの条件は、更新モジュールが Incident.OriginName プロパティの値によって指定された場合、ま
たは Incident.ID プロパティの値が更新モジュールに関連しているものである場合、ルール セットを適用すること
を指定します。
このルール セットは、以下のルールを含みます。
更新インシデント メッセージの作成
Always –> Continue – Set User-Defined.eventMessage =
“Update Event triggered [“
+ Number.ToString (Incident.ID)
+ “]:”
+ Incident.Description
+ “; origin:”
+ Incident.OriginNamey
+ “; severity:”
+ Number.ToString (Incident.Severity)
ルールはルール セットの条件が一致した場合、必ず実行されます。
McAfee Web Gateway 7.2
製品ガイド
361
18
モニタリング
エラー処理
ルールはイベントを使用して、ユーザー定義のプロパティを更新インシデントのメッセージ テキストを構成する値
のチェーンに設定します。メッセージはいくつかのインシデント プロパティの値を含みます。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
ライセンス インシデントの処理
このネストされているエラー ハンドラー ルール セットは、アプライアンスのライセンスの期限日に関連するインシ
デントが発生した場合に取られる対策を処理します。
ネストされているエラー ハンドラー ルール セット — ライセンス インシデントの処理
条件 — Incident.ID equals 200
このルール セットの条件は、Incident.ID プロパティの値がライセンスの残り日数のインシデントを示す 200 の場
合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
ライセンス インシデント メッセージの作成
Always –> Continue – Set User-Defined.notificationMessage =
「ログ ファイルをプッシュできません。mwg-logfilemanager エラー ログをご覧ください（/opt/mwg/log/
mwg-errors/mwg-logmanager.errors.log）。」
ルールは Incident.ID プロパティの値がログ ファイル マネージャーがログ ファイルをプッシュできないことを示
す 501 かどうかを確認します。
このケースの場合、ルールはイベントを使用して、通知メッセージのテキストである文字列の値にこのメッセージ
を送信するために、ユーザー定義のプロパティを設定します。
Continue アクションは次のルールで処理を続行します。
syslog エントリの作成
Always –> Continue – ...
syslog エントリの作成ルールおよびルールセットの他のルールは、さまざまなイベントを使用して、個々のルール
の条件が一致した場合に対策を取ります。
これらのルールはデフォルトでは有効ではありません。
マルウェア対策エラー時にブロック
このネストされているエラー ハンドラー ルールは、マルウェア対策モジュールに負荷をかけられないまたは負荷か
かりすぎているとき、すべての Web オブジェクトへのアクセスのブロックを設定します。
ネストされているエラー ハンドラー ルール セット — マルウェア対策エラー時にブロック
条件 — Always
このルール セットは、以下のルールを含みます。
マルウェア対策エンジンに負荷をかけられない場合にブロック
Error.ID equals 14000 –> Block<マルウェア対策に負荷をかけられない>
362
McAfee Web Gateway 7.2
製品ガイド
モニタリング
エラー処理
18
ルールは負荷からマルウェア対策モジュール（エンジンとも呼ばれる）を防ぐエラーの Error.ID プロパティの値が
14000 の場合、すべての Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
マルウェア対策エンジンに負荷がかかりすぎている場合にブロック
Error.ID equals 14001 –> Block<マルウェア対策エンジン過負荷状態>
ルールは、プロパティの値がマルウェア対策モジュール
（エンジンとも呼ばれる）へのすべての接続が現在使用され
ており、Error.ID プロパティの値がモジュールに負荷がかかりすぎていることを示す 14001 のとき、すべての
Web オブジェクトへのアクセスをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
URL フィルター エラー時にブロック
このネストされているエラー ハンドラー ルール セットは、URL フィルター モジュールに負荷をかけられないまた
はこのモジュールに関連したエラーが発生するとき、すべての Web オブジェクトへのアクセスのブロックを設定し
ます。
ネストされているエラー ハンドラー ルール セット — URL フィルター エラー時にブロック
条件 – Error.ID greater than or equals 15000 AND Error.ID less than or equals 15999
ルール セットの条件は、URL フィルタリング関連のエラーの範囲である、指定の範囲内に Error.ID プロパティの値
がある場合、ルール セットを適用することを指定します。
このルール セットは、以下のルールを含みます。
URL フィルター エンジンに負荷をかけられない場合にブロック
Error.ID equals 15000 OR Error.ID equals 15002 OR Error.ID equals 15004 OR Error.ID
equals15005 –> Block<URL フィルターに負荷をかけられない>
ルールは Error.ID プロパティの値がルールの条件で指定されたうちの 1 つになった場合、すべての Web アクセ
スのリクエストをブロックします。これらの値は URL フィルター モジュール
（エンジンとも呼ばれる）の読み込み
を防ぐエラーを示します。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
その他すべての内部 URL フィルター エラーをブロック
Always –> Block<内部 URL フィルター エラー>
ルールは、ルール セットが適用されルールに先行してルール セットが実行されていないとき常に実行されます。ル
ールは Web アクセスのすべてのリクエストをブロックします。
アクション設定はリクエストしたユーザーへのメッセージを指定します。
すべてのエラー時にブロック
このネストされているエラー ハンドラー ルール セットは、アプライアンスで内部エラーが発生した場合、すべて
の Web オブジェクトへのアクセスをブロックします。
ネストされているエラー ハンドラー ルール セット — すべてのエラー時にブロック
条件 — Always
ルール セットには、以下のルールが含まれます。
常にブロック
Always –> Block<内部エラー>
ルールは内部エラーが発生した場合、すべての Web オブジェクトへのアクセスをブロックします。
McAfee Web Gateway 7.2
製品ガイド
363
18
モニタリング
パフォーマンス測定
アクション設定はアクセスをリクエストしたユーザーへのメッセージを指定します。
このルール セットでのルールはアプライアンスの内部エラーを処理するためのものです。内部エラーが発生したと
きに実行されます。これは当然、予測不可能で、フィルタリング プロセス中のいかなるときに発生したり、全く発
生しない可能性があります。これらのセンスでは、ルールの処理は通常のプロセス フローの一部ではありません。
ブロックを実行した後、ルールは内部エラー発生時にフィルタリングされていたリクエスト、応答、または埋め込
みオブジェクトのルールのさらなる全処理を停止します。
こうした場合、アプライアンスが完全に利用可能でない間、不正または不適切な Web オブジェクトがネットワー
クを出入りしないことが保証されます。
プロセス フローは、内部エラーがアプライアンス機能の一般的な妨害を引き起こさなかった場合、次のリクエスト
を受信するまで続きます。
パフォーマンス測定
複数のアプライアンス機能に対する処理時間がパフォーマンス情報として測定され、ダッシュボードに表示されます。
この情報はログ ファイル内に記録することができます。また、個々のルール セットに対して処理時間を測定して記
録することもできます。
DNS サーバーで名前を検索することによってホスト名を解決するのにかかる平均時間に関してなど、パフォーマン
スがアプライアンスで測定されます。この情報およびその他のパフォーマンス情報は、ダッシュボードで表示するこ
とができます。また、個々のルール セットを処理するために必要な時間を測定することもできます。
ダッシュボードに表示されるものと、自分で測定したものを含め、パフォーマンス情報はすべてログすることが可能
です。
パフォーマンス情報を測定してログする際には、以下の要素が関連します。
•
パフォーマンス情報をログするためのプロパティ
•
パフォーマンス情報をログするためのプロパティを使用するログ ルール
•
個々のルール セットに対する処理時間を測定するイベント
•
処理時間が測定されるようにするためのイベントが挿入されているルールを含むルール セット
ログ プロパティ
ダッシュボードに表示されるパフォーマンス情報に対応するプロパティは複数あり、これらはログ ルール内で使用で
きます。
たとえば、プロパティ Timer.ResolveHostNameViaDNS は、DNS サーバーで名前を検索することによってホ
スト名を解決するのにかかる平均時間に関するダッシュボード情報に対応します。
個々のルール セットの処理に対して測定された時間をログするために利用可能なプロパティは、2 つあります。
Stopwatch.GetMilliSeconds プロパティはミリ秒単位で、Stopwatch.GetMicroSeconds はマイクロ秒単
位で、それぞれこの時間を記録します。
ログ ルール
アプライアンスにおけるデフォルトのログ ルールは、ログ行を作成するために 1 つのイベントを使用し、これらの
行をログ ファイルに書き込むためにもう 1 つのイベントを使用します。
パフォーマンス情報をログするためのプロパティをログ行の要素に追加すると、その要素だけでなく、ログ行のその
他の要素もログ ファイル内に書き込まれます。
パフォーマンス情報をログするためのデフォルトのルールを使用したり、自分でルールを作成したりすることができ
ます。
364
McAfee Web Gateway 7.2
製品ガイド
モニタリング
パフォーマンス測定
18
処理時間を測定するためのイベント
個々のルール セットの処理にかかった時間を測定するために利用可能なイベントは、2 つあります。
Stopwatch.Start イベントは、この時間を測定する内部ストップウォッチを開始します。また、
Stopwatch.Stop イベントは、経過時間を記録できるようにウォッチを停止します。
測定対象ルール セット
特定のルール セットの処理にかかる時間を測定するには、内部ストップウォッチを開始するためのイベント
（つまり、
開始イベント）を含むルールをルール セットの先頭に、停止イベントを含むもう 1 つのルールをルール セットの末
尾にそれぞれ作成する必要があります。
ルール セットの処理を停止するアクションが含まれる場合は、このルール セットの既存のルールにも停止イベント
を挿入する必要があります。それ以外の場合は、ウォッチが停止されることはありません。これは、ルール セットの
末尾に停止イベントがあるルールはスキップされるためです。
パフォーマンス情報の表示
複数のアプライアンス機能に関するパフォーマンス情報をダッシュボードで表示することができます。
タスク
1
[ダッシュボード] 、 [グラフおよび表]を選択します。
2
[パフォーマンス情報]を選択します。
パフォーマンス情報がタブに表示されます。
関連トピック:
340 ページの「グラフと表の情報の概要 」
パフォーマンス測定の構成
アプライアンスの機能のパフォーマンスを測定およびロギングするために、パフォーマンス測定を構成できます。
以下の高レベル手順を完了します。
タスク
1
ダッシュボードに示されているパフォーマンス情報を表示し、どのような種類の情報をログ ファイルに記録する
かを決定します。
例: DNS サーバーでのホスト名の参照に消費する平均時間を記録できます。この情報は、ダッシュボードの
DNS 参照機能によって示されます。
2
パフォーマンス情報をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいロ
グ ルールに使用します。
例: Timer.ResolveHostNameviaDNS プロパティをデフォルトのアクセス ログルール セットの
access.log への書き込みでログ行を作成するイベントに挿入します。
3
特定のルール セットを処理するのにかかる時間を測定します。
a
ルール セットの最初に、内部ストップウォッチを開始するイベントを含むルールを挿入します。
b
ウォッチを停止して、消費した時間を測定します。
•
ルール セットの終わりに、これらのアクティビティを実行するイベントを含むルールを挿入します。
•
ルールセットのすべてのルールが処理される前に、そのルール セットを停止する能力のある既存ルールそ
れぞれに、これらのアクティビティを実行するイベントを挿入します。
McAfee Web Gateway 7.2
製品ガイド
365
18
モニタリング
パフォーマンス測定
例: URL フィルタリング ルール セットによって消費される処理時間を測定するには、以下の手順に従います。
4
•
ルール セットの最初に Stopwatch.Start (URL フィルタリング) イベントを含むルールを挿入します。
•
終わりに Stopwatch.Stop (URL フィルタリング) イベントを含むルールを挿入します。
•
Stopwatch.Stop (URL フィルタリング) イベントはさらなるルールの処理を停止できるため、そのイベン
トをルール セットのホワイトリストおよびブロック ルールに挿入します。
処理時間の測定をロギングするために利用できるプロパティを既存のログ ルール、または作成する新しいログ ル
ールに使用します。
例: Stopwatch.GetMilliSeconds (URL フィルタリング) プロパティをデフォルトのアクセス ログルール
セットの access.log への書き込みでログ行を作成するイベントに挿入します。
パフォーマンス情報をログするためのプロパティのルール内での使用
パフォーマンス情報がログされるようにするために、パフォーマンス ログ プロパティをログ ルールに挿入すること
ができます。
ダッシュボードに表示されるパフォーマンス情報のタイプごとに、1 つのログ プロパティが利用可能です。
ダッシュボードには、たとえば、DNS サーバーで名前を検索することによってホスト名を解決するのにかかる平均
時間が表示されます。この情報に対応するプロパティは、Timer.ResolveHostNameViaDNS です。プロパティ
の値は、アプライアンスで処理された要求内でホスト名を検索するのにかかった時間です。時間は、ミリ秒単位で測
定されます。
その他のパフォーマンス ログ プロパティには、外部サーバーへの接続に必要な時間を測定するための
Timer.HandleConnect ToServer や、アプライアンスで要求が受信された場合にルール エンジンによる処理に
必要な時間を測定するための Timer.TimeConsumedByRule Engine があります。
ダッシュボードのパフォーマンス情報をログできるようにするすべてのプロパティには、名前の先頭に Timer とい
う要素が含まれています。
トランザクションに対する処理時間の測定
ダッシュボードに表示されるパフォーマンス情報をログするためにプロパティによって測定されて利用可能になる時
間とは、個々の要求に対する処理が関連処理サイクル全体で続行される限り特定のアクティビティ
（外部サーバーへの
接続など）に必要な時間です。
1 つの個々の要求を関連サイクル全体で処理することは、1 つのトランザクションと見なされます。
1 つのトランザクションに 3 つのサイクルすべて（要求、応答、および埋め込みオブジェクト）を含める必要はあり
ません。
たとえば、ブロック対象カテゴリに分類される Web ページに対してユーザーが要求を送信した場合、このユーザー
にはブロック メッセージが返され、対象の Web サーバーに要求は転送されず、処理は応答サイクルに入りません。
また、トランザクションには要求サイクルのみが含まれ、この場合には応答サイクルは関係ありません。
パフォーマンス情報をログするためのルール
アクセス ログは、要求に対してトランザクションが完了するとログ エントリが書き込まれるログ ファイルととも
に、デフォルトによってアプライアンスに存在します。このログは、パフォーマンス情報を記録するために適切なデ
バイスです。
アクセス ログのログ ファイルへのログ エントリの書き込みは、ログ ルールによって実行されます。このルールは、
ログ ファイル エントリを作成するために 1 つのイベントを使用し、このエントリをログ ファイルに書き込むために
もう 1 つのイベントを使用します。
366
McAfee Web Gateway 7.2
製品ガイド
モニタリング
パフォーマンス測定
18
名前
access.log の書き込み
条件
アクション
常に適用する –> 続行
イベント
– Set User-Defined.logLine = DateTime.ToWebReporterString
+ “””
+ ...
FileSystemLogging.WriteLogEntry (User-Defined.logLine)<アクセス ログ
構成>
ログ エントリは複数の要素で構成され、各要素によって特定の情報（要求がアプライアンスで受信された日付と時刻
など）が追加されます。パフォーマンス情報を提供する要素をエントリに追加することによって、この情報がログさ
れるようにすることができます。
パフォーマンス情報
（DNS 参照に必要な処理時間など）をログするには、以下の 2 つの要素を追加する必要がありま
す。
•
+ Number.ToString (Timer.ResolveHostNameViaDNS)
•
+ “””
ログ エントリは文字列であるため、処理時間に対する数値は、文字列形式に変換された後でのみログ可能になりま
す。
これは、Timer.ResolveHostNameViaDNS プロパティをパラメーターとして必要とする
Number.ToString プロパティによって行われます。
ルール セット処理時間を測定するためのイベントのルール内での使用
個々のルール セットの処理にかかった時間は、測定イベントを含むルールをルール セットに挿入することにより測
定できます。
処理時間を測定する理由は、ルール セットに変更を適用した後でパフォーマンスが向上したかどうかを把握するため
です。
ルール セット処理時間を測定するためのイベントは、アプライアンスの内部ストップウォッチを制御します。利用可
能なイベントは、以下のとおりです。
•
[Stopwatch.Start] — 内部ストップウォッチを開始します
•
[Stopwatch.Stop] — 内部ストップウォッチを停止します
•
[Stopwatch.Reset] — 内部ストップウォッチをリセットします
これらの各イベントには、それぞれが測定するルール セットを指定するために文字列パラメーターが必要となりま
す。たとえば、URL フィルタリング ルール セットの処理時間を測定する内部ウォッチを開始するイベントは、ルー
ル内で Stopwatch.Start ("URLFiltering") のように表されます。
処理時間を測定するためのルール
URL フィルタリング ルール セットに対して処理時間の測定を開始するために、たとえば Stopwatch.Start イベ
ントを使用するルールは、次のようになります。
名前
ルール セットに対してストップウォッチを開始する
条件
常に適用する
McAfee Web Gateway 7.2
アクション
–>
続行
イベント
–
Stopwatch.Start ("URLFiltering")
製品ガイド
367
18
モニタリング
マカフィー ePO を監視するためのデータの転送
ルール セットの処理にかかる時間を測定するには、開始イベントを含むルールをルール セットの先頭に、停止イベ
ントを含むもう 1 つのルールをルール セットの末尾にそれぞれ置く必要があります。
ただし、Stop Rule Set、Stop Cycle、または Block というアクションを実行できるルールがルール セット内に含
まれている場合は、これらの各ルールに停止イベントを挿入する必要もあります。
内部ウォッチを停止するためのイベントが挿入されている URL フィルタリング ルールは、次のようになります。
名前
URL ホワイトリスト内の URL を許可する
条件
URL が URL ホワイトリストに一致する
アクション
–> 続行
イベント
– Stopwatch.Stop ("URLFiltering")
このルールを適用すると、URL フィルタリング ルール セットの処理が停止します。これは、許可された URL のリ
ストにユーザーがアクセスを要求した URL が含まれていることが検出されるからです。そのため、このルールには
停止イベントを挿入する必要があります。
ルール セットの末尾に停止イベントを含むルールは処理されないため、これは必要です。その理由は、このルールに
達する前に、ホワイトリスト ルールによってルール セットの処理が停止されるからです。
測定された処理時間のログ
ルール セットの処理に対して測定された時間をログすることができます。この目的のために利用可能なプロパティ
は 2 つあり、これらはログ ルール内で使用できます。
•
[Stopwatch.GetMilliSeconds] — ルール セット処理に対してミリ秒単位で測定された時間
•
[Stopwatch.GetMicroSeconds] — ルール セット処理に対してマイクロ秒単位で測定された時間
これらのプロパティには両方とも、処理時間が測定されたルール セットを示す文字列パラメーターが含まれます。
たとえば、URL フィルタリング ルール セットの処理時間をミリ秒単位でログするためのプロパティは、ログ ルール
内で Stopwatch.GetMilliSeconds ("URLFiltering") のように表されます。
マカフィー ePO を監視するためのデータの転送
®
™
アプライアンスから マカフィー ePolicy Orchestrator（マカフィー ePO ）コンソールへデータを転送すると、この
コンソールから該当のアプライアンスを監視することができます。
マカフィー ePolicy Orchestrator コンソールは、McAfee Web Gateway アプライアンスを含め、さまざまな マカ
フィー 製品でセキュリティ管理を実行するためのデバイスです。
マカフィー ePO コンソールとアプライアンスを適宜構成した場合は、コンソールからアプライアンスにログオンし、
アプライアンスからコンソールが実行されているサーバーへと、監視データを転送させることができます。このサー
バーは、マカフィー ePO サーバーとも呼ばれます。
マカフィー ePO サーバーは、定期的にアプライアンスで収集された監視データを取得するために、SSL セキュア要
求を送信します。その後、Web セキュリティ ルールの通常の処理をバイパスするために、SSL セキュア通信が開始
する CONNECT 要求を許可する必要があります。これにより、アプライアンスで要求がブロックされないようにな
ります。
たとえば、認証ルールが実装されている場合、これらのルールによって使用される認証方法はサーバーでサポートさ
れないため、ブロックされます。
バイパスを有効にしたり、独自のルール セットを作成したりするために、ライブラリから適切なルール セットをイ
ンポートできます。
368
McAfee Web Gateway 7.2
製品ガイド
モニタリング
マカフィー ePO を監視するためのデータの転送
18
ePolicy Orchestrator 設定の構成
ePolicy Orchestrator 設定を構成して、アプライアンスから マカフィー ePO サーバーへのモニタリング データの
転送を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、監視データを転送するアプライアンスを選択して、[ePolicy Orchestrator]を選択し
ます。
3
必要に応じて、ePolicy Orchestrator 設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
369 ページの「ePolicy Orchestrator 設定 」
ePolicy Orchestrator 設定
ePolicy Orchestrator 設定は、アプライアンスから マカフィー ePO サーバーへのモニタリング データを転送する
ために使用されます。
ePolicy Orchestrator 設定
マカフィー ePO サーバーへのモニタリング データを転送するための設定
表 18-25 ePolicy Orchestrator 設定
オプション
定義
[ePO ユーザー アカウント]
アプライアンスからのモニタリング データの取得を可能にするアカウントのユーザ
ー名
[パスワード ]
ユーザーのパスワード
[変更]
新しいパスワードを作成するためのウィンドウを開きます。
[ePO のデータ収集を有効化] 選択されている場合、マカフィー ePO サーバーのモニタリング データはアプライ
アンスで収集されます。
[データ収集間隔（分単位）]
データ収集の合間に経過する時間（分単位）
時間は 10 分 ～ 6 時間までの範囲のスライダー スケールで設定されます。
ePO リクエストのバイパス ルール セット
ePO リクエストのバイパス ルール セットは、マカフィー ePO サーバーからのリクエストがアプライアンスのフィ
ルタリング ルールのバイパスすることを可能にするためのライブラリ ルール セットです。
ライブラリ ルール セット — ePO リクエストのバイパス
条件 — Command.Name equals “CONNECT”
サイクル － リクエスト（および IM）
このルール セットの条件は、ePO サーバーとアプライアンスの間の SSL セキュア通信がサーバーからのリクエスト
をアプライアンスに接続し始めるときに、ルール セットが適用されることを指定します。
ルール セットには、以下のルールが含まれます。
McAfee Web Gateway 7.2
製品ガイド
369
18
モニタリング
SNMP でのイベント モニタリング
ePO リクエストの後続のルールをスキップする
URL.Host equals “127.0.0.1” OR URL.Host equals “[::1]” –> Stop Cycle – Enable SSL Client
Context<デフォルト CA> – Enable SSL Scanner <edh なしの証明書認証>
このルールは URL.Host プロパティを使用して、ホストの IP アドレスに基づいてリクエストされた URL のホスト
を識別します。
このアドレスが 127.0.0.1 の場合、リクエストされた URL のホストはアプライアンスです。ePO サーバーはアプ
ライアンスへの接続要求を送信するとき、このアドレスを使用します。
そのため、127.0.0.1 がリクエストされたアドレスの場合、ルールはリクエスト サイクルでのすべてのさらなる処
理を適用および停止します。これで、CONNECT リクエストは通過を許可されます。
このプロセスでの次のステップは証明書の送信および確認です。このルールは、デフォルトの証明機関で発行され
たクライアント証明書の送信を有効化するためのイベントを含みます。
イベント設定を変更し、その他の証明機関で証明書を発行させることもできます。
認証確認が完了したら、SSL セキュア通信を開始できます。
SNMP でのイベント モニタリング
アプライアンス システムで発生するイベントは、SNMP を使用して監視できます。
SNMP
（Simple Network Management Protocol）でモニタリングが実行される場合、ホスト システムで実行され
る SNMP エージェントは、このシステムで発生するイベントに関するメッセージをそのクライアントである他のホ
スト システムに送信します。
メッセージは SNMP ではトラップと呼ばれていて、SNMP エージェントが実行されるホスト システムは、管理ステ
ーションと呼ばれています。エージェントからメッセージを受け取るホスト システムも管理ステーションと呼ばれて
いて、その上に、トラップ シンクとも呼ばれます。
特定のユーザーまたはユーザー コミュニティに、トラップで送信された情報を表示する権限が与えられます。システ
ム情報は、情報の表示にツリー構造を使用する Management Information Base
（MIB）でも提供されます。
SNMP 設定の構成
アプライアンス上のシステム イベントの監視を有効化するために、SNMP 設定を構成できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、SNMP 監視をオンにするアプライアンスを選択して、[SNMP]をクリックします。
3
必要に応じて、SNMP 設定を構成します。
4
[変更の保存]をクリックします。
関連トピック:
370 ページの「SNMP 設定 」
SNMP 設定
SNMP 設定とは、SNMP でシステム イベントの監視を構成するための設定です。
SNMP ポート設定
クライアント要求をリッスンするアプライアンスの SNMP エージェントのポートに対する設定
370
McAfee Web Gateway 7.2
製品ガイド
モニタリング
SNMP でのイベント モニタリング
18
表 18-26 SNMP ポート設定
オプション
定義
[リスナー アドレス リスト]
クライアント要求をリッスンするポートのリスト
次の表では、リスナー アドレス リストのエントリを説明しています。
表 18-27 リスナー アドレス - リスト エントリ
オプション
定義
[プロトコル ]
ポートとこのポートがリッスンするクライアントとの間の通信に使用されるプロトコル
• [UDP] — 選択すると、この通信に対して UDP が使用されます。
• [TCP] — 選択すると、この通信に対して TCP が使用されます。
[リスナー アドレス]
リスナー ポートの IP アドレスとポート番号
[コメント]
リスナー ポートに関するテキスト形式のコメント
SNMP プロトコル オプション
SNMP プロトコル バージョンと SNMP 情報へのユーザー アクセスに対する設定
表 18-28 SNMP プロトコル オプション
オプション
定義
[SNMP v1]
選択すると、SNMP のバージョン 1 でシステム イベントが監視されます。
[SNMP v2c]
選択すると、SNMP のバージョン 2c でシステム イベントが監視されます。
[SNMPv1 および SNMPv2c ア SNMP のバージョン 1 と 2c で SNMP 情報へのアクセスが許可されたユーザー
コミュニティのリスト
クセスのコミュニティ]
[SNMP v3c]
選択すると、SNMP のバージョン 3 でシステム イベントが監視されます。
[SNMP v3 ユーザー]
SNMP のバージョン 3 で SNMP 情報へのアクセスが許可されたユーザーのリス
ト
次の表では、ユーザー コミュニティのリストと SNMP v3 ユーザーのリストのエントリを説明しています。
表 18-29 ユーザー コミュニティ - リスト エントリ
オプション
定義
[コミュニティ文字列]
SNMP 情報にアクセスできるようにユーザー コミュニティを認証するために使用される
文字列（例: public）
[許可されたルート OID] アクセスが許可された情報の開始である MIB ツリーの項目の ID
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
[許可]
SNMP 情報へのアクセスが許可されたホスト システムのホスト名または IP アドレス
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザー コミュニティに関するテキスト形式のコメント
表 18-30 SNMP v3 ユーザー - リスト エントリ
オプション
定義
[ユーザー名]
SNMP 情報へのアクセスが許可されたユーザーの名前
[許可されたルート OID] アクセスが許可された情報の開始である MIB ツリーの項目の ID
ここで * が指定されているか、または値が指定されていない場合は、すべての情報への
アクセスが許可されます。
McAfee Web Gateway 7.2
製品ガイド
371
18
モニタリング
SNMP でのイベント モニタリング
表 18-30 SNMP v3 ユーザー - リスト エントリ (続き)
オプション
定義
[認証]
SNMP 情報にユーザーがアクセスするときに使用される認証方法
[暗号化]
SNMP 情報にユーザーがアクセスするときに使用される暗号化方法
[読み取り専用アクセス] 選択すると、SNMP 情報への読み取り専用アクセスのみが許可されます。
[コメント]
ユーザーに関するテキスト形式のコメント
SNMP トラップ シンク
SNMP メッセージを受信するホスト システムに対する設定
表 18-31 SNMP トラップ シンク
オプション
定義
[トラップ シンク] アプライアンスの SNMP エージェントからシステム イベントに関するメッセージを受信する
ホスト システム（トラップ シンクとも呼ばれる）のリスト
次の表では、トラップ シンクのリストのエントリを説明しています。
表 18-32 トラップ シンク - リスト エントリ
オプション
定義
[ホスト名または IP アドレス] SNMP メッセージ（トラップとも呼ばれる）を受信するホスト システムのホスト名
または IP アドレス
[ポート]
SNMP メッセージをリッスンするホスト システムのポート
[コミュニティ文字列]
SNMP 情報にアクセスできるようにユーザー コミュニティを認証するために使用さ
れる文字列（例: public）
[SNMP v2c トラップを送信] 選択すると、メッセージは SNMP プロトコルのバージョン v2c で送信することが
可能になります。
[コメント]
372
McAfee Web Gateway 7.2
SNMP メッセージを受信するホスト システムに関するテキスト形式のコメント
製品ガイド
19
トラブルシューティング
アプライアンスの問題をトラブルシューティングするために、さまざまな方法とツールを利用できます。
目次
トラブルシューティング方法
フィードバック ファイルの作成
コア ファイルの作成の有効化
接続追跡ファイルの作成の有効化
パケット追跡ファイルの作成
ネットワーク ツールの操作
アプライアンスの構成のバックアップおよび復元
トラブルシューティング方法
アプライアンスで問題が発生した場合には、さまざまな方法を使用して解決することができます。
ファイル内へのデータの記録と検査
アプライアンスの動作に関するデータは、ファイル内に記録して検査することができます。この目的のために作成で
きるファイルのタイプは、以下のとおりです。
•
ログ ファイル — アプライアンスへのアクセスやファイルの更新など、イベントと機能をログします
•
ルール追跡ファイル — ルールの処理を記録します
•
フィードバック ファイル — 機能が失敗した後でプロセスをバックトレースします
•
コア ファイル — 機能が失敗したためにアプライアンスの動作が終了した後にメモリのコンテンツを記録します
•
接続追跡ファイル — アプライアンスと他のネットワーク コンポーネントとの間の接続上におけるアクティビテ
ィを記録します
•
パケット追跡ファイル — アプライアンスのネットワーク アクティビティを記録します
ネットワーク ツールの使用
場合によっては、アプライアンスから他のネットワーク コンポーネントへの接続が引き続き機能しているかどうかを
テストする必要があります。この目的のために利用可能なツールは、ping、nslookup、ipneigh などを含め、複
数存在します。
構成の復元
他のトラブルシューティング方法が機能しない場合は、問題のあるアプライアンス構成を削除してバックアップで置
換しなければならないことがあります。
McAfee Web Gateway 7.2
製品ガイド
373
19
トラブルシューティング
フィードバック ファイルの作成
バックアップを作成しておくと、既存の構成に適用された変更を破棄する場合など、他の状況でも役立つことがあり
ます。
バックアップを作成したり、バックアップを使用して構成を復元したりするために、オプションが提供されます。
フィードバック ファイルの作成
フィードバック ファイルを作成して、機能の障害が発生した後にプロセスをバックトレースできます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、プロセスをバックトレースするアプライアンスを選択して、[フィードバック]をクリ
ックします。
3
必要に応じて、[実行中の McAfee Web Gateway を一時停止してバックトレースを作成する]を選択または選択
解除します。
チェックボックスを選択することをお勧めします。
4
[フィードバック ファイルを作成する]をクリックします。
ファイルが作成されて、名前、サイズ、および日付が［[フィードバック ファイル]］下のリストに表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
コア ファイルの作成の有効化
機能の障害によってアプライアンスの処理が停止した後にメモリ コンテンツを記録するための、コア ファイルの作
成を有効化できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、メモリ コンテンツを記録するアプライアンスを選択して、[トラブルシューティング]
をクリックします。
3
[トラブルシューティング]セクションで、[コア ファイルの有効化]を選択します。
4
[変更の保存]をクリックします。
これで、特定機能への障害により、アプライアンスが停止するたびに、コア ファイルが作成されるようになりま
す。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[コア ファイル]を選択したら、コ
ア ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
374
McAfee Web Gateway 7.2
製品ガイド
トラブルシューティング
接続追跡ファイルの作成の有効化
19
接続追跡ファイルの作成の有効化
追跡ファイルの作成を有効にして、アプライアンスと他のネットワーク コンポーネント間の接続で起こるアクティビ
ティを記録できます。
タスク
1
[構成] 、 [アプライアンス]を選択します。
2
アプライアンス ツリーで、接続アクティビティを記録するアプライアンスを選択して、[トラブルシューティン
グ]をクリックします。
3
[トラブルシューティング]セクションで、[接続追跡の有効化]を選択します。
4 ［オプション］アプライアンスの特定クライアントとの接続でのアクティビティのみを追跡するには、[追跡を 1
つの IP のみに制限する]を選択し、[クライアント IP]フィールドにクライアントの IP アドレスを入力します。
5
[変更の保存]をクリックします。
これで、接続追跡ファイルが作成されます。
[トラブルシューティング]トップ レベル メニューのアプライアンスを選択して、[接続追跡]をクリックしたら、接
続追跡ファイルを表示できます。ファイルはリストで表示されます。
ツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のアクティビ
ティを実行できます。
パケット追跡ファイルの作成
パケット追跡ファイルを作成して、アプライアンスのネットワーク アクティビティを記録できます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ネットワーク アクティビティを記録するアプライアンスを選択して、[パケット追跡]
をクリックします。
3
[コマンド ライン パラメーター]フィールドで、必要に応じて、パケット追跡のパラメーターを入力します。
4
[tcpdump の開始]をクリックします。
パケット追跡ファイルが生成されて、名前、サイズ、および日付が[結果（dump）]下のリストに表示されます。
パケット追跡ファイルの生成の進行を停止するには、[tcpdump の停止]をクリックします。
リストのツールバーにある項目を使用して、ファイルの表示またはダウンロードなどのさまざまなファイル関連のア
クティビティを実行できます。
McAfee Web Gateway 7.2
製品ガイド
375
19
トラブルシューティング
ネットワーク ツールの操作
ネットワーク ツールの操作
アプライアンスで発生した問題をトラブルシューティングするために、複数のネットワーク ツールを操作することが
できます。
タスク
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、ネットワーク ツールを使用するアプライアンスを選択し、[ネットワーク ツール]を
クリックします。
3
[コマンド ライン パラメーター]フィールドに、特定のネットワーク ツールによって提供されるコマンドに対す
るパラメーターを入力します。
たとえば、ping コマンドを使用して接続するホストの名前を入力します。
4
以下のネットワーク ツールのいずれかに対するボタンをクリックします。
•
[ping]
•
[ping6]
•
[nslookup]
•
[traceroute ]
•
[traceroute6 ]
•
[ipneigh ]
•
[service restart ]
•
[ntp ]
対応するコマンドが実行され、出力が[結果]フィールドに表示されます。
出力は次のようになります。
Ping:Unknown host testhost
アプライアンスの構成のバックアップおよび復元
アプライアンスの構成をバックアップ ファイルに保管し、このファイルを使用して構成を復元することができます。
構成を復元するときに、完全な構成、または[ポリシー]トップレベル メニューで構成されたルール、リスト、および
設定に関するデータを含む、データのみを復元するかを選択できます。
タスク
376
1
[トラブルシューティング]トップレベル メニューを選択します。
2
アプライアンス ツリーで、バックアップするアプライアンスか、または復元する構成を選択して、[バックアッ
プ/復元]をクリックします。
McAfee Web Gateway 7.2
製品ガイド
トラブルシューティング
アプライアンスの構成のバックアップおよび復元
3
19
[ポリシー、構成、およびアカウントのバックアップ]で、以下の手順を実行します。
•
構成をバックアップするには、[ファイルにバックアップ]をクリックします。
ローカル ファイル マネージャーが開き、構成を保存するためのファイルを選択できます。
•
復元を実行するには、以下の手順を実行します。
•
完全な構成
[ポリシーのみを復元する]を選択解除し、次に[ファイルから復元]をクリックします。
•
ルール、リスト、および設定のみ
[ポリシーのみを復元する]が選択されていることを確認し、次に[ファイルから復元]をクリックします。
復元後にログオフされるというメッセージを確認してください。
ローカル ファイル マネージャーが開き、構成を復元するためのバックアップ ファイルを選択できます。
McAfee Web Gateway 7.2
製品ガイド
377
19
トラブルシューティング
アプライアンスの構成のバックアップおよび復元
378
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
以下のリストは、Web セキュリティ ルールを構成するために使用できる項目について説明します。
目次
アクションのリスト
エラー ID のリスト
イベントのリスト
インシデント ID のリスト
プロパティーのリスト
ワイルドカード式
アクションのリスト
以下の表に、ルールに使用できるアクションのリストを示します。
アクションはアルファベット順にリストされています。
表 A-1 アクションのリスト
アクション
説明
[Authenticate]
現在のサイクルにおけるルールの処理を停止します。
認証リクエストを Web オブジェクトへのアクセスをリクエストしたユーザーのクライアントへ
送信します。
次のサイクルで処理を続行します。
[Block]
リクエストされた Web オブジェクトへのアクセスをブロックします。
ルールの処理を停止します。
アプライアンスで次のリクエストが受信されたときに続行します。
[Continue]
次のルールの処理を続行します。
[Redirect]
Web オブジェクトからその他のオブジェクトへのアクセスをリクエストしたクライアントをリ
ダイレクトします。
[Remove]
リクエストされた Web オブジェクトを削除します。
現在のサイクルにおけるルールの処理を停止します。
次のサイクルで処理を続行します。
McAfee Web Gateway 7.2
製品ガイド
379
A
構成リスト
エラー ID のリスト
表 A-1 アクションのリスト (続き)
アクション
説明
[Stop Cycle]
現在のサイクルにおけるルールの処理を停止します。
リクエストされた Web オブジェクトへのアクセスはブロックされません。
次のサイクルで処理を続行します。
[Stop Rule Set] 現在のルール セットのルールの処理を停止します。
次のルール セットの処理を続行します。
エラー ID のリスト
以下の表に、ルールに使用できるエラー ID のリストを示します。
エラー ID は以下の数値範囲にグループ化されています。
10000–10049
プロパティまたはイベントの不正使用
10050–10099
ルール処理モジュールのエラー
10100–10199
一般エラー
11000–11999
ライセンス マネージャー エラー
12000–12999
アプライアンス システムに関連したエラー
13000–13999
持続データベース（PDStore）エラー
14000–14999
ウイルスおよびマルウェア フィルタリング エラー
15000–15999
URL フィルタリング エラー
16000–16999
ICAP クライアント エラー
20000–21000
プロキシ モジュール エラー
25000–25999
外部リスト エラー
26000–26999
Data Loss Prevention
（DLP）エラー
表 A-2 エラー ID のリスト
380
エラー
ID
エラー名
エラー メッセージ
10000
WrongPropParams
$onPosition$:プロパティ $propName$ のパラメーターまたは
タイプが間違っています。
10001
UnknownProperty
$onPosition$:ルール ‘$ruleName$’ エラー:プロパティ送信者は
プロパティ $propName$ を知りません。
10002
NoPropParam
$onPosition$:提供されているプロパティ $propName$ にはパ
ラメーターが指定されていません。
10003
WrongThirdPropParam
$onPosition$:プロパティ $propName$ の 3 つ目のパラメータ
ー タイプが間違っています。
10004
InvalidPropertyParameter
$onPosition$:プロパティ $propName$ のパラメーターは無効
です。理由:$reason$。
10005
InvalidPropertyParameter2
パラメーターは無効です。理由:$reason$。
10005
UnknownProperty2
$onPosition$:不明なプロパティ $propName$。
10007
UnknownFunc
$onPosition$:不明な関数 $funcName$。詳細:$reason$。
McAfee Web Gateway 7.2
製品ガイド
構成リスト
エラー ID のリスト
A
表 A-2 エラー ID のリスト (続き)
エラー
ID
エラー名
エラー メッセージ
10050
WrongOperator
$onPosition$:ルール '$ruleName$' エラー:左側タイプ
$typeLeft$ および右手タイプ $typeRight$ に間違った演算子が
使用されました。
10051
WrongOperatorNoNames
$onPosition$:$action$ は失敗しました。$property$ のタイプ
は $typeName$ ですが、$formatType$ になります。
10052
FormatError
$onPosition$:ユーザー定義のプロパティ '$propName$' が見つ
かりません。理由:まだ設定されていません（初期化されていな
い）。
10053
UserDefinedPropertyNotFound
$onPosition$:ユーザー定義のプロパティ '$propName$' が見つ
かりません。理由:まだ設定されていません（初期化されていな
い）。
10054
PropertyNotFound
$onPosition$:プロパティ'$propName$' が見つかりません。理
由:まだ設定されていません（初期化されていない）。
10055
NeedMoreDataOnLastCall
プロパティ '$propName$' 計算時にフィルターは
'NeedMoreData' を返したが、それ以上のデータがありません。
10056
WrongPropState
$onPosition$:プロパティ $propName$ の状態は $propState
$ です。
10057
ZombieRuleElemIsExecuted
$rule$（名前:'$name$'、ID:'$id$'）はゾンビのため実行できま
せんでした。理由:$reason$。
10058
SetPropertyFailed
$onPosition$:ルール '$ruleName$' エラー:イベントは評価でき
ませんでした。理由:$reason$。
10059
EventError
$onPosition$:$objName$ を $operation$ している間にエラー
が発生しました。理由:$reason$。
10100
ErrorDuringOperation
$onPosition$:$objName$ を $operation$ している間にエラー
が発生しました。理由:$reason$。
10101
InitializeFailed
$onPosition$:$objName$ を初期化/作成できませんでした。理
由: $reason$。
11000
NoLicense
リクエストされた機能 '$func$' はライセンスによってカバーされ
ていません。
12000
CannotOpenPipe
パイプを開けません。
12001
CannotOpenFile
エラー '$errno$' で、モード '$mode$' でファイル '$name$' を
開けません。
13000
NoUser
利用可能なユーザーがありません。
14000
AVError
AntivirusFilter エラー:$reason$。
14001
AVScanFailedFull
McAfee Gateway Anti-Malware エンジンを呼ぶことができませ
ん。すべての接続は使用中です。
15000
TSDatabaseExpired
Global Threat Intelligence システム データベースの期限切れエ
ラー:データベースが期限切れです。'$desc$'。
15001
TSInvalidURL
URL '$url$' は無効です。関数 $func$。
15002
TSBinaryNotProperlyLoaded
バイナリは'$path$' からロードできませんでした。関数 $func$。
15003
TSCommon
Global Threat Intelligence システム エラー
（コード:$errorCode
$)。関数 $func$。
15004
TSBinaryDoesNotExist
Global Threat Intelligence システム ライブラリはまだ利用でき
ません。関数 $func$。
15005
TSDatabaseNotProperlyLoaded
データベースは適切にロードされませんでした。関数 $func$。
McAfee Web Gateway 7.2
製品ガイド
381
A
構成リスト
イベントのリスト
表 A-2 エラー ID のリスト (続き)
エラー
ID
エラー名
エラー メッセージ
15006
TSNoMem
Global Threat Intelligence システムはメモリ不足です。関数
$func$。
15007
TSInsufficientSpace
Global Threat Intelligence システムのバッファーにスペースが
不足しています。関数 $func$。
15008
TSNetLookup
Global Threat Intelligence システム ネット エラー（コー
ド:TS_NET_ERROR)。関数 $func$。
15009
TSCommonNetLookup
Global Threat Intelligence システム ネット エラー（コード:
$errorCode$)。関数 $func$。
15010
TSPipe
Global Threat Intelligence システム パイプを開けません。関
数 $func$。
16000
NoICAPServerAvailable
リストから利用可能な ICAP サーバーはありません:$list$ dyx。
20000
CheckLongRunningConnection
長時間実行中の確認。
25000
不明エラーの発生
未分類のエラーが外部リスト モジュールで発生しました。
25001
データ取得中にエラー発生
データ取得中に未分類のエラーが外部リスト モジュールで発生し
ました。
25002
データ変換中にエラー発生
外部リスト データが変換される際にエラーが発生しました。
25003
データが多すぎる
外部ソースから取得できるリスト エントリ数の構成限界値を超え
ました。
25004
データ取得中にタイムアウト
外部リスト データを取得するための構成タイムアウト値の期限が
切れました。
25005
データ アクセスの拒否
外部リスト データのソースにアクセスするために必要な権限が、
アプライアンスに与えられていません。
25006
リソースが存在しない
外部リスト データのソース、たとえば、ファイルまたは Web サ
ーバーが見つかりませんでした。
26001
DLP エンジンがロードされていない DLP エンジンをロードできませんでした。
イベントのリスト
以下の表に、ルールに使用できるイベントのリストを示します。
イベントはアルファベット順にリストされています。
表 A-3 イベントのリスト
名前
説明
パラメーター
Authentication.AddMethod
認証方法を追加します。
1 文字列:認証方法の名前
2 文字列:認証方法の値
3 ブール:true の場合、既
存の方法が上書きされま
す。
382
Authentication.ClearCache
キャッシュをクリアします。
Authentication.ClearMethodList
認証方法リストをクリアします。
Authentication.ClearNTMLCache
NTML キャッシュをクリアします。
BlockingSession.Activate
ブロック セッションを有効にします。
McAfee Web Gateway 7.2
製品ガイド
構成リスト
イベントのリスト
A
表 A-3 イベントのリスト (続き)
名前
説明
パラメーター
Body.Insert
メッセージ本文に文字列を挿入しま
す。
1 数値:挿入を開始するバ
イト位置
2 文字列:パターン
a. 二重引用符内に埋め
込まれた文字列（" ..."
には \ が前に付けられ
た 16 進数値も含まれる
場合があります。）
または:
b. 16 進数値のシーケン
ス
Body.Remove
本文からあるバイト数を削除します。 1 数値:削除し始めるバイ
ト位置
2 数値:削除するバイト数
Body.Replace
本文の一部を文字列と置き換えます。 1 数値:置き換えを開始す
るバイト位置
2 文字列:パターン
a. 二重引用符内に埋め
込まれた文字列（" ..."
には \ が前に付けられ
た 16 進数値も含まれる
場合があります。）
または:
b. 16 進数値のシーケン
ス
Connection.Mark
接続マークを設定します。
数値:接続数
Email.Send
電子メールを送信します。
1 文字列:受信者
2 文字列:件名
3 文字列:本文
キャッシュを有効にする
Web キャッシュを有効にします。
CompositeOpener を有効にする
Composite Opener を有効にしま
す。
データ トリックルを有効にする
データ トリックルを有効にします。
HTML Opener を有効にする
HTML Opener を有効にします。
ネクスト ホップ プロキシを有効にする
ネクスト ホップ プロキシの使用を有
効にします。
進行状況ページを有効にする
進行状況ページの表示を有効にしま
す。
RuleEngine 追跡を有効にする
ルール処理モジュールの追跡を有効
にします。
CA を持つ SSL クライアント コンテキストを有 証明機関によって発行されるクライ
アント証明書の送信を有効にします。
効にする
McAfee Web Gateway 7.2
製品ガイド
383
A
構成リスト
イベントのリスト
表 A-3 イベントのリスト (続き)
名前
説明
パラメーター
CA なしで SSL クライアント コンテキストを有 証明機関によって発行されていない
クライアント証明書の送信を有効に
効にする
します。
SSL スキャナーを有効にする
SSL スキャニングのモジュールを有
効にします。
SafeSearchEnforcer を有効にする
SafeSearchEnforcer を有効にしま
す。
改善策を有効にする
回避策を有効にします。
FileSystemLogging.WriteDebugEntry
デバッグ エントリを書き込みます。 1 文字列:デバッグ エント
リ
2 ブール:true の場合、エ
ントリは stdout に書き
込まれます。
FileSystemLogging.WriteLogEntry
エントリをログに書き込みます。
文字列:ログ エントリ
HTMLElement.InsertAttribute
HTML 要素に属性を挿入します。
1 文字列:属性名
2 文字列:属性値
HTMLElement.RemoveAttribute
HTML 要素から属性を削除します。 文字列:属性名
HTMLElement.SetAttributeValue
属性をある値に設定します。
1 文字列:属性名
2 文字列:属性を設定する
値
Header.Add
リクエストまたは応答にヘッダーを
追加します。
1 文字列:ヘッダー名
2 文字列:ヘッダー値
Header.AddMultiple
リクエストまたは応答に値のリスト
を含むヘッダーを追加します。
1 文字列:ヘッダー名
2 文字列のリスト:ヘッダ
ー値のリスト
Header.Block.Add
ブロック ヘッダーをリクエストまた 1 文字列:ヘッダー名
は応答に追加します。
2 文字列:ヘッダー値
Header.Block.AddMultiple
リクエストまたは応答に値のリスト 1 文字列:ヘッダー名
を含むブロック ヘッダーを追加しま
2 文字列のリスト:ヘッダ
す。
ー値のリスト
Header.Block.RemoveAll
リクエストまたは応答から特定の名 文字列:ヘッダー名
前を持つすべてのブロック ヘッダー
を削除します。
Header.ICAP.Response.Add
ICAP 応答にヘッダーを追加します。 1 文字列:ヘッダー名
2 文字列:ヘッダー値
Header.ICAP.Response.AddMultiple
384
McAfee Web Gateway 7.2
値のリストとともに ICAP 応答にヘ 1 文字列:ヘッダー名
ッダーを追加します。
2 文字列のリスト:ヘッダ
ー値のリスト
製品ガイド
A
構成リスト
イベントのリスト
表 A-3 イベントのリスト (続き)
名前
説明
パラメーター
Header.ICAP.Response.RemoveAll
ICAP 応答 から特定の名前を持つす 文字列:ヘッダー名
べてのヘッダーを削除します。
Header.RemoveAll
要求または応答から特定の名前のす
べてのヘッダーを削除します。
文字列:ヘッダー名
ICAP.AddRequestInformation
ICAP リクエストに情報を追加しま
す。
1 文字列:リクエスト名
2 文字列:追加された情報
MediaType.Header.FixContentType
メディア本文の検査後に元のヘッダ
ーと本文が一致しないことが判明し
た場合、メディア タイプ ヘッダーを
適切なヘッダーに置き換えます。
通知
通知レベルのエントリを syslog に書 文字列:ログ エントリ
き込みます。
PDStorage.AddGlobalData.Bool
タイプ ブールのグローバル変数を追 1 文字列:変数キー
加します。
2 ブール:変数値
PDStorage.AddGlobalData.Category
Category タイプのグローバル変数
を追加します。
1 文字列:変数キー
2 カテゴリ:変数値
PDStorage.AddGlobalData.Dimension
Dimension タイプのグローバル変数 1 文字列:変数キー
を追加します。
2 ディメンション:変数値
PDStorage.AddGlobalData.Hex
Hex タイプのグローバル変数を追加 1 文字列:変数キー
します。
2 16 進数値:変数値
PDStorage.AddGlobalData.IP
IP タイプのグローバル変数を追加し 1 文字列:変数キー
ます。
2 IP:変数値
PDStorage.AddGlobalData.IPRange
IPRange タイプのグローバル変数を 1 文字列:変数キー
追加します。
2 IPRange:変数値
PDStorage.AddGlobalData.List.Category
カテゴリの リスト タイプのグローバ 1 文字列:変数キー
ル変数を追加します。
2 カテゴリのリスト:変数
値
PDStorage. AddGlobalData.List. Dimension ディメンションのリスト タイプのグ 1 文字列:変数キー
ローバル変数を追加します。
2 ディメンションのリス
ト:変数値
PDStorage.AddGlobalData.List.Hex
PDStorage.AddGlobalData.List.IP
McAfee Web Gateway 7.2
16 進法のリスト タイプのグローバ
ル変数を追加します。
1 文字列:変数キー
2 16 進数値のリスト:変数
値
IP のリスト タイプのグローバル変数 1 文字列:変数キー
を追加します。
2 IP のリスト:変数値
製品ガイド
385
A
構成リスト
イベントのリスト
表 A-3 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage.AddGlobalData.List.IPRange
IPRange のリスト タイプのグローバ 1 文字列:変数キー
ル変数を追加します。
2 IPRange のリスト:変数
値
PDStorage.AddGlobalData.List.MediaType
MediaType のリスト タイプのグロ
ーバル変数を追加します。
1 文字列:変数キー
2 MediaType のリスト:変
数値
PDStorage. AddGlobalData.List. Number
数のリスト タイプのグローバル変数 1 文字列:変数キー
を追加します。
2 数値のリスト:変数値
PDStorage. AddGlobalData.List. String
文字列のリスト タイプのグローバル 1 文字列:変数キー
変数を追加します。
2 文字列のリスト:変数値
PDStorage. AddGlobalData.List. Wildcard
ワイルドカード式のリスト タイプの 1 文字列:変数キー
グローバル変数を追加します。
2 ワイルドカード式のリス
ト:変数値
PDStorage. AddGlobalData. MediaType
MediaType タイプのグローバル変数 1 文字列:変数キー
を追加します。
2 MediaType:変数値
PDStorage.AddGlobalData.Number
数のタイプのグローバル変数を追加
します。
1 文字列:変数キー
2 数値:変数値
PDStorage.AddGlobalData.String
String タイプのグローバル変数を追 1 文字列:変数キー
加します。
2 文字列:変数値
PDStorage. AddGlobalData. Wildcard
ワイルドカード式タイプのグローバ
ル変数を追加します。
1 文字列:変数キー
2 ワイルドカード式:変数
値
386
PDStorage.AddUserData.Bool
ブール タイプのユーザー変数を追加 1 文字列:変数キー
します。
2 ブール:変数値
PDStorage.AddUserData.Category
Category タイプのユーザー変数を
追加します。
1 文字列:変数キー
2 カテゴリ:変数値
PDStorage. AddUserData. Dimension
Dimension タイプのユーザー変数を 1 文字列:変数キー
追加します。
2 ディメンション:変数値
PDStorage.AddUserlData.Hex
Hex タイプのユーザー変数を追加し 1 文字列:変数キー
ます。
2 16 進数値:変数値
PDStorage.AddUserData.IP
IP タイプのユーザー変数を追加しま 1 文字列:変数キー
す。
2 IP:変数値
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
イベントのリスト
表 A-3 イベントのリスト (続き)
名前
説明
パラメーター
PDStorage.AddUserData.IPRange
IPRange タイプのユーザー変数を追 1 文字列:変数キー
加します。
2 IPRange:変数値
PDStorage. AddUserData.List. Category
カテゴリのリスト タイプのユーザー 1 文字列:変数キー
変数を追加します。
2 カテゴリのリスト:変数
値
PDStorage. AddUserData.List. Dimension
ディメンションのリスト タイプのユ 1 文字列:変数キー
ーザー変数を追加します。
2 ディメンションのリス
ト:変数値
PDStorage.AddUserData.List.Hex
16 進法のリスト タイプのユーザー
変数を追加します。
1 文字列:変数キー
2 16 進数値のリスト:変数
値
PDStorage.AddUserData.List.IP
IP のリスト タイプのユーザー変数を 1 文字列:変数キー
追加します。
2 IP のリスト:変数値
PDStorage.AddUserData.List.IPRange
IPRange のリスト タイプのユーザー 1 文字列:変数キー
変数を追加します。
2 IPRange のリスト:変数
値
PDStorage.AddUserData.List.MediaType
MediaType のリスト タイプのユー
ザー変数を追加します。
1 文字列:変数キー
2 MediaType のリスト:変
数値
PDStorage.AddUserData.List.Number
数のリスト タイプのユーザー変数を 1 文字列:変数キー
追加します。
2 数値のリスト:変数値
PDStorage.AddUserData.List.String
文字列のリスト タイプのユーザー変 1 文字列:変数キー
数を追加します。
2 文字列のリスト:変数値
PDStorage.AddUserData.List.Wildcard
ワイルドカード式のリスト タイプの 1 文字列:変数キー
ユーザー変数を追加します。
2 ワイルドカード式のリス
ト:変数値
PDStorage.AddUserData.MediaType
MediaType タイプのユーザー変数を 1 文字列:変数キー
追加します。
2 MediaType:変数値
PDStorage.AddUserData.Number
Number タイプのユーザー変数を追 1 文字列:変数キー
加します。
2 数値:変数値
PDStorage.AddUserData.String
String タイプのユーザー変数を追加 1 文字列:変数キー
します。
2 文字列:変数値
PDStorage.AddUserData.Wildcard
ワイルドカード式タイプのユーザー
変数を追加します。
1 文字列:変数キー
2 ワイルドカード式:変数
値
McAfee Web Gateway 7.2
製品ガイド
387
A
構成リスト
イベントのリスト
表 A-3 イベントのリスト (続き)
名前
説明
PDStorage.Cleanup
永続的に保存されているデータをク
リーンアップします。
PDStorage.DeleteAllUserData
永続的に保存されているユーザー デ
ータをすべて削除します。
PDStorage.DeleteGlobalData
特定のタイプの永続的に保存された 文字列:変数キー
グローバル変数をすべて削除します。
PDStorage.DeleteUserData
特定のタイプの永続的に保存された
ユーザー変数をすべて削除します。
SNMP.Send.Trap.Application
アプリケーション情報を含む SNMP
トラップ メッセージを送信します。
SNMP.Send.Trap.System
システム情報を含む SNMP トラッ
プ メッセージを送信します。
SNMP.Send.Trap.User
ユーザー情報を含む SNMP トラッ
プ メッセージを送信します。
1 数値:ユーザー ID
ユーザーのホストに関する情報を含
む SNMP トラップ メッセージを送
信します。
1 数値:ユーザー ID
SNMP.Send.Trap.UserHost
パラメーター
文字列:変数キー
2 文字列:メッセージ本文
2 文字列:メッセージ本文
3 IP:ホストの IP アドレス
Statistics.Counter.Increment
カウンターを増分します。
1 文字列:カウンター名
2 数値:増加値
Statistics.Counter.Reset
カウンターをリセットします。
文字列:カウンター名
Stopwatch.Reset
ルールセットの処理時間を測定する
内部時計を 0 に設定します。
文字列:ルール セット名
Stopwatch.Start
ルールセットの処理時間を測定する
内部時計を開始します。
文字列:ルール セット名
Stopwatch.Stop
ルールセットの処理時間を測定する
内部時計を停止します。
文字列:ルール セット名
Syslog
syslog にエントリを書き込みます。 1 数値:ログ レベル
0 – 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 – 情報
7 – デバッグ
2 文字列:ログ エントリ
388
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
インシデント ID のリスト
インシデント ID のリスト
以下の表に、ルールに使用できるインシデント ID のリストを示します。
インシデント ID は次の数値範囲にグループ化されます。
1–199
アプライアンス システムに関連するインシデント
200–299
コア サブシステム インシデント
300–399
モジュール インシデントの更新
500–599
ログ ファイル マネージャーのインシデント
600–699
sysconfd デーモンのインシデント
700–799
プロキシ モジュールのインシデント
800–899
ウイルスおよびマルウェア フィルタリングのインシデント
900–999
認証インシデント
1000–1099
URL フィルタリング インシデント
1600–1699
SSL 証明書インシデント
1900–1999
Data Loss Prevention
（DLP）インシデント
3000–3200
集中管理インシデント
表 A-4 インシデント ID のリスト
インシ
デント
ID
説明
元の場所の数値および名 重大
前
度
5
インシデント プロパティを使用するルールが実行されました。
1 システム
20
RAID モニタリングが重大ステータスまたは 1 つ以上のハード ディス 1 状態モニター
クへの障害をレポートしています。
4（ま
たは
ハー
ドデ
ィス
クの
失敗
では
3）
21
S.M.A.R.T 状態確認は HDD ハード ディスクのエラーをレポートして 1 状態モニター
います。
4
22
ファイル システムの使用率が構成されている限界値を越えています。
1 状態モニター
4
23
メモリの使用率が構成されている限界値を越えています。
1 状態モニター
4
24
システム負荷が構成されている限界値を越えています。
1 状態モニター
4
200
ライセンス期限日が確認されました。
2 コア
6
201
アプライアンスは、すべての FIPS 140-2 セルフテストを正常に完了
しました。
2 コア
6
301
ディスクの空き容量が十分でないため更新ファイルのダウンロードを停 3 アップデーター
止しました。
3
302
集中管理でノードの製品 x のダウンロードに失敗しました。
3 アップデーター
3
303
更新モジュールは集中管理でノード y の製品 x の更新に失敗したこと 3 アップデーター
をレポートしています。
3
304
更新モジュールは製品 x のステータスが最新であるとアップデート サ 3 アップデーター
ーバーからレポートを受信しました。
3
305
更新モジュールはアップデート サーバーに接続できませんでした。
3 アップデーター
3
McAfee Web Gateway 7.2
7
製品ガイド
389
A
構成リスト
インシデント ID のリスト
表 A-4 インシデント ID のリスト (続き)
390
インシ
デント
ID
説明
元の場所の数値および名 重大
前
度
501
ログ ファイル マネージャーはログ ファイルのプッシュに失敗しまし
た。
5 ログ ファイル マネー
ジャー
601
yum の更新に関わるデータ パッケージを適用するには、アプライアン 6 mwg-update
スの再起動が必要です。
4
666
FIPS 140-2 自己テストは集中管理のノード y で失敗しました。ノー
ドは非 FIPS モードで実行されています。
0
700
並列の接続数が構成されている負荷制限を越えました。アプライアンス 2 プロキシ
は過負荷状態になります。アプライアンスに送信されたリクエストは遅
れて受け入れられます。
2
701
アプライアンスが 30 秒以上過負荷状態です。アプライアンスに送信さ 2 プロキシ
れたリクエストは遅れて受け入れられます。
2
702
アプライアンスは過負荷状態から解除されました。アプライアンスに送 2 プロキシ
信されたリクエストは遅れることなく受け入れられます。
4
703
並列の接続数が構成されている高負荷制限を越えました。アプライアン 2 プロキシ
スは高負荷状態になります。アプライアンスに送信されたリクエストは
遅れて受け入れられます。
4
704
アプライアンスは 30 秒以上高負荷状態です。アプライアンスに送信さ 2 プロキシ
れたリクエストは遅れて受け入れられます。
4
705
並列の接続数が構成されている高負荷制限の 85 % 未満に下がりまし 2 プロキシ
た。アプライアンスはまだ高負荷状態です。アプライアンスに送信され
たリクエストは遅れて受け入れられます。
6
710
ネクスト ホップ プロキシ サーバーはダウンしていて、n 秒間利用でき 2 プロキシ
ません。
4
711
アプライアンスはネクスト ホップ プロキシ サーバーに接続できませ
ん。
2 プロキシ
4
712
ネクスト ホップ プロキシ サーバーはエラー状態から通常の動作に戻り 2 プロキシ
ました。
6
720
IP アドレス x、ポート y のリスナーを開けませんでした。
2 プロキシ
2
730
プロキシ モード構成の変更にはアプライアンスの再起動が必要です。
2 プロキシ
2
850
マルウェア対策モジュールの更新は正常に完了しました。
2 マルウェア対策フィル 6
ター
851
マルウェア対策モジュールの更新に失敗しました。
2 マルウェア対策フィル 3
ター
852
マルウェア対策モジュールの更新ファイルのダウンロードまたは検証に 2 マルウェア対策フィル 3
失敗しました。
ター
853
マルウェア対策モジュール バージョンは最新です。
2 マルウェア対策フィル 6
ター
901
アプライアンスは Windows ドメイン x の NTML 認証のため n サー
バーに接続されています。
2 コア
6
902
アプライアンスは Windows ドメイン x の NTML 認証のため n サー
バーに接続できません。
2 コア
4
903
アプライアンスは NTLM 認証のため Windows ドメイン x と通信でき 2 コア
ません。
3
910
アプライアンスは構成 ID n で LDAP サーバーに接続されます。
2 コア
6
912
アプライアンスは構成 ID n で LDAP サーバーから切断されました。
2 コア
4
McAfee Web Gateway 7.2
1 FIPS
製品ガイド
3
A
構成リスト
インシデント ID のリスト
表 A-4 インシデント ID のリスト (続き)
インシ
デント
ID
説明
元の場所の数値および名 重大
前
度
913
アプライアンスは構成 ID n で LDAP サーバーに接続できません。
2 コア
3
920
認証目的用にユーザー情報を取得するためにこのサーバーで通信の開始 2 コア
を試行した後、アプライアンスは RADIUS サーバー x から応答を受信
しました。
6
921
このサーバーとの通信が中断された後、アプライアンス は RADIUS サ 2 コア
ーバー x から応答を再度受け入れられました。
6
923
アプライアンスから RADIUS サーバー x への認証リクエストの送信が 2 コア
タイムアウトになりました。
3
931
アプライアンスは NTLM-Agent サーバー x に接続されました。
2 コア
6
932
アプライアンスは NTLM-Agent サーバー x から切断されます。
2 コア
3
933
アプライアンスは NTLM-Agent サーバー x に接続できません。
2 コア
3
1050
URL フィルター モジュールの更新は正常に完了しました。
2 URL フィルター
6
1051
URL フィルター モジュールの更新に失敗しました。
2 URL フィルター
3
1052
URL フィルター モジュールの更新ファイルのダウンロードまたは検証 2 URL フィルター
に失敗しました。
3
1053
URL フィルター モジュール ステータスは最新です。
6
1650
更新された証明書失効リスト（CRL）はアプライアンスに正常にダウン 2 証明書チェーン フィル 6
ロードおよびロードされました。
ター
1651
更新された証明書失効リスト（CRL）はアプライアンスにダウンロード 2 証明書チェーン フィル 4
されましたが、そこにロードできませんでした。
ター
1652
更新された証明書失効リスト（CRL）はアプライアンスにダウンロード 2 証明書チェーン フィル
できませんでした。
ター
1653
すべての証明書失効リスト（CRL）は SSL スキャナー モジュールの最 2 証明書チェーン フィル 6
新ステータスで使用されています。
ター
1950
DLP モジュールの更新は正常に完了しました。
2 DLP エンジン
6
1951
DLP モジュールの更新に失敗しました。
2 DLP エンジン
3
1952
DLP モジュールの更新ファイルのダウンロードまたは検証に失敗しま
した。
2 DLP エンジン
3
1953
DLP モジュール ステータスは最新です。
2 DLP エンジン
6
3000
集中管理の少なくとも 1 つ以上のノードが同期された状態ではありま 3 集中管理
せん（保管および構成関連）。非同期ノードの編変更数このインシデン
トはルート ノードにのみ記録されます。
3
3001
インシデント 3000 が発生した後、すべての集中管理構成のノードが
再度同期された状態になります（保管および構成関連）。
3 集中管理
6
3004
共有したデータが送信された後、少なくとも 1 つ以上の集中管理構成 3 集中管理
のノードが適切に応答しませんでした。適切に応答しなかったノード数
が変化します。このインシデントはルート ノードのみに記録され、そ
れも共有されたデータがすべてのノードに送信されることを意図した場
合にのみです。
3
3005
インシデント 3004 が発生した後、すべての集中管理構成のノードが
適切にそれらへの共有データの送信に応答しました。
6
McAfee Web Gateway 7.2
2 URL フィルター
3 集中管理
製品ガイド
391
A
構成リスト
プロパティーのリスト
プロパティーのリスト
以下の表に、ルールに使用できるプロパティーのリストを示します。
プロパティーはアルファベット順にリストされています。ただし、このリストはプロパティー名の部分がピリオドに
よって分かれていることを考慮しています。
例: SSL.Server.Certificate.DaysExpired は SSL.Server.CertificateChain.ContainsExpiredCA の前
にリストされています。
表 A-5 プロパティーのリスト – A
名前
タイプ
説明
パラメーター
Antimalware.Infected
ブール
true の場合、Web オブジェクトが感染し
ていることが判明しました。
Antimalware.Proactive. Probability
数値
Web オブジェクトがマルウェアである確
率
確率はパーセントで、1 ～ 100 の数値で
指定されます。
Antimalware.VirusNames
文字列のリス Web オブジェクトが感染されていると判
ト
明したウイルスの名前のリスト
Application.IsHighRisk
ブール
true の場合、アプリケーションへのアクセ
スは、Web セキュリティに対するリスク
が高いと見なされています。
Application.IsMediumRisk
ブール
true の場合、アプリケーションへのアクセ
スは、Web セキュリティに対して中リス
クと見なされています。
Application.IsMinimalRisk
ブール
true の場合、アプリケーションへのアクセ
スが Web セキュリティに対するリスクで
あるかどうかが検証されていません。
Application.IsUnverified
ブール
true の場合、アプリケーションへのアクセ
スは、Web セキュリティに対するリスク
が高いと見なされています。
Application.Name
Applcontrol アプリケーションの名前
Application.Reputation
数値
アプリケーションのレピュテーション スコ
ア
Application.ToString
文字列
文字列に変換されたアプリケーションの名 Applcontrol:
前
変換するアプ
リケーション
名
Authentication.Authenticate
ブール
true の場合、認証エンジンは構成されてい
る方法を適用するために呼び出されまし
た。例: ユーザーの認証情報に対して
NTLM が呼び出されて、ユーザーが正常に
認証されました。
また、
Authentication.IsAuthenticated お
よび Authentication.UserName プロ
パティーの値も設定されました。
false の場合、構成された認証方法が正常
に適用できません。例: 認証が送信されな
かった場合、または正しくない認証が送信
された場合など。
Authentication.CacheRemainingTime 数値
392
McAfee Web Gateway 7.2
認証情報がキャッシュからクリアされるま
での残り時間（秒単位）
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-5 プロパティーのリスト – A (続き)
名前
タイプ
説明
パラメーター
Authentication.Failed
ブール
true の場合、認証情報はユーザーによって
提供されたが、認証が失敗しました。
Authentication.FailureReason
数値
ユーザーの認証が失敗した理由を識別する
数
Authentication.GetUserGroups
文字列のリス 認証プロセスが適用されるユーザー グルー
ト
プのリスト
Authentication.IsAuthenticated
ブール
true の場合、ユーザーは正常に認証されま
した。
Authentication.IsLandingOnServer
ブール
true の場合、Cookie 認証がユーザーに適
用されています。
Authentication.IsServerRequest
ブール
true の場合、認証サーバー方法でユーザー
の認証がリクエストされました。
Authentication.Method
文字列
ユーザー認証のために使用される方法。
例: LDAP
Authentication.RawCredentials
文字列
アプライアンスが元々クライアントまたは
ネットワークのその他のインスタンスから
受信した形式のユーザーの認証情報
ルール構成にこのプロパティーを使用する
と、単純な
Authentication.UserName プロパテ
ィーで行われる、ユーザー認証情報を人が
読める形式に変換する時間を短縮するた
め、処理がスピード アップします。
Authentication.RawUserName
文字列
アプライアンスが元々クライアントまたは
ネットワークのその他のインスタンスから
受信した形式のユーザー名
ルール構成にこのプロパティーを使用する
と、単純な
Authentication.UserName プロパテ
ィーで行われる、ユーザー名を人が読める
形式に変換する時間を短縮するため、処理
がスピード アップします。
Authentication.Realm
文字列
認証領域。例: Windows ドメイン
Authentication.UserGroups
文字列のリス 認証プロセスが適用されるユーザー グルー
ト
プのリスト
Authentication.UserName
文字列
認証プロセスが適用されるユーザー名
表 A-6 プロパティーのリスト – B
名前
タイ 説明
プ
Block.ID
数値 リクエストをブロックしたアクション
の ID
Block.Reason
文字 リクエストをブロックしたアクション
列
の理由の名前
BlockingSession.IsBlocked
ブー true の場合、ブロックするセッショ
ル
ンがユーザーに対して有効になってい
ます。
パラメーター
BlockingSession.RemainingSession 数値 ブロックするセッションの残り時間
（分単位）
McAfee Web Gateway 7.2
製品ガイド
393
A
構成リスト
プロパティーのリスト
表 A-6 プロパティーのリスト – B (続き)
名前
タイ 説明
プ
パラメーター
BlockingSession.SessionLength
数値 ブロックするセッションの時間の長さ
（分単位）
Body.ChangeHeaderMime
ブー true の場合、Web オブジェクトの本
ル
文とともに MIME 形式で送信された
ヘッダーは変更されています。
Body.ClassID
文字 Web オブジェクトのクラスの ID
列
Body.Equals
ブー true の場合、Web オブジェクトの本 1 数値:パターンが開始するバ
ル
文はプロパティー パラメーターに指
イトの位置
定されたパターンと一致します。
2 文字列:パターン
a. 二重引用符内に埋め込ま
れた文字列（" ..." には \
が前に付けられた 16 進数
値も含まれる場合がありま
す。）
または:
b. 16 進数値のシーケンス
Body.FileName
文字 Web オブジェクトの本文に埋め込ま
列
れているファイルの名前。例: アーカ
イブ ファイル
Body.FullFileName
文字 ドキュメントまたはアーカイブなど埋
列
め込みエンティティの名前も含む
Web オブジェクトの本文に埋め込ま
れているファイルの名前
名前の一部は |（パイプ）記号で分か
れています。例: test.zip|
test.doc。
394
Body.HasMimeHeader
ブー true の場合、MIME 形式で送信され 文字列:ヘッダー名
ル
た抽出マルチパート オブジェクトの
本文に指定ヘッダーがあります。
Body.HasMimeHeaderParameter
ブー true の場合、MIME 形式で送信され 1 文字列:ヘッダー名
ル
た抽出マルチパート オブジェクトの
本文に指定ヘッダー パラメーターが 2 文字列:ヘッダー パラメー
あります。
ター名
Body.IsAboveSizeLimit
ブー true の場合、Web オブジェクトの本
ル
文は制限サイズを超えています。
Body.IsCompleteWithTimeout
ブー true の場合、Web オブジェクトの本 数値:オブジェクトを完全に送
ル
文は、プロパティー パラメーターに 信するために許容される時間
よって指定されている時間（ミリ秒）（ミリ秒）
が経過する前にアプライアンスに完全
に送信されました。
Body.IsCorrupted Object
ブー true の場合、Web オブジェクトの本
ル
文に含まれるアーカイブは破損してい
ます。
Body.IsEncrypted Object
ブー true の場合、Web オブジェクトの本
ル
文に含まれるアーカイブは暗号化され
ています。
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-6 プロパティーのリスト – B (続き)
名前
タイ 説明
プ
Body.IsMultiPartObject
ブー true の場合、Web オブジェクトの本
ル
文に含まれるアーカイブは複数部分を
含み複雑です。
Body.IsSupportedByOpener
ブー true の場合、複合体の Web オブジ
ル
ェクトの本文のためにアプライアンス
でオープナー デバイスを利用できま
す。例: アーカイブの本文。
パラメーター
Body.MimeHeaderParameterlValue 文字 MIME 形式で送信された Web オブジ 1 文字列:ヘッダー名
列
ェクトの本文のヘッダー パラメータ
2 文字列:ヘッダー パラメー
ー値
ター値
Body.MimeHeaderValue
文字 MIME 形式で送信された Web オブジ 文字列:ヘッダー値
列
ェクトの本文のヘッダー値
Body.Modified
ブー true の場合、アプライアンスモジュ
ル
ールが Web オブジェクトの本文を変
更しました。
Body.NestedArchive Level
数値 アーカイブのアーカイブ部分の現在の
レベル
Body.NotEquals
ブー false の場合、Web オブジェクトの 1 数値:パターンが開始するバ
ル
本文はプロパティー パラメーターに
イトの位置
指定されているパターンに一致しま
す。
2 文字列:パターン
a. 二重引用符内に埋め込ま
れた文字列（" ..." には \
が前に付けられた 16 進数
値も含まれる場合がありま
す。）
または:
b. 16 進数値のシーケンス
Body.NumberOfChildren
数値 Web オブジェクトの本文に埋め込ま
れているオブジェクトの数
Body.PositionOfPattern
数値 Web オブジェクトの本文のパターン 1 文字列:検索するパターン
検索が開始するバイト位置
a. 二重引用符内に埋め込ま
パターンが検出されない場合は -1 が
れた文字列（" ..." には \
返されます。
が前に付けられた 16 進数
値も含まれる場合がありま
す。）
または:
b. 16 進数値のシーケンス
2 数値:パターンの検索が開始
されるバイトの位置
3 数値:検索の長さ（バイト単
位、0 はオフセットからオ
ブジェクトの末尾までの検
索という意味。）
Body.Size
McAfee Web Gateway 7.2
数値 Web オブジェクトの本文のサイズ
（バ
イト）
製品ガイド
395
A
構成リスト
プロパティーのリスト
表 A-6 プロパティーのリスト – B (続き)
名前
タイ 説明
プ
パラメーター
Body.Text
文字 Web オブジェクトの本文のテキスト
列
Body.ToNumber
数値 Web オブジェクトの本文の一部は数 1 数値:変換部分が開始するバ
値に変換されます（指定位置で開始し
イトの位置
て最大 8 バイト）
2 数値:変換部分の長さ（バイ
ビッグエンディアンまたはリトルエン
ト単位、最大 8 バイト）
ディアン形式を使用して変換できま
す。
最初のパラメーターで 0、
および 2 番目での
Body.Size プロパティー
の各値は本文全体が変換さ
れることを意味します。
3 ブール:true の場合、変換
にリトルエンディアン形式
を使用、そうでない場合は
ビッグエンディアン
Body.ToString
文字 文字列に変換された Web オブジェク 1 数値:変換部分が開始するバ
列
トの本文の一部
イトの位置
2 数値:変換部分の長さ（バイ
ト単位）
最初のパラメーターで 0、
および 2 番目での
Body.Size プロパティー
の各値は本文全体が変換さ
れることを意味します。
Body.UncompressedSize
数値 アーカイブから抽出された後のアーカ
イブ Web オブジェクト
（バイト単位）
本文のサイズ
BooleanToString
文字 文字列に変換されたブール値
列
BytesFromClient
数値 クライアントから受信したリクエスト
のバイト数
BytesFromServer
数値 Web サーバーから受信した応答のバ
イト数
BytesToClient
数値 クライアントに転送された Web サー
バーの応答のバイト数
BytesToServer
数値 Web サーバーに転送されたクライア
ント リクエストのバイト数
ブール:変換するブール値
表 A-7 プロパティーのリスト – C
396
名前
タイプ
説明
Cache.IsCacheable
ブール
true の場合、Web サーバーから応答として送信されたオブ
ジェクトを Web キャッシュに保管できます。
Cache.IsFresh
ブール
true の場合、Web オブジェクトに保管されたオブジェクト
は Web からダウンロードされたか、または認証済みです。
McAfee Web Gateway 7.2
パラメ
ーター
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-7 プロパティーのリスト – C (続き)
名前
タイプ
説明
Cache.Status
文字列
Web オブジェクトのキャッシュ ステータス
パラメ
ーター
値:
• TCP_HIT - Web オブジェクトがユーザーによってリク
エストされて、キャッシュで見つかりました。
• TCP_MISS -Web オブジェクトがユーザーによってリ
クエストされて、キャッシュで見つかりませんでした。
• TCP_MISS_RELOAD - Web オブジェクトがユーザー
によってリクエストされたが、ユーザーが[更新]ボタンを
クリックすることで対象 Web サーバーから直接フェッチ
することを要求したためキャッシュからは取得されません
でした。
その後、オブジェクトはキャッシュに再度入力されまし
た。
• TCP_MISS_VERIFY - Web オブジェクトがユーザー
によってリクエストされて、それはキャッシュに存在して
いたが、対象 Web サーバーからの検証情報によって古い
ものとして示されました。
オブジェクトの更新されたバージョンがサーバーから受信
され、キャッシュに入力されました。
Category.ToShortString
文字列
カテゴリー省略された文字列に変換された URL カテゴリー カテゴ
リー:
変換す
るカテ
ゴリー
Category.ToString
文字列
文字列に変換された URL カテゴリー
Client.IM.Login
文字列
インスタント メッセージ プロトコルでアプライアンスにロ
グ オンするためにクライアントによって使用される ID
Client.IM.ScreenName
文字列
インスタント メッセージ プロトコルでアプライアンスと通
信するクライアントの画面名
Client.IP
IP
クライアントの IP アドレス
Client.NumberOfConnections
数値
同時に開いているクライアントからアプライアンスへの接続
の数
コマンド カテゴリー
文字列
のリス
ト
コマンドが属するカテゴリーのリスト。例: FTP コマンド
カテゴリー
Command.Name
文字列
コマンド名
Command.Parameter
文字列
コマンドのパラメーター
Connection.Aborted
ブール
true の場合、接続の通信が最終的に失敗し、接続は閉じま
した。
Connection.IP
IP
接続に使用される IP アドレス
Connection.Protocol
文字列
接続で通信に使用されるプロトコル。例: HTTP
Connection.Protocol.IsIM
ブール
true の場合、接続での通信にインスタント メッセージン
グ プロトコルを使用します。
McAfee Web Gateway 7.2
カテゴ
リー:
変換す
るカテ
ゴリー
製品ガイド
397
A
構成リスト
プロパティーのリスト
表 A-7 プロパティーのリスト – C (続き)
名前
タイプ
説明
パラメ
ーター
Connection.RunTime
数値
接続が開かれた時点から現時点までの接続の実行期間（秒単
位）
Connection.SSL.
TransparentCNHandling
ブール
true の場合、接続の通信は SSL セキュアで、透過型モード
で実行されます。
Cycle.LastCall
ブール
true の場合、サイクルのデータの処理が完了しています。
Cycle.Name
文字列
処理サイクルの名前
Cycle.TopName
文字列
Web オブジェクトが埋め込みオブジェクト サイクルで処理
される前に処理されるサイクルの名前（リクエストまたは応
答）
表 A-8 プロパティーのリスト - D
名前
タ 説明
イ
プ
パラメーター
DataTrickling.Enabled
ブ true の場合、Web オブジェクトのダウンロー
ー ドにデータ トラッキングが使用されます。
ル
DateTime.Date.MonthDayNumber
数 月内の日数
値
DateTime.Date.MonthNumber
数 月数
値
DateTime.Date.ToString
文 現在の日付を表す文字列
（プロパティー パラメ 次の 3 つの部分を含む文
字 ーターによって指定された形式）
1 1. %YYYY（年）
列
または:
%YY（下 2 桁）
または:
%Y（下 2 桁だが、下
が 0 で始まる場合は 1
例: 2009 では 9）
（1 桁の数値の前
2 %MM
挿入される月数）
または:
%M
（0 が挿入されない
例: 3 月では 3、12 月
12）
（日）
3 %DD
または:
%D
パラメーターが指定され
ない場合、形式は次のと
になります。
%YYYY/%MM /%DD
DateTime.Date. WeekDayNumber
398
McAfee Web Gateway 7.2
数 曜日の数値（1 は日曜日）
値
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-8 プロパティーのリスト - D (続き)
名前
タ 説明
イ
プ
パラメーター
DateTime.Date.Year
数 年（4 桁）
値
DateTime.Date.YearTwoDigits
数 年（下 2 桁）
値
DateTime.Time.Hour
数 時間（24 時間形式。例: 1:00 p.m. は 13 時）
値
DateTime.Time.Minute
数 時間内の分数
値
DateTime.Time.Second
数 分内の秒数
値
DateTime.Time.ToString
文 現在の時間を表す文字列
（プロパティー パラメ 次の 3 つの部分を含む文
字 ーターによって指定された形式）
（時間）
1 1. %h
列
または:
%hh
（1 桁の時間の前に
が挿入される）
（分）
2 %m
または:
%mm
3 %s（秒）
または:
%ss
パラメーターが指定され
ない場合、形式は次のと
になります。
%hh:%mm:%ss
DateTime.ToGMTString
文 グリニッチ時間形式で現在の日付および時刻を
字 表す文字列
列
例:「Mon, 22 March 2012 11:45:36 GMT」
DateTime.ToISOString
文 ISO 時間形式で現在の日付および時刻を表す文
字 字列
列
例:「2012-03-22 11:45:12」
DateTime.ToNumber
数 1970 年 1 月 1 日からの秒数
（UNIX エポック
値 時間）
DateTime.ToString
文 現在の日付および時刻を表す文字列（プロパテ DateTime.Date.ToSt
字 ィー パラメーターによって指定された形式） と DateTime.Time.
列
ToString プロパティー
分を含む文字列
パラメーターが指定され
ない場合、形式は次のと
になります。
%YYYY/%MM /%DD %
%mm:%ss
McAfee Web Gateway 7.2
製品ガイド
399
A
構成リスト
プロパティーのリスト
表 A-8 プロパティーのリスト - D (続き)
名前
タ 説明
イ
プ
パラメーター
DateTime.ToWebReporterString
文 Web Reporter 時間形式で現在の日付および時
字 刻を表す文字列
列
例:「29/Oct/2012:14:28:15 +0000」
DecimalNumber.ToString
文 文字列に変換された 10 進数値
1 数値:変換する 10 進数
字
列 文字列はパラメーターに従って切り捨てられま 2 数値:小数点の後の桁数
す。
例: このパラメーターが 2 の場合、
10.12345 は切り捨てられて 10.12 になりま
す。
Dimension.ToString
文 文字列に変換されたディメンション
字
列
DLP.Classification.AnyText. Matched
ブ true の場合、分類リストの 1 つ以上のエント 文字列:重要または不適切
ー リーによって、特定のテキスト文字列が重要ま るかどうか確認されるテ
ル たは不適切なコンテンツであると指定されてい ト
ます。
DLP.Classification.AnyText.
MatchedClassifications
文
字
列
の
リ
ス
ト
特定のテキスト文字列を重要または不適切とし 文字列:重要または不適切
て指定する分類リストのエントリーのリスト るかどうか確認されるテ
ト
リストは
DLP.Classification.AnyText.Matched
が true に設定された場合に満たされます。
DLP.Classification.AnyText..MatchedTerms 文
字
列
の
リ
ス
ト
分類リストの 1 つ以上のエントリーによって、 文字列:重要または不適切
重要または不適切であると指定されている特定 るかどうか確認されるテ
ト
のテキスト文字列を含む用語のリスト。
リストは
DLP.Classification.AnyText.Matched
が true に設定された場合に満たされます。
DLP.Classification.BodyText. Matched
ブ true の場合、リクエストまたは応答の本文の
ー テキストに、分類リストの 1 つ以上のエント
ル リーによって重要または不適切であると指定さ
れているコンテンツが含まれます。
DLP.Classification.BodyText.
MatchedClassifications
文
字
列
の
リ
ス
ト
リクエストまたは応答の本文テキストにある重
要または不適切なコンテンツを指定する分類リ
ストのエントリーのリスト
文
字
列
の
リ
ス
ト
分類リストの 1 つ以上のエントリーによると、
重要または不適切なコンテンツであるリクエス
トまたは応答の本文テキストの用語のリスト。
DLP.Classification.BodyText.
MatchedTerms
DLP.Dictionary.AnyText. Matched
400
ディメンション: 変換する
メンション
McAfee Web Gateway 7.2
リストは
DLP.Classification.BodyText.Matched
が true に設定された場合に満たされます。
リストは
DLP.Classification.BodyText.Matched
が true に設定された場合に満たされます。
ブ true の場合、特定のテキスト文字列がディク
ー ショナリ リストで重要または不適切なコンテ
ル ンツであると指定されています。
文字列:重要または不適切
るかどうか確認されるテ
ト
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-8 プロパティーのリスト - D (続き)
名前
タ 説明
イ
プ
DLP.Dictionary.AnyText. MatchedTerms
文
字
列
の
リ
ス
ト
パラメーター
ディクショナリ リストで重要または不適切で 文字列:重要または不適切
あると指定されている特定のテキスト文字列を るかどうか確認されるテ
含む用語のリスト
ト
リストは
DLP.Dictionary .AnyText.Matched が
true に設定された場合に満たされます。
DLP.Dictionary.BodyText. Matched
ブ true の場合、リクエストまたは応答の本文の
ー テキストに、自分で作成したエントリーによっ
ル て重要または不適切であると指定されているコ
ンテンツが含まれます。
DLP.Dictionary.BodyText. MatchedTerms
文
字
列
の
リ
ス
ト
自分で作成したエントリーによると、重要また
は不適切なコンテンツであるリクエストまたは
応答の本文テキストの用語のリスト。
リストは
DLP.Dictionary.BodyText.Matched が
true に設定された場合に満たされます。
DNS 検索
IP ホスト名の DNS 検索で見つかった IP アドレ 文字列:ホスト名
の スのリスト
リ
ス
ト
DNS.Lookup.Reverse
文 IP アドレスの DNS の逆引き参照で見つかっ
字 たホスト名のリスト
列
の
リ
ス
ト
IP:IP アドレス
表 A-9 プロパティーのリスト – E
名前
タイプ
説明
Error.ID
数値
エラーの ID
Error.Message
文字列
エラーを説明するメッセー
ジ テキスト
ExtLists.Boolean
ブール
ブール値
パラメーター
1 文字列:外部リスト ソー
スを識別する用語の場所
を保持する値。例: URL
2 文字列:上記を参照
3 文字列:上記を参照
ExtLists.Category
カテゴリー
URL カテゴリー
上記を参照
ExtLists.CategoryList
カテゴリーのリスト
URL カテゴリーのリスト
上記を参照
ExtLists.Double
ダブル
ダブルの値
上記を参照
ExtLists.DoubleList
ダブルのリスト
ダブルの値のリスト
上記を参照
ExtLists.Integer
整数
整数
上記を参照
ExtLists.IntegerList
整数のリスト
整数のリスト
上記を参照
ExtLists.IP
IP
IP アドレス
上記を参照
McAfee Web Gateway 7.2
製品ガイド
401
A
構成リスト
プロパティーのリスト
表 A-9 プロパティーのリスト – E (続き)
名前
タイプ
説明
パラメーター
ExtLists.IPList
IP のリスト
IP アドレスのリスト
上記を参照
ExtLists.IPRange
IPRange
IP アドレスの範囲
上記を参照
ExtLists.IPRangeList
IPRange のリスト
IP アドレスの範囲のリスト
上記を参照
ExtLists.LastUsedListName 文字列
最後に使用された外部リス
ト モジュールの設定の名前を
表す文字列
ExtLists.MediaType
MediaType
メディア タイプ
上記を参照
ExtLists.MediaTypeList
MediaType のリスト
メディア タイプのリスト
上記を参照
ExtLists.String
文字列
文字列
上記を参照
ExtLists.StringList
文字列のリスト
文字列のリスト
上記を参照
ExtLists.Wildcard
ワイルドカード式
ワイルドカード（正規表現）
式
上記を参照
ExtLists.WildcardList
ワイルドカード式のリス
ト
ワイルドカード（正規表現）
式のリスト
上記を参照
表 A-10 プロパティーのリスト - F
名前
タイプ 説明
パラメーター
FileSystemLogging.MakeAnonymous 文字列 暗号化によって匿名にされた文字列 文字列:暗号化する文字列
表 A-11 プロパティーのリスト - G
名前
タイプ 説明
パラメーター
GTI.RequestSentToCloud ブール true の場合、URL カテゴリー情報の参照要求が Global
Threat Intelligence サーバーに送信されました。
表 A-12 プロパティーのリスト - H
名前
タイプ
説明
パラメーター
Header.Block.Exists
ブール
true の場合、指定ブロック ヘッダーが存在します。
文字列:ヘッダ
ー名
Header.Block.Get
文字列
指定ブロック ヘッダーで見つかった最初の値
文字列:ヘッダ
ー名
Header.Block.GetMultiple
文字列の 指定ブロック ヘッダーで見つかった値のリスト
リスト
Header.Exists
ブール
文字列:ヘッダ
ー名
true の場合、アプライアンスで処理されるリクエスト 文字列:ヘッダ
ー名
または応答が指定ヘッダーに含まれます。
現在の処理サイクルが実際にヘッダーに含まれている
リクエストまたは応答かどうかによります。
Header.Get
文字列
アプライアンスで処理されるリクエストまたは応答の 文字列:ヘッダ
ー名
指定ヘッダーで見つかった最初の値。
現在の処理サイクルが実際にヘッダーに含まれている
リクエストまたは応答かどうかによります。
Header.GetMultiple
文字列の アプライアンスで処理されるリクエストまたは応答の 文字列:ヘッダ
リスト
ー名
指定ヘッダーで見つかった値のリスト
現在の処理サイクルが実際にヘッダーに含まれている
リクエストまたは応答かどうかによります。
402
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-12 プロパティーのリスト - H (続き)
名前
タイプ
説明
パラメーター
Header.ICAP.Request.Exists
ブール
true の場合、指定ヘッダーは ICAP 通信で送信された 文字列:ヘッダ
リクエストに含まれています。
ー名
Header.ICAP.Request.Get
文字列
ICAP 通信で送信されたリクエストの指定ヘッダーで
見つかった最初の値
文字列:ヘッダ
ー名
Header.ICAP.Response.Exists ブール
true の場合、指定ヘッダーは ICAP 通信で受信した応 文字列:ヘッダ
答に含まれています。
ー名
Header.ICAP.Response.Get
文字列
ICAP 通信で受信された応答の指定ヘッダーで見つか
った最初の値。
Header.Request.Exists
ブール
true の場合、指定ヘッダーはリクエストに含まれてい 文字列:ヘッダ
ます。
ー名
Header.Request.Get
文字列
リクエストの指定ヘッダーで見つかった最初の値
Header.Request.GetMultiple
文字列の リクエストの指定ヘッダーで見つかった値のリスト
リスト
Header.Response.Exists
ブール
true の場合、指定ヘッダーは応答に含まれています。 文字列:ヘッダ
ー名
Header.Response.Get
文字列
応答の指定ヘッダーで見つかった最初の値
文字列:ヘッダ
ー名
文字列:ヘッダ
ー名
文字列:ヘッダ
ー名
文字列:ヘッダ
ー名
Header.Response.GetMultiple 文字列の 応答の指定ヘッダーで見つかった値のリスト
リスト
文字列:ヘッダ
ー名
Hex.ToString
文字列
文字列に変換された 16 進数値
16 進数値:変
換する 16 進
数値
HTML.Element.Attribute
文字列
HTML 要素の属性を表す文字列
HTML.Element.Dimension
ディメン HTML 要素のディメンション（横幅および高さ）
ション
HTML.Element.HasAttribute
ブール
true の場合、HTML 要素に指定属性があります。
HTML.Element.Name
文字列
HTML 要素名
HTML.Element.ScriptType
文字列
HTML 要素のスクリプト タイプ。例: JavaScript ま
たは Visual Basic のスクリプト
文字列:属性名
表 A-13 プロパティーのリスト – I
名前
タイ
プ
説明
ICAP.Policy
文字
列
URL の ICAP リクエストに含まれるポリシー名
ICAP.ReqMod.
ResponseHeader.Exists
ブー
ル
true の場合、REQMOD モードで ICAP サーバーから送 文字列:ヘッダ
信された応答に指定ヘッダーが含まれます。
ー名
ICAP.ReqMod.
ResponseHeader.Get
文字
列
REQMOD 応答の指定ヘッダーで見つかった最初の値
文字列:ヘッダ
ー名
ICAP.ReqMod.
ResponseHeader.GetMultiple
文字
列の
リス
ト
REQMOD 応答の指定ヘッダーで見つかった値のリスト
文字列:ヘッダ
ー名
McAfee Web Gateway 7.2
パラメーター
製品ガイド
403
A
構成リスト
プロパティーのリスト
表 A-13 プロパティーのリスト – I (続き)
名前
タイ
プ
説明
パラメーター
ICAP.ReqMod.Satisfaction
ブー
ル
true の場合、ICAP サーバーはリクエストを応答に置き
換えました。
特定のリクエストをブロックするというメッセージを送
信した後、ICAP サーバーはこれを行います。
ICAP.RespMod.
EncapsulatedHTTPChanged
ブー
ル
true の場合、ICAP サーバーは RESPMOD モードで送信
された応答の HTTP ステータスを変更しました。
ICAP.RespMod.
ResponseHeader.Exists
ブー
ル
true の場合、RESPMOD モードで ICAP サーバーから送 文字列:ヘッダ
信された応答に指定ヘッダーが含まれます。
ー名
ICAP.RespMod.
ResponseHeader.Get
文字
列
RESPMOD 応答の指定ヘッダーで見つかった最初の値
ICAP.RespMod.
ResponseHeader.GetMultiple
文字
列の
リス
ト
RESPMOD 応答の指定ヘッダーで見つかった値のリスト 文字列:ヘッダ
ー名
IM.Direction
文字
列
送信されたチャット メッセージ、またはインスタント メ
ッセージ プロトコルで転送されてアプライアンスで処理
されたファイルの方向
文字列:ヘッダ
ー名
例: クライアントからアプライアンスに送信されたチャッ
ト メッセージでは方向が out として指定され、サーバ
ーからアプライアンスに送信されたメッセージでは方向
が in として指定されます。
IM.FileName
文字
列
インスタント メッセージ プロトコルで転送されるファイ
ルの名前
IM.FileSize
数値
インスタント メッセージ プロトコルで転送されるファイ
ルのサイズ（バイト）
IM.MessageCanSendBack
ブー
ル
true の場合、アプライアンスからインスタント メッセー
ジ サービスのユーザーにブロック メッセージまたはその
他のメッセージを送信できます。
ブロック メッセージは、例えば、チャットが許可されて
いない時間にチャット メッセージを送信したユーザーに
送り返されます。
メッセージは通常ユーザーがインスタント メッセージ サ
ービスにログオンする手順を完了する前には送信でませ
ん。
IM.Notification
文字
列
アプライアンスからインスタント メッセージ サービスの
ユーザーに通知を送信するために使用されるテンプレー
トの名前。例: ブロック メッセージ
IM.Recipient
文字
列
インスタント メッセージ プロトコルでチャット メッセ
ージまたはファイルを受信するクライアントの名前
また、チャット メッセージが受信者グループに送信され
る際に、この名前はグループ名にもなります（グループ
ID）
404
IM.Sender
文字
列
インスタント メッセージ プロトコルでチャット メッセ
ージまたはファイルを送信するクライアントの名前
Incident.AffectedHost
IP
インシデントに関連しているホストの IP アドレス。例:
アプライアンスが接続できない Web サーバー
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-13 プロパティーのリスト – I (続き)
名前
タイ
プ
説明
パラメーター
Incident.Description
文字
列
インシデントの平文の説明
Incident.ID
数値
インシデントの ID
これらの ID のリストについては、インシデント ID の
リスト を参照してください。
Incident.Origin
数値
インシデントの元の場所のアプライアンス コンポーネン
トを指定する数値
以下は現在使用されているいくつかの元の場所の数値で
す。
1 - アプライアンス システム
2 - コア サブシステム
3 - コーディネーター サブシステム
4 - マルウェア対策プロセス
5 – ログ ファイル マネージャー
6 - sysconf デーモン
9 - 未識別の元
インシデントの元は Incident.OriginName プロパテ
ィーでさらに指定されます。
Incident.OriginName
文字
列
インシデントの元の場所であるアプライアンス コンポー
ネントの名前
また、元の名前は元の数値によって指定されているコン
ポーネントの部分のサブコンポーネントも指定できます。
例: 元の場所の数値 2
（コア） は次の元の名前でさらに指
定できます。
• コア
• URL フィルターー
• プロキシー
• およびその他のサブコンポー
ネントの名前
• マルウェア対策フィ
ルターー
Incident.Severity
数値
インシデントの 重大度
重大度レベル:
0 – 緊急
1 – アラート
2 – 重要
3 – エラー
4 – 警告
5 – 注意
6 - 通知
7 - デバッグ
これらのレベルは syslog エントリーで使用されているも
のと同じです。
McAfee Web Gateway 7.2
製品ガイド
405
A
構成リスト
プロパティーのリスト
表 A-13 プロパティーのリスト – I (続き)
406
名前
タイ
プ
説明
パラメーター
IP.ToString
文字
列
文字列に変換された IP アドレス
IP:変換する
IP アドレス
IPRange.ToString
文字
列
文字列に変換された IP アドレスの範囲
IPRange:変
換する IP ア
ドレスの範囲
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-14 プロパティーのリスト - L
名前
タイプ
説明
License.RemainingDays
数値
ライセンスが期限切
れになるまでの残り
時間（日数）
List.LastMatches
文字列
2 つのリストが演算
子を使用して比較さ
れるとき、一致する
ことが判明したすべ
ての要素を含む文字
列。例: at least
one in list または
all in list
パラメーター
一致したものは、演
算子が求めたリスト
間に関係があるかど
うかが決定されてい
ない限り、リストに
追加されます。
例: リスト A は要素
1、2、3 を含み、リ
スト B は 1、2、4
を含みます。
リストは両方とも
at least one in
list 演算子を使用し
て比較されます。
演算子がリスト A が
実際にリスト B に一
致する要素を少なく
とも １ つ以上を含む
ことを見つけるため
に、比較する必要が
あるのは両方のリス
トの要素 1 のみです。
List.LastMatche
s には、一致するこ
とが判明した 1 が含
まれます。
2 も 2 つのリストの
一致ですが、これは
演算子によって求め
られて一致している
と判明していないた
め、
List.LastMatche
s に含まれていませ
ん。
これが行われなかっ
たのは、演算子が両
方のリストで 1 を評
価した後、リスト A
の少なくとも 1 つ以
上の要素がリスト B
にもあることをすで
に見つけたからです。
McAfee Web Gateway 7.2
製品ガイド
407
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfCategory.Append
カテゴリーのリ 追加されたカテゴリ 1 カテゴリーのリスト:カテゴリーを追
スト
ーの URL カテゴリー
加するリスト
のリスト
2 カテゴリー:追加するカテゴリー
List.OfCategory.ByName
カテゴリーのリ URL カテゴリーのリ 文字列:リスト名
スト
スト（名前で指定）
List.OfCategory.Erase
カテゴリーのリ 指定カテゴリーが消 1 カテゴリーのリスト:消去するカテゴ
スト
去されている URL カ
リーを含むリスト
テゴリーのリスト
2 数値:消去するカテゴリーの位置
List.OfCategory.
EraseElementRange
カテゴリーのリ 指定のカテゴリー範 1 カテゴリーのリスト:消去するカテゴ
スト
囲が消去されている
リーを含むリスト
URL カテゴリーのリ
スト
2 数値:消去する最初のカテゴリーの位
置
3 数値:消去する最後のカテゴリーの位
置
List.OfCategory.EraseList
カテゴリーのリ その他のリストでも 1 カテゴリーのリスト:消去するカテゴ
スト
消去されているカテ
リーを含むリスト
ゴリーの URL カテゴ
リーのリスト
2 カテゴリーのリスト:最初のリストで
消去するカテゴリーのリスト
List.OfCategory.Find
数値
リストでの URL カテ 1 カテゴリーのリスト:位置を探すカテ
ゴリーの位置
ゴリーを含むリスト
2 カテゴリー:位置を探すカテゴリー
List.OfCategory.Get
カテゴリー
リストでの位置によ
って指定されている
URL カテゴリー
1 カテゴリーのリスト:カテゴリーを含
むリスト
2 数値:リストでのカテゴリーの位置
List.OfCategory.
GetElementRange
カテゴリーのリ その他のリストから 1 カテゴリーのリスト:抽出するカテゴ
スト
抽出された URL カテ
リーのリスト
ゴリーのリスト
1 カテゴリーのリス 2 数値:抽出する最初のカテゴリーの位
置
ト:抽出するカテゴ
リーのリスト
3 数値:抽出する最後のカテゴリーの位
置
2 数値:抽出する最初
のカテゴリーの位
置
3 数値:抽出する最後
のカテゴリーの位
置
List.OfCategory.Insert
408
McAfee Web Gateway 7.2
カテゴリーのリ 指定カテゴリーが挿 1 カテゴリーのリスト:カテゴリーを挿
スト
入されている URL カ
入するリスト
テゴリーのリスト
2 カテゴリー:挿入するカテゴリー
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfCategory.IsEmpty
ブール
true の場合、指定リ カテゴリーのリスト:空になっているか
ストは空です。
どうかを確認するリスト
List.OfCategory.Join
カテゴリーのリ 2 つのリストが結合 1 カテゴリーのリスト:結合する最初の
スト
することで作成され
リスト
た URL カテゴリーの
リスト
2 カテゴリーのリスト:結合する 2 番目
のリスト
List.OfCategory.Reverse
カテゴリーのリ オリジナルの順に戻 カテゴリーのリスト:オリジナルの順番
スト
された URL カテゴリ でのリスト
ーのリスト
List.OfCategory.Size
数値
List.OfCategory.Sort
カテゴリーのリ アルファベット順に カテゴリーのリスト:ソートするリスト
スト
ソートされている
URL カテゴリーのリ
スト
List.OfCategory.ToShortString
文字列
URL カテゴリーの省 カテゴリーのリスト:変換するリスト
略名前形式のリスト
に変換された URL カ
テゴリーのリスト
List.OfCategory.ToString
文字列
文字列に変換された カテゴリーのリスト:変換するリスト
URL カテゴリーのリ
スト
List.OfDimension.Append
ディメンション ディメンションを追
のリスト
加するディメンショ
ンのリスト
リストでの URL カテ カテゴリーのリスト:カテゴリー数を提
ゴリーの数
供するリスト
1 ディメンションのリスト:ディメンシ
ョンを追加するリスト
2 ディメンション:追加するディメンシ
ョン
List.OfDimension.ByName
ディメンション 名前で指定されるデ
のリスト
ィメンションのリス
ト
文字列:リスト名
List.OfDimension.Erase
ディメンション 指定されたディメン
のリスト
ションが消去された
ディメンションのリ
スト
1 ディメンションのリスト:消去するデ
ィメンションのリスト
ディメンション 指定のディメンショ
のリスト
ン範囲が消去された
ディメンションのリ
スト
1 ディメンションのリスト:消去するデ
ィメンション範囲を含むリスト
List.OfDimension.
EraseElementRange
2 数値:消去するディメンションの位置
2 数値:消去する最初のディメンション
の位置
3 数値:消去する最後のディメンション
の位置
List.OfDimension.EraseList
ディメンション その他のリストでも
のリスト
消去されているディ
メンションのリスト
1 ディメンションのリスト:消去するデ
ィメンションを含むリスト
2 ディメンションのリスト:最初のリス
トで消去するディメンションのリスト
McAfee Web Gateway 7.2
製品ガイド
409
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfDimension.Find
数値
リストでのディメン
ションの位置
1 ディメンションのリスト:位置を探す
ディメンションのリスト
2 ディメンション:位置を探すディメン
ション
List.OfDimension.Get
ディメンション リストでの位置によ
って指定されるディ
メンション
1 ディメンションのリスト:ディメンシ
ョンを含むリスト
2 数値:リストでのディメンションの位
置
List.OfDimension.
GetElementRange
ディメンション その他のリストから
のリスト
抽出されたディメン
ションのリスト
1 ディメンションのリスト:抽出するデ
ィメンションを含むリスト
2 数値:抽出する最初のディメンション
の位置
3 数値:抽出する最後のディメンション
の位置
4 ディメンション:挿入するディメンシ
ョン
List.OfDimension.Insert
ディメンション 指定ディメンション
のリスト
が挿入されたディメ
ンションのリスト
1 ディメンションのリスト:ディメンシ
ョンに挿入するリスト
2 ディメンション:挿入するディメンシ
ョン
410
List.OfDimension.IsEmpty
ブール
List.OfDimension.Join
ディメンション 2 つのリストを結合
のリスト
することで作成され
たディメンションの
リスト
1 ディメンションのリスト:結合する最
初のリスト
List.OfDimension.Reverse
ディメンション オリジナルの順に戻
のリスト
されたディメンショ
ンのリスト
ディメンションのリスト:オリジナルの
順番でのリスト
List.OfDimension.Size
数値
ディメンションのリスト:ディメンショ
ン数を提供するリスト
List.OfDimension.Sort
ディメンション アルファベット順で ディメンションのリスト:ソートするリ
のリスト
ソートされている
スト
URL カテゴリーのリ
スト
List.OfDimension.ToString
文字列
文字列に変換された
ディメンションのリ
スト
List.OfHex.Append
16 進数値のリ
スト
16 進数値が追加され 1 16 進数値のリスト:16 進数値を追加
る 16 進数値のリス
するリスト
ト
2 16 進数値:追加する 16 進数値
McAfee Web Gateway 7.2
true の場合、指定リ ディメンションのリスト:空になってい
ストは空です。
るかどうかを確認するリスト
リストでのディメン
ションの数
2 ディメンションのリスト:結合する 2
番目のリスト
ディメンションのリスト:変換するリス
ト
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfHex.ByName
16 進数値のリ
スト
名前によって指定さ
れる 16 進数値のリ
スト
文字列:リスト名
List.OfHex.Erase
16 進数値のリ
スト
指定値が消去された
16 進数値のリスト
1 16 進数値のリスト:消去する 16 進
数値を含むリスト
2 数値:消去する 16 進数値の位置
List.OfHex.
EraseElementRange
16 進数値のリ
スト
指定の値の範囲が消
去された 16 進数値
のリスト
1 16 進数値のリスト:消去する 16 進
数値を含むリスト
2 数値:消去する最初の 16 進数値の位
置
3 数値:消去する最後の 16 進数値の位
置
List.OfHex.EraseList
List.OfHex.Find
16 進数値のリ
スト
数値
その他のリストでも
消去されている値を
含む 16 進数値のリ
スト
リストでの 16 進数
値の位置
1 16 進数値のリスト:消去する 16 進
数値を含むリスト
2 16 進数値のリスト:最初のリストで
消去する 16 進数値のリスト
1 16 進数値のリスト:位置を探す 16
進数値を含むリスト
2 16 進数値:位置を探す 16 進数値
List.OfHex.Get
16 進数値
リストでの位置によ
って指定される 16
進数値
1 16 進数値のリスト:16 進数値を含む
リスト
2 数値:リストでの 16 進数値の位置
List.OfHex.GetElementRange
16 進数値のリ
スト
その他のリストから
抽出された 16 進数
値のリスト
1 16 進数値のリスト:抽出する 16 進
数値を含むリスト
2 数値:抽出する最初の 16 進数値の位
置
3 数値:抽出する最後の 16 進数値の位
置
List.OfHex.Insert
16 進数値のリ
スト
指定値が挿入された
16 進数値のリスト
1 16 進数値のリスト:16 進数値を挿入
するリスト
2 16 進数値:挿入する16 進数値
List.OfHex.IsEmpty
ブール
true の場合、指定リ 16 進数値のリスト:空になっているか
ストは空です。
どうかを確認するリスト
List.OfHex.Join
16 進数値のリ
スト
2 つのリストを結合
することで作成され
た 16 進数値のリス
ト
List.OfHex.Reverse
McAfee Web Gateway 7.2
16 進数値のリ
スト
オリジナルの順に戻
された 16 進数値の
リスト
1 16 進数値のリスト:結合する最初の
リスト
2 16 進数値のリスト:結合する 2 番目
のリスト
16 進数値のリスト:オリジナルの順番
でのリスト
製品ガイド
411
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfHex.Size
数値
リストでの 16 進数
値の数
16 進数値のリスト:16 進数値の数を提
供するリスト
List.OfHex.Sort
16 進数値のリ
スト
ソートされた 16 進
数値のリスト
16 進数値のリスト:ソートするリスト
List.OfHex.ToString
文字列
文字列に変換された
16 進数値のリスト
16 進数値のリスト:変換するリスト
List.OfIP.Append
IP のリスト
IP アドレスが追加さ 1 IP のリスト:IP アドレスを追加する
れた IP アドレスのリ
リスト
スト
2 IP:追加する IP アドレス
List.OfIP.ByName
IP のリスト
名前で指定される
文字列:リスト名
IP アドレスのリスト
List.OfIP.Erase
IP のリスト
指定アドレスが消去 1 IP のリスト:消去する IP アドレスの
された IP アドレスの
リスト
リスト
2 数値:消去する IP アドレスの位置
List.OfIP.EraseElementRange
IP のリスト
指定のアドレス範囲 1 IP のリスト:消去する IP アドレスの
が消去された IP アド
リスト
レスのリスト
2 数値:消去する最初の IP アドレスの
位置
3 数値:消去する最後の IP アドレスの
位置
List.OfIP.EraseList
IP のリスト
その他のリストでも 1 IP のリスト:消去する IP アドレスの
消去されているアド
リスト
レスを含む IP アドレ
スのリスト
2 IP のリスト:最初のリストで消去す
る IP アドレスのリスト
List.OfIP.Find
数値
リストでの IP アドレ 1 IP のリスト:位置を探す IP アドレス
スの位置
を含むリスト
2 IP:位置を探す IP アドレス
List.OfIP.Get
IP
リストでの位置によ 1 IP のリスト:IP アドレスを含むリス
って指定される IP ア
ト
ドレス
2 数値:リストの IP アドレスの位置
List.OfIP.GetElementRange
IP のリスト
その他のリストから 1 IP のリスト:抽出する IP アドレスの
抽出される IP アドレ
リスト
スのリスト
2 数値:抽出する最初の IP アドレスの
位置
3 数値:抽出する最後の IP アドレスの
位置
List.OfIP.Insert
412
McAfee Web Gateway 7.2
IP のリスト
指定アドレスが挿入 1 IP のリスト:IP アドレスを挿入する
された IP アドレスの
リスト
リスト
2 IP:挿入する IP アドレス
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfIP.IsEmpty
ブール
true の場合、指定リ IP のリスト:空になっているかどうかを
ストは空です。
確認するリスト
List.OfIP.Join
IP のリスト
2 つのリストを結合 1 IP のリスト:結合する最初のリスト
することで作成され
た IP アドレスのリス 2 IP のリスト:結合する 2 番目のリス
ト
ト
List.OfIP.Reverse
IP のリスト
オリジナルの順に戻 IP のリスト:オリジナルの順番でのリス
された IP アドレスの ト
リスト
List.OfIP.Size
数値
リストの IP アドレス IP のリスト:IP アドレス数を提供する
の数
リスト
List.OfIP.Sort
IP のリスト
ソートされた IP アド IP のリスト:ソートするリスト
レスのリスト
List.OfIP.ToString
文字列
文字列に変換された IP のリスト:変換するリスト
IP アドレスのリスト
List.OfIPRange.Append
IPRange のリ
スト
IP アドレス範囲を追 1 IPRange のリスト:IP アドレス範囲
加する IP アドレス範
を追加するリスト
囲のリスト
2 IPRange:追加する IP アドレス範囲
List.OfIPRange.ByName
IPRange のリ
スト
名前で指定される
文字列:リスト名
IP アドレス範囲のリ
スト
List.OfIPRange.Erase
IPRange のリ
スト
指定範囲を消去した 1 IPRange のリスト:消去する IP アド
IP アドレス範囲のリ
レス範囲のリスト
スト
2 数値:消去する IP アドレス範囲の位
置
List.OfIPRange.
EraseElementRange
IPRange のリ
スト
指定範囲を消去した 1 IPRange のリスト:消去する IP アド
IP アドレス範囲のリ
レス範囲を含むリスト
スト
2 数値:消去する最初の IP アドレス範
囲の位置
3 数値:消去する最後の IP アドレス範
囲の位置
List.OfIPRange.EraseList
IPRange のリ
スト
その他のリストでも 1 IPRange のリスト:消去する IP アド
消去されている範囲
レス範囲を含むリスト
を含む IP アドレス範
囲のリスト
2 IPRange のリスト:最初のリストで消
去する IP アドレス範囲のリスト
List.OfIPRange.Find
数値
リストでの IP アドレ 1 IPRange のリスト:位置を探す IP ア
ス範囲の位置
ドレス範囲を含むリスト
2 IPRange:位置を探す IP アドレス範
囲
McAfee Web Gateway 7.2
製品ガイド
413
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfIPRange.Get
IPRange
リストでの位置によ 1 IPRange のリスト:IP アドレス範囲
って指定される IP ア
を含むリスト
ドレス範囲
2 数値:リストでの IP アドレス範囲の
位置
List.OfIPRange.
GetElementRange
IPRange のリ
スト
その他のリストから 1 IPRange のリスト:抽出する IP アド
抽出する IP アドレス
レス範囲のリスト
範囲のリスト
2 数値:抽出する最初の IP アドレス範
囲の位置
3 数値:抽出する最後の IP アドレス範
囲の位置
414
List.OfIPRange.Insert
IPRange のリ
スト
指定範囲を挿入した 1 IPRange のリスト:IP アドレス範囲
IP アドレス範囲を含
を挿入するリスト
むリスト
2 IPRange:挿入する IP アドレス範囲
List.OfIPRange.IsEmpty
ブール
true の場合、指定リ IPRange のリスト:空になっているかど
ストは空です。
うかを確認するリスト
List.OfIPRange.Join
IPRange のリ
スト
2 つのリストを結合 1 IPRange のリスト:結合する最初のリ
することで作成され
スト
た IP アドレス範囲の
リスト
2 IPRange のリスト:結合する 2 番目
のリスト
List.OfIPRange.Reverse
IPRange のリ
スト
オリジナルの順に戻 IPRange のリスト:オリジナルの順番で
された IP アドレス範 のリスト
囲のリスト
List.OfIPRange.Size
数値
リストでの IP アドレ IPRange のリスト:IP アドレス範囲の
ス範囲の数
数を提供するリスト
List.OfIPRange.Sort
IPRange のリ
スト
ソートされた IP アド IPRange のリスト:ソートするリスト
レス範囲のリスト
List.OfIPRange.ToString
文字列
文字列に変換された IPRange のリスト:変換するリスト
IP アドレス範囲のリ
スト
List.OfMediaType.Append
MediaType の
リスト
メディア タイプを追 1 MediaType のリスト:追加するメデ
加するメディア タイ
ィア タイプのリスト
プのリスト
2 MediaType:追加するメディア タイ
プ
List.OfMediaType.ByName
MediaType の
リスト
名前で指定されるメ 文字列:リスト名
ディア タイプのリス
ト
List.OfMediaType.Erase
MediaType の
リスト
指定タイプが消去さ 1 MediaType のリスト:消去するメデ
れたメディア タイプ
ィア タイプを含むリスト
のリスト
2 数値:消去するメディア タイプの位置
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfMediaType.
EraseElementRange
MediaType の
リスト
指定のタイプ範囲が
消去されたメディア
タイプのリスト
1 MediaType のリスト:消去するメデ
ィア タイプのリスト
2 数値:消去する最初のメディア タイプ
のリスト
3 数値:消去する最後のメディア タイプ
のリスト
List.OfMediaType.EraseList
MediaType の
リスト
その他のリストでも 1 MediaType のリスト:消去するメデ
消去されたタイプの
ィア タイプのリスト
メディア タイプのリ
スト
2 MediaType のリスト:最初のリスト
で消去するメディア タイプのリスト
List.OfMediaType.Find
数値
リストでのメディア
タイプの位置
1 MediaType のリスト:位置を探すメ
ディア タイプのリスト
2 MediaType:位置を探すメディア タ
イプ
List.OfMediaType.Get
MediaType
リストの位置によっ
て指定されるメディ
ア タイプ
1 MediaType のリスト:メディア タイ
プを含むリスト
2 数値:リストでのメディア タイプの位
置
List.OfMediaType.GetElems
MediaType の
リスト
その他のリストから
抽出されたメディア
タイプのリスト
1 MediaType のリスト:抽出するメデ
ィア タイプのリスト
2 数値:抽出する最初のメディア タイプ
のリスト
3 数値:抽出する最後のメディア タイプ
のリスト
List.OfMediaType.Insert
MediaType の
リスト
指定タイプが挿入さ 1 MediaType のリスト:メディア タイ
れたメディア タイプ
プを挿入するリスト
のリスト
2 MediaType:挿入するメディア タイ
プ
List.OfMediaType.IsEmpty
ブール
true の場合、指定リ MediaType のリスト:空になっている
ストは空です。
かどうかを確認するリスト
List.OfMediaType.Join
MediaType の
リスト
2 つのリストを結合 1 MediaType のリスト:結合する最初
することで作成され
のリスト
たメディア タイプの
リスト
2 MediaType のリスト:結合する 2 番
目のリスト
List.OfMediaType.Reverse
MediaType の
リスト
オリジナルの順に戻 MediaType のリスト:オリジナルの順
されたメディア タイ 番でのリスト
プのリスト
List.OfMediaType.Size
数値
リストのメディア タ MediaType のリスト:メディア タイプ
イプの数
数を提供するリスト
McAfee Web Gateway 7.2
製品ガイド
415
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfMediaType.Sort
MediaType の
リスト
アルファベット順で MediaType のリスト:ソートするリス
ソートされているメ ト
ディア タイプのリス
ト
List.OfMediaType.ToString
文字列
文字列に変換された MediaType のリスト:変換するリスト
メディア タイプのリ
スト
List.OfNumber.Append
数値のリスト
数値を追加する数値
のリスト
1 数値のリスト:数値を追加するリスト
2 数値:追加する数値
List.OfNumber.ByName
数値のリスト
名前で指定される数
値のリスト
文字列:リスト名
List.OfNumber.Erase
数値のリスト
指定数値が消去され
た数値のリスト
1 数値のリスト:消去する数値のリスト
2 数値:消去する数値の位置
List.OfNumber.
EraseElementRange
数値のリスト
指定数値の範囲が消
去された数値のリス
ト
1 数値のリスト:消去する数値のリスト
2 数値:消去する最初の数値の位置
3 数値:消去する最後の数値の位置
List.OfNumber.EraseList
List.OfNumber.Find
数値のリスト
数値
その他のリストでも
消去されている数値
のリスト
1 数値のリスト:消去する数値のリスト
リストでの数の位置
1 数値のリスト:位置を探す数値のリス
ト
2 数値のリスト:最初のリストで消去す
る数値のリスト
2 数値:位置を探す数値
List.OfNumber.Get
数値
リストの位置によっ
て指定される数値
1 数値のリスト:数値を含むリスト
2 数値:リストでの数値の位置
List.OfNumber.
GetElementRange
数値のリスト
その他のリストから
抽出された数のリス
ト
1 数値のリスト:抽出する数のリスト
2 数値:抽出する最初の数値の位置
3 数値:抽出する最後の数の位置
List.OfNumber.Insert
数値のリスト
指定数値が挿入され
た数のリスト
1 数値のリスト:数値を挿入するリスト
2 数値:挿入する数
416
List.OfNumber.IsEmpty
ブール
true の場合、指定リ 数値のリスト:空になっているかどうか
ストは空です。
を確認するリスト
List.OfNumber.Join
数値のリスト
2 つのリストを結合
することで作成され
た数値のリスト
1 数値のリスト:結合する最初のリスト
2 数値のリスト:結合する 2 番目のリス
ト
List.OfNumber.Reverse
数値のリスト
オリジナルの順に戻
った数のリスト
数値のリスト:オリジナルの順番でのリ
スト
List.OfNumber.Size
数値
リストでの数値の数
数値のリスト:数値の数を提供するリス
ト
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfNumber.Sort
数値のリスト
ソートされた数のリ
スト
数値のリスト:ソートするリスト
List.OfNumber.ToString
文字列
文字列に変換された
数値のリスト
数値のリスト:変換するリスト
List.OfString.Append
文字列のリスト 文字列を追加する文
字列のリスト
1 文字列のリスト:文字列を追加するリ
スト
2 文字列:追加する文字列
List.OfString.ByName
文字列のリスト 名前で指定される文
字列のリスト
文字列:リスト名
List.OfString.Erase
文字列のリスト 指定文字列が消去さ
れた文字列のリスト
1 文字列のリスト:消去する文字列のリ
スト
2 数値:消去する文字列の位置
List.OfString.
EraseElementRange
文字列のリスト 指定文字列の範囲が
消去された文字列の
リスト
1 文字列のリスト:消去する文字列のリ
スト
2 数値:消去する最初の文字列の位置
3 数値:消去する最後の文字列の位置
List.OfString.EraseList
文字列のリスト その他のリストでも
消去されている文字
列のリスト
1 文字列のリスト:消去する文字列のリ
スト
2 文字列のリスト:最初のリストで消去
する文字列のリスト
List.OfString.Find
数値
リストの文字列の位
置
1 文字列のリスト:位置を探す文字列の
リスト
2 文字列:位置を探す文字列
List.OfString.Get
文字列
リストの位置によっ
て指定される文字列
1 文字列のリスト:文字列を含むリスト
2 数値:リストの文字列の位置
List.OfString.GetElementRang
e
文字列のリスト その他のリストから
抽出された文字列の
リスト
1 文字列のリスト:抽出する文字列を含
むリスト
2 数値:抽出する最初の文字列の位置
3 数値:抽出する最後の文字列の位置
List.OfString.Insert
文字列のリスト 指定文字列が挿入さ
れた文字列のリスト
1 文字列のリスト:数値を挿入するリス
ト
2 文字列:挿入する文字列
List.OfString.IsEmpty
ブール
true の場合、指定さ 文字列のリスト:空になっているかどう
れたリストは空です かを確認するリスト
List.OfString.Join
文字列のリスト 2 つのリストを結合
することで作成され
た文字列のリスト
1 文字列のリスト:結合する最初のリス
ト
2 文字列のリスト:結合する 2 番目のリ
スト
McAfee Web Gateway 7.2
製品ガイド
417
A
構成リスト
プロパティーのリスト
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
List.OfStringMapInList
文字列のリスト パラメーターによっ 1
て文字列は指定され、
この文字列が他のリ
ストで持つ位置に対 2
するインデックスを
含むリストに含まれ
ます。
3
指定文字列が最初の
リストに含まれてい
ないか、または 2 番
目のリストの位置と
して存在しない場合
は、文字列は空です。
パラメーター
文字列のリスト:文字列を含む最初の
リスト
文字列のリスト:文字列を含む 2 番目
のリスト
文字列:最初と 2 番目のリストに文字
列が含まれるか、または彼の文字列
List.OfString.Reverse
文字列のリスト オリジナルの順に戻
された文字列のリス
ト
文字列のリスト:オリジナルの順番での
リスト
List.OfString.Size
数値
文字列のリスト:文字列数を提供するリ
スト
List.OfString.Sort
文字列のリスト アルファベット順で
ソートされている文
字列のリスト
文字列のリスト:ソートするリスト
List.OfString.ToString
文字列
文字列のリスト:変換するリスト
List.OfWildcard.Append
ワイルドカード 表現を追加するワイ
式のリスト
ルドカード式のリス
ト
指定リストの文字列
の数
文字列に変換された
文字列のリスト
1 ワイルドカード式のリスト:追加する
ワイルドカード式のリスト
2 ワイルドカード式:追加するワイルド
カード式
List.OfWildcard.ByName
ワイルドカード 名前で指定されるワ
式のリスト
イルドカード式のリ
スト
文字列:リスト名
List.OfWildcard.Erase
ワイルドカード 指定表現が消去され
式のリスト
たワイルドカード式
を含むリスト
1 ワイルドカード式のリスト:消去する
ワイルドカード式を含むリスト
2 数値:消去するワイルドカード式の位
置
List.ofWildcard.
EraseElementRange
ワイルドカード 指定表現の範囲が消
式のリスト
去されたワイルドカ
ード式のリスト
1 ワイルドカード式のリスト:消去する
ワイルドカード式のリスト
2 数値:消去する最初のワイルドカード
式の位置
3 数値:消去する最後のワイルドカード
式の位置
List.OfWildcard.EraseList
418
McAfee Web Gateway 7.2
ワイルドカード その他のリストでも
式のリスト
消去されている表現
のワイルドカード式
のリスト
1 ワイルドカード式のリスト:消去する
ワイルドカード式のリスト
2 ワイルドカード式のリスト:最初のリ
ストで消去するワイルドカード式のリ
スト
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-14 プロパティーのリスト - L (続き)
名前
タイプ
説明
パラメーター
List.OfWildcard.Find
数値
リストでのワイルド
カード式の位置
1 ワイルドカード式のリスト:位置を探
すワイルドカード式のリスト
2 ワイルドカード式:位置を探すワイル
ドカード式
List.OfWildcard.Get
ワイルドカード リストの位置によっ 1 ワイルドカード式のリスト:ワイルド
式
て指定される ワイル
カード式を含むリスト
ドカード式
2 数値:リストでのワイルドカード式の
位置
List.OfWildcard.
GetElementRange
ワイルドカード その他のリストから
式のリスト
抽出されたワイルド
カード式のリスト
1 ワイルドカード式のリスト:抽出する
ワイルドカード式のリスト
2 数値:抽出する最初のワイルドカード
式の位置
3 数値:抽出する最後のワイルドカード
式の位置
List.OfWildcard.Insert
ワイルドカード 指定表現が挿入され
式のリスト
たワイルドカード式
のリスト
1 ワイルドカード式のリスト:ワイルド
カード式を挿入するリスト
2 ワイルドカード式:挿入するワイルド
カード式
List.OfWildcard.IsEmpty
ブール
true の場合、指定リ ワイルドカード式のリスト:空になって
ストは空です。
いるかどうかを確認するリスト
List.OfWildcard.Join
ワイルドカード 2 つのリストを結合
式のリスト
することで作成され
たワイルドカード式
のリスト
1 ワイルドカード式のリスト:結合する
最初のリスト
List.OfWildcard.Reverse
ワイルドカード オリジナルの順に戻
式のリスト
されたワイルドカー
ド式のリスト
ワイルドカード式のリスト:オリジナル
の順番でのリスト
List.OfWildcard.Size
数値
リストのワイルドカ
ード式の数
ワイルドカード式のリスト:ワイルドカ
ード式数を提供するリスト
List.OfWildcard.Sort
ワイルドカード ソートされたワイル
式のリスト
ドカード式のリスト
ワイルドカード式のリスト:ソートする
リスト
List.OfWildcard.ToString
文字列
ワイルドカード式のリスト:変換するリ
スト
文字列に変換された
ワイルドカード式の
リスト
2 ワイルドカード式のリスト:結合する
2 番目のリスト
表 A-15 プロパティーのリスト – M
名前
タイプ
説明
パラメーター
Math.Abs
数値
指定数値の絶対値
数値:絶対値のた
めに提供される数
値
Math.Random
数値
指定された最小値と最大値の間にあるラ 1 数値:最小値
ンダム数値（これらの値を含みます）
2 数値:最大値
McAfee Web Gateway 7.2
製品ガイド
419
A
構成リスト
プロパティーのリスト
表 A-15 プロパティーのリスト – M (続き)
名前
タイプ
説明
パラメーター
MediaStreamProbability
数値
MediaType.EnsuredTypes
MediaType のリ 50% より高い確率でそれぞれのメディ
スト
アを保証するメディア タイプのリスト
MediaType.FromFileExtension
MediaType のリ メディアのファイル名拡張子を使用して
スト
見つかったメディア タイプのリスト
MediaType.FromHeader
MediaType のリ メディアとともに送信したコンテンツ
スト
タイプ ヘッダーを使用して見つかった
メディア タイプのリスト
MediaType.HasOpener
ブール
true の場合、オープナー モジュールは
アプライアンスでの特定タイプのメディ
アのために利用できます。
MediaType.IsCompositeObject
ブール
true の場合、特定タイプのメディアは
複合オブジェクトです。例: アーカイブ
MediaType.MagicBytesMismatch ブール
true の場合、メディアとともに送信さ
れたヘッダーで指定されたメディア タ
イプは、メディアに実際に含まれている
マジック バイトを検査することでアプ
ライアンスで見つかったタイプに一致し
ません。
対象のストリーミング メディアが見つ
かったメディア タイプに一致する確率
（パーセント）
MediaType.NotEnsuredTypes
MediaType のリ 50% 未満の確率でそれぞれのメディア
スト
を保証するメディア タイプのリスト
MediaType.ToString
文字列
文字列に変換されたメディア タイプ
Message.Language
文字列
簡略形式でユーザーにメッセージを送信
する際の言語名。例: en、de、ja
Message.TemplateName
文字列
ユーザーに送信されるメッセージのテン
プレートの名前
MediaType:変換
するメディア タイ
プ
表 A-16 プロパティーのリスト – N
名前
タイプ 説明
パラメーター
Number.ToDecimalNumber
数値
数値:変換する整数
10 進数形式に変換された整数
例: 10 は 10.0 に変換されます。
Number.ToString
文字列 文字列に変換する数値
数値:変換する数値
Number.ToVolumeString
文字列 文字列に変換されたボリューム容量のバイト数
数値:変換するバイト数
NumberOfClientConnections 数値
アプライアンスで同時に開いているクライアント
との接続の数
表 A-17 プロパティーのリスト – P
420
名前
タイプ
説明
PDStorage.GetAllData
文字列のリスト
文字列形式ですべての持続的に保管さ
れたデータを含むリスト
PDStorage.GetAllGlobalData
文字列のリスト
文字列形式ですべての持続的に保管さ
れたグローバル データを含むリスト
PDStorage.GetAllUserData
文字列のリスト
文字列形式ですべての持続的に保管さ
れたユーザー データを含むリスト
McAfee Web Gateway 7.2
パラメーター
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-17 プロパティーのリスト – P (続き)
名前
タイプ
説明
パラメーター
PDStorage.GetGlobalData.Bool
ブール
タイプ ブールのグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
Category
カテゴリー
タイプ カテゴリーのグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
Dimension
ディメンション
タイプ ディメンションのグローバル変 文字列:変数キ
数
ー
PDStorage.GetGlobalData.Hex
16 進数値
タイプ 16 進数値のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.IP
IP
タイプ IP のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
IPRange
IPRange
タイプ IPRange のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.List.
Category
カテゴリーのリスト タイプ カテゴリーのリストのグローバ 文字列:変数キ
ル変数
ー
PDStorage.GetGlobalData. List.
Dimension
ディメンションのリ タイプ ディメンションのリストのグロ 文字列:変数キ
スト
ーバル変数
ー
PDStorage.GetGlobalData. List
Hex
16 進数値のリスト タイプ 16 進数値のリストのグローバ 文字列:変数キ
ル変数
ー
PDStorage.GetGlobalData.List. IP IP のリスト
タイプ IP のリストのグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.List.
IPRange
IPRange のリスト タイプ IPRange のリストのグローバ 文字列:変数キ
ル変数
ー
PDStorage.GetGlobalData.List.
MediaType
MediaType のリス タイプ MediaType のリストのグロー 文字列:変数キ
ト
バル変数
ー
PDStorage.GetGlobalData.List.
Number
数値のリスト
タイプ数値のリストのグローバル変数 文字列:変数キ
ー
PDStorage.GetGlobalData.List.
String
文字列のリスト
タイプ文字列のリストのグローバル変 文字列:変数キ
数
ー
PDStorage.GetGlobalData.List.
WildcardExpression
ワイルドカード式の タイプ ワイルドカード式のリストのグ 文字列:変数キ
リスト
ローバル変数
ー
PDStorage.GetGlobalData.
MediaType
MediaType
タイプ MediaType のグローバル変数 文字列:変数キ
ー
PDStorage.GetGlobalData.
Number
数値
タイプ数値のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData. String 文字列
タイプ文字列のグローバル変数
文字列:変数キ
ー
PDStorage.GetGlobalData.
WildcardExpression
ワイルドカード式
タイプ ワイルドカード式のグローバル 文字列:変数キ
変数
ー
PDStorage.GetUserData.Bool
ブール
タイプ ブールのユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.
Category
カテゴリー
タイプ カテゴリーのユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.
Dimension
ディメンション
タイプ ディメンションのユーザー変数 文字列:変数キ
ー
PDStorage.GetUserData.Hex
16 進数値
タイプ 16 進数値のユーザー変数
McAfee Web Gateway 7.2
文字列:変数キ
ー
製品ガイド
421
A
構成リスト
プロパティーのリスト
表 A-17 プロパティーのリスト – P (続き)
名前
タイプ
説明
パラメーター
PDStorage.GetUserData.IP
IP
タイプ IP のユーザー変数
文字列:変数キ
ー
タイプ IPRange のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData. IPRange IPRange
422
PDStorage.GetUserData.List
Category
カテゴリーのリスト タイプ カテゴリーのリストのユーザー 文字列:変数キ
変数
ー
PDStorage.GetUserData.List
Dimension
ディメンションのリ タイプ ディメンションのリストのユー 文字列:変数キ
スト
ザー変数
ー
PDStorage.GetUserData.List Hex
16 進数値のリスト タイプ 16 進数値のリストのユーザー 文字列:変数キ
変数
ー
PDStorage.GetUserData.List IP
IP のリスト
PDStorage.GetUserData.List
IPRange
IPRange のリスト タイプ IPRange のリストのユーザー 文字列:変数キ
変数
ー
PDStorage.GetUserData.List
MediaType
MediaType のリス タイプ MediaType のリストのユーザ 文字列:変数キ
ト
ー変数
ー
PDStorage.GetUserData.List
String
数値のリスト
タイプ数値のリストのユーザー変数
PDStorage.GetUserData.List
Category
文字列のリスト
タイプ文字列のリストのユーザー変数 文字列:変数キ
ー
PDStorage.GetUserData.
ListWildcard Expression
ワイルドカード式の タイプ ワイルドカード式のリストのユ 文字列:変数キ
リスト
ーザー変数
ー
PDStorage.GetUserData.
MediaType
MediaType
タイプ IP のリストのユーザー変数
文字列:変数キ
ー
文字列:変数キ
ー
タイプ MediaType のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData. Number 数値
タイプ数値のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData. String
文字列
タイプ文字列のユーザー変数
文字列:変数キ
ー
PDStorage.GetUserData.
WildcardExpression
ワイルドカード式
タイプ ワイルドカード式のユーザー変 文字列:変数キ
数
ー
PDStorage.HasGlobalData
ブール
true の場合、持続的に保管されている 文字列:変数キ
グローバル データが利用可能です。 ー
PDStorage.HasGlobalDataWait
ブール
true の場合、リクエストされたグロー 1 文字列:変数
バル変数がストレージに存在するか、
キー
また指定期間が経過するまで、リクエ
ストは待たされます。
2 数値:タイム
アウト (秒単
次に、プロパティーの値は false に設
定されます。デフォルトは true です。 位)
PDStorage.HasUserData
ブール
true の場合、持続的に保管されたユー 文字列:変数キ
ー
ザー データが利用可能です。
ProgressPage.Enabled
ブール
true の場合、ダウンロードの進行状況
は進行状況ページでユーザーに示され
ます。
Protocol.FailureDescription
文字列
現在のプロトコルでの接続エラーの説
明を含む文字列
Proxy.EndUserURL
文字列
ユーザーに表示する URL を表す文字
列
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-17 プロパティーのリスト – P (続き)
名前
タイプ
説明
Proxy.IP
IP
接続の IP アドレス
Proxy.Port
数値
接続に使用されるポート番号
パラメーター
表 A-18 プロパティーのリスト - Q
名前
タイ
プ
説明
パ
ラ
メ
ー
タ
ー
Quota.AuthorizedOverride.
GetLogin
文字
列
許可オーバーライドを実行するために提出されるユーザー名
Quota.AuthorizedOverride.
IsActivationRequest
ブー
ル
true の場合、認証されたユーザーはセッション時間が過ぎた
後に、許可オーバーライド セッションの継続を選択しました。
Quota.AuthorizedOverride.
IsActivationRequest.Strict
ブー
ル
true の場合、許可されたユーザーは許可オーバーライド セッ
ションでの継続を選択したため、セッションを続行するリクエ
ストが現在の設定に適用されます。
Quota.AuthorizedOverride.JS.
ActivateSession
文字
列
認定ユーザーが許可オーバーライド テンプレートの該当する
ボタンをクリックすることで、新しいセッションの開始を選択
した際に実行する関数をコールする JavaScript コードの文字
列。
コードはテンプレートが作成されユーザーに表示されたときに
表示されます。
Quota.AuthorizedOverride.
RemainingSession
数値
許可オーバーライド セッションの残り時間（秒単位）
Quota.AuthorizedOverride.
SessionExceeded
ブー
ル
true の場合、許可オーバーライド セッションの許容時間が超
過されました。
Quota.AuthorizedOverride.
SessionLength
数値
許可オーバーライド セッションの期間（秒単位）
Quota.Coaching.
IsActivationRequest
ブー
ル
true の場合、ユーザーはセッション時間が過ぎた後に新しい
警告セッションでの継続を選択しました。
Quota.Coaching.
IsActivationRequest.Strict
ブー
ル
true の場合、ユーザーは警告セッションでの継続を選択した
ため、セッションを続行するリクエストが現在の設定に適用さ
れます。
Quota.Coaching.JS.
ActivateSession
文字
列
認定ユーザーが警告セッション テンプレートの該当するボタ
ンをクリックすることで、新しいセッションの開始を選択した
際に実行する関数をコールする JavaScript コードの文字列。
コードはテンプレートが作成されユーザーに表示されたときに
表示されます。
Quota.Coaching.
RemainingSession
数値
警告セッションの残り時間（秒単位）
Quota.Coaching. SessionExceeded ブー
ル
true の場合、警告セッションの許容時間が超過されました。
Quota.Coaching.SessionLength
数値
警告セッションの期間（秒単位）
Quota.Time.Exceeded
ブー
ル
true の場合、時間クォータが超過されました。
Quota.Time. IsActivationRequest
ブー
ル
true の場合、ユーザーはセッション時間が超過された後に新
しい時間セッションでの継続を選択しました。
McAfee Web Gateway 7.2
製品ガイド
423
A
構成リスト
プロパティーのリスト
表 A-18 プロパティーのリスト - Q (続き)
名前
タイ
プ
説明
パ
ラ
メ
ー
タ
ー
Quota.Time.
IsActivationRequest.Strict
ブー
ル
true の場合、ユーザーは新しい時間セッションでの継続を選
択したため、セッションを続行するリクエストが現在の設定に
適用されます。
Quota.Time.JS. ActivateSession
文字
列
ユーザーが、時間セッション テンプレートで該当するボタン
をクリックするで、新しいセッションの開始を選択する際に、
実行される関数をコールする JavaScript コードの文字列。
コードはテンプレートが作成されユーザーに表示されたときに
表示されます。
424
Quota.Time.RemainingDay
数値
現在の日のために構成された時間クォータからの残り時間（秒
単位）
Quota.Time.RemainingDay.
ReducedAtActivation
数値
ユーザーがセッションを開始したばかりのとき、現在の日のた
めに構成された時間クォータからの残り時間（秒単位）
Quota.Time.RemainingDay.
ReducedAtDeactivation
数値
ユーザーがセッションを閉じたばかりのとき、現在の日のため
に構成された時間クォータからの残り時間（秒単位）
Quota.Time.RemainingMonth
数値
現在の月のために構成された時間クォータからの残り時間（秒
単位）
Quota.Time.RemainingMonth.
ReducedAtActivation
数値
ユーザーがセッションを開始したばかりのとき、現在の月のた
めに構成された時間クォータからの残り時間（秒単位）
Quota.Time.RemainingMonth.
ReducedAtDeactivation
数値
ユーザーがセッションを閉じたばかりのとき、現在の月のため
に構成された時間クォータからの残り時間（秒単位）
Quota.Time.RemainingSession
数値
時間セッションの残り時間（秒単位）
Quota.Time.RemainingWeek
数値
現在の週のために構成された時間クォータからの残り時間（秒
単位）
Quota.Time.RemainingWeek.
ReducedAtActivation
数値
ユーザーがセッションを開始したばかりのとき、現在の週のた
めに構成された時間クォータからの残り時間（秒単位）
Quota.Time.RemainingWeek.
ReducedAtDeactivation
数値
ユーザーがセッションを開始したばかりのとき、現在の週のた
めに構成された時間クォータからの残り時間（秒単位）
Quota.Time.SessionExceeded
ブー
ル
true の場合、時間セッションの許容時間が超過されました。
Quota.Time.SessionLength
数値
時間セッションの期間（秒単位）
Quota.Time.SizePerDay
数値
構成されたクォータでの 1 日あたりの許容時間（秒単位）
Quota.Time.SizePerMonth
数値
構成されたクォータでの 1 月あたりの許容時間（秒単位）
Quota.Time.SizePerWeek
数値
構成されたクォータでの 1 週あたりの許容時間（秒単位）
Quota.Volume.Exceeded
ブー
ル
true の場合、ボリューム クォータが超過されました。
Quota.Volume.
IsActivationRequest
ブー
ル
true の場合、ユーザーはセッション時間が超過された後に、
新しいボリューム セッションの継続を選択しました。
Quota.Volume.
IsActivationRequest.Strict
ブー
ル
true の場合、ユーザーは構成されたボリュームが超過された
際にセッションの継続を選択したため、セッションを続行する
リクエストが現在の設定に適用されます。
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-18 プロパティーのリスト - Q (続き)
名前
タイ
プ
Quota.Volume.JS. ActivateSession 文字
列
説明
パ
ラ
メ
ー
タ
ー
ユーザーが、ボリューム セッション テンプレートで該当する
ボタンをクリックすることで新しいセッションの開始を選択す
る際に、実行される関数をコールする JavaScript コードの文
字列。
コードはテンプレートが作成されユーザーに表示されたときに
表示されます。
Quota.Volume.RemainingDay
数値
現在の日のために構成されたボリューム クォータからの残り
の容量（バイト単位）
Quota.Volume. RemainingMonth
数値
現在の月のために構成されたボリューム クォータからの残り
の容量（バイト単位）
Quota.Volume. RemainingSession
数値
ボリューム セッションの残り時間（秒単位）
Quota.Volume.RemainingWeek
数値
現在の週のために構成されたボリューム クォータからの残り
の容量（バイト単位）
Quota.Volume.SessionExceeded
ブー
ル
true の場合、ボリューム セッションの許容時間が超過されま
した。
Quota.Volume.SessionLength
数値
ボリューム セッションの期間（秒単位）
Quota.Volume.SizePerDay
数値
構成されたクォータでの 1 日あたりの許容ボリューム
（バイト
単位）
Quota.Volume.SizePerMonth
数値
構成されたクォータでの 1 月あたりの許容ボリューム
（バイト
単位）
Quota.Volume.SizePerWeek
数値
構成されたクォータでの 1 週あたりの許容ボリューム
（バイト
単位）
表 A-19 プロパティーのリスト – R
名前
タイプ
説明
Redirect.URL
文字列
認証またはクォータ ルールでユーザーがリダイレクト
された URL を表す文字列
Reporting.URL.Categories
カテゴリーのリ アプライアンスで使用されるすべての URL カテゴリー
スト
のリスト
Reporting.URL.Reputation
数値のリスト
アプライアンスで使用されるすべてのレピュテーショ
ン スコア値のリスト
Request.Header.FirstLine
文字列
リクエストとともに送信されたヘッダーの最初の行
Request.ProtocolAndVersion
文字列
リクエストが送信される際に使用されるプロトコルおよ
びプロトコル バージョン
Response.ProtocolandVersion 文字列
応答が送信される際に使用されるプロトコルおよびプロ
トコル バージョン
Response.Redirect.URL
文字列
応答が送信される際にユーザーがリダイレクトされる
URL
Response.StatusCode
文字列
応答のステータス コード
Rules.CurrentRuleID
文字列
現在処理中のルールの ID
Rules.CurrentRuleName
文字列
現在処理中のルールの名前
McAfee Web Gateway 7.2
パラメ
ーター
製品ガイド
425
A
構成リスト
プロパティーのリスト
表 A-19 プロパティーのリスト – R (続き)
名前
タイプ
説明
パラメ
ーター
Rules.CurrentRuleSetName
文字列
現在処理中のルール セットの名前
Rules.EvaluatedRules
文字列のリスト 処理されたすべてのルールのリスト
Rules.EvaluatedRules.Names 文字列のリスト 処理されたすべてのルールの名前を含むリスト
Rules.FiredRules
文字列のリスト 適用されたすべてのルールのリスト
Rules.FiredRules.Names
文字列のリスト 適用されたすべてのルールの名前を含むリスト
表 A-20 プロパティーのリスト – S
名前
タイプ
説明
パラメ
ーター
SecureReverseProxy.EmbeddedHost
文字列
HTTPS リクエストに埋め込まれている
HTTP リクエストでの URL のホスト名
SecureReverseProxy.Embedded Protocol
文字列
HTTPS リクエストに埋め込まれている
HTTP リクエストでの URL のプロトコル
SecureReverseProxy.Embedded URL
文字列
HTTPS リクエストに埋め込まれている
HTTP リクエストでの URL
これは
SecureReverseProxy.EmbeddedHost
プロパティーの値によって指定されるホスト
の URL です。
SecureReverseProxy.GetDomain
文字列
SecureReverseProxy モジュールの設定に指
定されているドメイン
SecureReverseProxy.IsValidReverseProxyRequest ブール
true の場合、リクエストで提出された URL
は SecureReverseProxy 構成で必要な形式
になっています。
SecureReverseProxy.URLToEmbed
文字列
HTTPS リクエストに埋め込まれている
HTTP リクエストで提出された URL
SecureToken.CreateToken
文字列
暗号化された文字列
文字列:
暗号化
この文字列は IP アドレスを確保するためのト する文
ークンとして機能します。トークンを作成す 字列
るために AES-128 ビット アルゴリズムが使
用されます。
SecureReverseProxy モジュールの設定のパ
ラメーター値によって、文字列にタイムスタ
ンプが含まれます。
426
McAfee Web Gateway 7.2
文字
列:URL
のホス
ト名
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
SecureToken.IsValid
ブール
true の場合、トークンは有効で期限は切れな 1 文字
いです。
列:確
認す
SecureReverseProxy モジュールの設定のパ
ラメーター値によって、トークン文字列にタ
るト
イムスタンプが含まれません。
ーク
ン
すると、トークンの期限が確認されません。
2 数値:
トー
クン
の期
限が
切れ
るま
で経
過す
る時
間
（秒単
位）
SecureToken.GetString
文字列
IP アドレスを確保するためのトークンとして 1 文字
機能する文字列
列:確
認す
トークンが無効か、または期限が切れている
場合、文字列は空です。
るト
ーク
ン
2 数値:
トー
クン
の期
限が
切れ
るま
で経
過す
る時
間
（秒単
位）
SNMP.Trap.Additional
文字列
SSL.Certificate. CN.ToWildcard
ワイルドカ ワイルドカード式に変換された SSL 認証書の 文字列:
ード式
共通名
変換す
る共通
名
SSL.Client.Certificate.Serial
文字列
クライアント証明書のシリアル番号
SSL.ClientContext.IsApplied
ブール
true の場合、SSL セキュア通信でクライアン
ト コンテキストを設定するためのパラメータ
ーは構成されました。
McAfee Web Gateway 7.2
SNMP プロトコルでトラップに送信された追
加メッセージ
製品ガイド
427
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
428
名前
タイプ
SSL.Server.Certificate. AlternativeCNs
ワイルドカ SSL 証明書で使用するための Web サーバー
ード式のリ の代替共通名のリスト
スト
SSL.Server.Certificate.CN
文字列
SSL セキュア通信で提供される Web サーバ
ーの共通名
SSL.Server.Certificate.CN. HasWildcards
ブール
true の場合、SSL 証明書のWeb サーバーの
共通名はワイルドカードを含みます。
SSL.Server.Certificate. DaysExpired
数値
Web サーバーの SSL 証明書の期限が切れた
日数
SSL.Server.Certificate. HostAndCertificate
HostAnd
SSL セキュア通信での Web サーバーのホス
Certificate ト名および証明書
SSL.Server.Certificate. SelfSigned
ブール
true の場合、Web サーバーの SSL 証明書は
自己署名です。
SSL.Server.Certificate. SHA1Digest
文字列
Web サーバーの SSL 証明書の
SHA1Digest を表す文字列
SSL.Server.CertificateChain.
AllRevocationStatusesKnown
ブール
true の場合、Web サーバーの証明書チェー
ンのすべての SSL 証明書が失効したかどうか
が知られています。
SSL.Server.CertificateChain. ContainsExpiredCA
ブール
true の場合、Web サーバーの証明書チェー
ンの SSL 証明書は期限が切れています。
SSL.Server.CertificateChain. ContainsRevoked
ブール
true の場合、Web サーバーの証明書チェー
ンの SSL 証明書は失効しています。
SSL.Server.CertificateChain.
FirstKnownCAIsTrusted
ブール
true の場合、Web サーバーの証明書チェー
ンで最初に見つかった SSL 証明書を発行する
証明機関は信頼されています。
SSL.Server.CertificateChain. FoundKnownCA
ブール
true の場合、Web サーバーの証明書チェー
ンで最初に見つかった SSL 証明書を発行する
既知の証明機関は信頼されています。
SSL.Server.CertificateChain. IsComplete
ブール
true の場合、Web サーバーの SSL 証明書の
チェーンは完了しました。
SSL.Server.CertificateChain. Length
数値
Web サーバーの証明書チェーンでの SSL 証
明書の数
SSL.Server.CertificateChain.
PathLengthExceeded
ブール
true の場合、Web サーバーの SSL 証明書の
チェーンが許容長さを超えました。
SSL.Server.Handshake. IsRequested
ブール
true の場合、SSL セキュア通信で Web サー
バーと接続をセット アップするためにハンド
シェイクがリクエストされています。
Statistics.Counter.Get
数値
アクティビティの発生またはカウンターで記
録された状況の数
Statistics.Counter.GetCurrent
数値
過去 1 分の間にカウンターに記録されたアク 文字列:
ティビティまたは状況のの発生数（完全に完 カウン
了したもの）
ターの
名前
Stopwatch.GetMacroSeconds
数値
ミリ秒単位で測定されたルール セット処理の 文字列:
時間
ルール
セット
名
McAfee Web Gateway 7.2
説明
パラメ
ーター
製品ガイド
文字列:
カウン
ターの
名前
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
Stopwatch.GetMilliSeconds
数値
マクロ秒単位で測定されたルール セット処理 文字列:
の時間
ルール
セット
名
StreamDetector.IsMediaStream
ブール
trueの場合、リクエストされた Web オブジ
ェクトはストリーミング メディアです。
これはストリーミング メディア フィルタリン
グに使用される基本プロパティーです。
StreamDetector.MatchedRule
文字列
一致したストリーミング メディア フィルタリ
ング ルールの名前
StreamDetector.IsMediaStream プロ
パティーが true に設定されている場合、こ
のプロパティーに値が与えられます。
StreamDetector.Probability
数値
Web オブジェクトがストリーミング メディア
である確率（パーセント）
値の範囲は 1 ～ 100 です。
StreamDetector.IsMediaStream プロ
パティーが true に設定されている場合、こ
のプロパティーに値が与えられます。
String.BackwardFind
数値
1 文字
列:サ
ブ文
サブ文字列が見つからない場合は -1 が返され
ます。
字列
を含
む文
字列
逆方向検索によって文字列内で見つかったサ
ブ文字列の開始位置
2 文字
列:サ
ブ文
字列
3 数値:
サブ
文字
列の
逆方
向検
索が
開始
する
位置
String.Base64Decode
McAfee Web Gateway 7.2
文字列
ベース 64 エンコード形式で指定されている
文字列のデコード形式
製品ガイド
429
文字列:
エンコ
ード形
式の文
字列
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.Base64Encode
文字列
指定文字列のベース 64 エンコード形式
文字列:
エンコ
ードす
る文字
列
String.Concat
文字列
2 つの指定文字列の連結
1 文字
列:連
結す
る最
初の
文字
列
2 文字
列:連
結す
る2
番目
の文
字列
String.CRLF
文字列
復帰改行
String.Find
数値
1 文字
列:サ
ブ文
サブ文字列が見つからない場合は -1 が返され
ます。
字列
を含
む文
字列
順方向検索によって文字列内に見つかったサ
ブ文字列の開始位置
2 文字
列:サ
ブ文
字列
3 数値:
サブ
文字
列の
順方
向検
索が
開始
する
位置
430
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.FindFirstOf
数値
1 文字
列:サ
ブ文
サブ文字列が見つからない場合は -1 が返され
ます。
字列
を含
む文
字列
文字列内で見つかったサブ文字列の最初の文
字の位置
2 文字
列:サ
ブ文
字列
3 数値:
サブ
文字
列の
検索
が開
始す
る位
置
String.FindLastOf
数値
1 文字
列:サ
ブ文
サブ文字列が見つからない場合は -1 が返され
ます。
字列
を含
む文
字列
文字列内に見つかったサブ文字列の最後の文
字の位置
2 文字
列:サ
ブ文
字列
3 数値:
サブ
文字
列の
検索
が開
始す
る位
置
String.GetWordCount
McAfee Web Gateway 7.2
数値
文字列の単語数
文字列:
単語数
を取得
する文
字列
製品ガイド
431
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.IsEmpty
ブール
true の場合、指定文字列は空です。
文字列:
空にな
ってい
るかど
うかを
確認す
る文字
列
String.Length
数値
文字列の文字数
文字列:
文字数
を数え
る文字
列
String.LF
文字列
改行
String.MatchWildcard
文字列のリ ワイルドカード式と一致する文字列の用語リ
スト
スト
1 文字
列:用
語と
一致
する
文字
列
2 ワイ
ルド
カー
ド式:
一致
する
ワイ
ルド
カー
ド式
3 数値:
サブ
文字
列の
検索
が開
始す
る位
置
432
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.Replace
文字列
指定文字列と置き換えられたサブ文字列を含
む文字列
1 文字
列:置
き換
える
サブ
文字
列を
含む
文字
列
2 数値:
置き
換え
が開
始す
る位
置
3 数値:
置き
換え
る文
字数
4 文字
列:置
き換
える
文字
列
McAfee Web Gateway 7.2
製品ガイド
433
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceAll
文字列
各サブ文字列が指定どおりに文字列と置き換
えられた文字列
1 文字
列:置
き換
える
サブ
文字
列を
含む
文字
列
2 文字
列:置
き換
わる
サブ
文字
列
3 文字
列:置
き換
わる
サブ
文字
列
434
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceAllMatches
文字列
ワイルドカード式に一致する各サブ文字列が
指定どおりに文字列と置き換えられた文字列
1 文字
列:置
き換
える
サブ
文字
列を
含む
文字
列
2 ワイ
ルド
カー
ド式:
一致
する
ワイ
ルド
カー
ド式
3 文字
列:置
き換
わる
サブ
文字
列
McAfee Web Gateway 7.2
製品ガイド
435
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceFirst
文字列
最初のサブ文字列が指定どおりに文字列と置
き換えられた文字列
1 文字
列:置
き換
える
サブ
文字
列を
含む
文字
列
2 文字
列:置
き換
える
文字
列
3 文字
列:置
き換
える
文字
列
436
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceFirstMatch
文字列
ワイルドカード式に一致する最初のサブ文字
列が指定どおりに文字列と置き換えられた文
字列
1 文字
列:置
き換
える
サブ
文字
列を
含む
文字
列
2 ワイ
ルド
カー
ド式:
一致
する
ワイ
ルド
カー
ド式
3 文字
列:置
き換
わる
サブ
文字
列
McAfee Web Gateway 7.2
製品ガイド
437
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ReplaceIfEquals
文字列
すべてのサブ文字列が指定どおりに文字列と
置き換えられた文字列
1 文字
列:置
き換
える
サブ
文字
列を
含む
文字
列
2 文字
列:置
き換
わる
サブ
文字
列
3 文字
列:置
き換
える
文字
列
438
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.SubString
文字列
文字列に含まれる最初の位置と長さによって
指定されるサブ文字列
1 文字
列:サ
ブ文
字列
を含
む文
字列
2 数値:
サブ
文字
列が
開始
する
位置
3 数値:
サブ
文字
列の
文字
数
数値が
指定さ
れてい
ない場
合、サ
ブ文字
列はオ
リジナ
ルの文
字列の
最後ま
で及び
ます
McAfee Web Gateway 7.2
製品ガイド
439
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.SubStringBetween
文字列
この文字列の 2 つのその他の文字列間に及ぶ 1 文字
文字列のサブ文字列
列:サ
ブ文
このサブ文字列の検索は、その他サブ文字列
の 1 番目を検索することから始まります。こ
字列
の文字列が見つかった場合、検索は 2 番目の
を含
サブ文字列の検索で継続されます。
む文
最初のサブ文字列が見つからなかった場合は
字列
検索結果がでません。2 番目のサブ文字列が
見つからなかった場合、求まれるサブ文字列 2 文字
は最初のサブ文字列からメイン文字列の終わ
列:求
りまで及びます。
むサ
ブ文
字列
のす
ぐ前
に終
わる
サブ
文字
列
3 文字
列:求
むサ
ブ文
字列
のす
ぐ後
に開
始す
るサ
ブ文
字列
440
String.ToCategory
カテゴリー カテゴリーに変換された文字列
文字列:
変換す
る文字
列
String.ToDimension
ディメンシ ディメンションに変換された文字列
ョン
文字列:
変換す
る文字
列
String.ToHex
16 進数値
16 進数値に変換された文字列
文字列:
変換す
る文字
列
String.ToIP
IP
IP アドレスに変換された文字列
文字列:
変換す
る文字
列
McAfee Web Gateway 7.2
製品ガイド
構成リスト
プロパティーのリスト
A
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.ToIPRange
IPRange
IP アドレス範囲に変換された文字列
文字列:
変換す
る文字
列
String.ToMediaType
MediaType メディア タイプに変換された文字列
文字列:
変換す
る文字
列
String.ToNumber
数値
文字列:
変換す
る文字
列
String.ToStringList
文字列のリ 文字列リストに変換された文字列
1 文字
スト
列:変
文字列リストは変換する文字列の要素のリス
換す
トです。例: 変換する文字列はテキストで、文
字列リストはこのテキスト内にある単語のリ
る文
スト。
字列
区切り文字列は変換する文字列内で要素を区
2 文字
切るサブ文字列です。例: 通常のテキストで
列:区
は、区切り文字列は空白スペースです。サブ
切り
文字列は空白スペースなどの単一文字、また
は複数の文字にすることが可能です。空白ス
文字
ペースを指定するにはスペース キーを押しま
列
す。
3 文字
トリム文字は変換する文字列の始めまたは最
列:求
後の要素に表示されますが、文字列リストに
は表示されません。トリム文字は、たとえば、 むサ
コンマ、ピリオド、または単一引用符である
ブ文
可能性があります。また、タブ位置や改行な
字列
ど「不可視」文字の可能性もあります。
のす
トリム文字を指定するには、ユーザー インタ
ぐ後
ーフェースで提供されている入力フィールド
に開
に、互いに離さないでそれらを入力します。
始す
次の組み合わせを使用して非表示の文字を入
るサ
力します。
ブ文
字列
\t – タブ位置
数値に変換された文字列
\r – 復帰改行
\n – 改行
\b – バックスペース
\\ – バックスラッシュ
区切り文字列として文字を指定した場合、文
字列リストの結果からも削除されるため、ト
リム文字として指定する必要はありません。
String.ToWildcard
McAfee Web Gateway 7.2
ワイルドカ ワイルドカード式に変換された文字列
ード式
製品ガイド
文字列:
変換す
る文字
列
441
A
構成リスト
プロパティーのリスト
表 A-20 プロパティーのリスト – S (続き)
名前
タイプ
説明
パラメ
ーター
String.URLDecode
文字列
エンコード形式で指定された URL の標準形式 文字列:
エンコ
ード形
式の
URL
String.URLEncode
文字列
URL のエンコード形式
System.HostName
文字列
アプライアンスのホスト名
System.UUID
文字列
アプライアンスの UUID
（汎用固有識別子）
文字列:
エンコ
ードす
る URL
表 A-21 プロパティーのリスト – T
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Timer.FirstReceivedFirstSentClient
数値 トランザクション内でアプライアンスでクライアントから最
初のバイトを受信してから、このクライアントに最初のバイ
トを送信するまで消費された処理時間
このプロパティーの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
Timer.FirstSentFirstReceivedServer
数値 トランザクション内でアプライアンスから Web サーバーに
最初のバイトを送信してから、このサーバーから最初のバイ
トを受信するまで消費された処理時間
このプロパティーの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
Timer.HandleConnectToServer
数値 トランザクション内で Web サーバーに接続するために消費
した処理時間
Timer.LastReceivedLastSentClient
数値 トランザクション内でアプライアンスでクライアントから最
後のバイトを受信してから、このクライアントに最後のバイ
トを送信するまで消費された処理時間
このプロパティーの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
Timer.LastSentLastReceived
FromServer
数値 トランザクション内でアプライアンスから Web サーバーに
最後のバイトを送信してから、このサーバーから最後のバイ
トを受信するまで消費された処理時間
このプロパティーの使用は HTTP または HTTPS 接続が関連
している場合にのみサポートされていますが、FTP 接続では
サポートされません。
Timer.ResolveHostNameViaDNS
数値 トランザクション内で DNS サーバーでホスト名を参照する
ために消費した処理時間
外部サーバーの参照のみが検討されます。キャッシュ参照は
無視されます。
442
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-21 プロパティーのリスト – T (続き)
名前
タイ 説明
プ
パ
ラ
メ
ー
タ
ー
Timer.TimeConsumedByRuleEngine
数値 すべての関連処理サイクルを通してリクエストを処理するた
めにルール エンジンによって消費される時間
すべての関連処理サイクルをとおしたリクエストの処理は、
1 つのトランザクションと見なされます。
Timer.TimeForTransaction
数値 すべての関連処理サイクルをとおしてアプライアンスで受信
されたリクエストを処理するためにルール エンジンによっ
て消費される時間
このプロパティーは HTTP または HTTPS 接続のみでサポー
トされていますが、FTP 接続ではサポートされません。
Tunnel.Enabled
ブー true の場合、HTTP または HTTPS トンネルが有効です
ル
表 A-22 プロパティーのリスト - U
名前
タイプ
説明
URL
文字列
Web オブジェクトの URL
URL.Categories
カテゴ
リーの
リスト
URL が属する URL カテゴリーのリスト
URL.CategoriesForURL
カテゴ
リーの
リスト
指定 URL が属する URL カテゴリーのリスト
URL.DestinationIP
IP
DNS 参照で見つかった URL の IP アドレス
McAfee Web Gateway 7.2
パラメ
ーター
文字列:
文字列
形式の
URL
製品ガイド
443
A
構成リスト
プロパティーのリスト
表 A-22 プロパティーのリスト - U (続き)
名前
タイプ
説明
パラメ
ーター
URL.Host.BelongsToDomains
ブール
true の場合、特定 URL を提出することによってアクセス 文字列
が要求されたホストが、リストにあるドメインの 1 つの属 のリス
ト:ドメ
しています。
インの
リストはプロパティー パラメーターとして指定されていま リスト
す。
このプロパティーを使用して、何とでも URL のドメインに
またはドメイン名のドットの左側（*.domain.com）を一
致させることができます。ドメイン名を含む単語は
（*domain.com）一致として数えられません。
例:
ドメイン リストは、プロパティー パラメーターとして指定
されている文字列リストです。以下のエントリーがそれに
含まれます（URL のドメイン名の前にあるドットは省略さ
れています）。
twitter.com
mcafee.com
dell.com
k12.ga.us
xxx
次に、以下の条件:
URL.Host.BelongsToDomains("Domain List")
equals true
は以下の URL に一致します。
http://twitter.com
http://www.twitter.com
http://my.mcafee.com
http://my.support.dell.com
http://www.dekalb.k12.ga.us
any.site.xxx
ただし、以下とは一致しません。
http://malicioustwitter.com
http://www.mymcafee.com
http://www.treasury,ga.us
このプロパティーを使用すると、同じことを達成するのに、
複雑なソリューションの作成に努力を費やすことを避けら
れます。例:
• ワイルドカード式のリストに、以下のような 2 つのエン
トリーを使用。
twitter.com と *twitter.com
• ワイルドカード式のリストに、以下のような単一で複雑
なエントリーを使用。
444
McAfee Web Gateway 7.2
製品ガイド
A
構成リスト
プロパティーのリスト
表 A-22 プロパティーのリスト - U (続き)
名前
タイプ
説明
パラメ
ーター
regex((.*\.|.?)twitter\.com)
これらのエントリーが他のドメイン リストのリストに含ま
れる場合、以下の条件が twitter.com ドメインに一致し
ます。
URL.Host matches in list "Other Domain List"
URL.FileName
文字列
URL をとおしてアクセスできるファイルの名前
URL.FileExtension
文字列
要求されたファイルのファイル名の拡張子
URL.Geolocation
文字列
URL が属するホストが位置している国の ISO3166 コード
値がこのプロパティーに割り当てられる場合、以下の
URL フィルターー モジュールの設定のオプションが有効で
ある必要があります。
オンラインの GTI Web レピュテーションと分類サービス
を使用する。
URL.GetParameter
文字列
文字列形式での URL のパラメーター
URL.HasParameter
ブール
true の場合、指定パラメーターは URL のパラメーターに 文字列:
属します。
パラメ
ーター
名
URL.Host
文字列
URL が属するホスト
URL.HostIsIP
ブール
true の場合、ホストへのアクセスのために送信される
URL は IP アドレスです。
URL.IsHighRisk
ブール
true の場合、URL のレピュテーション スコアは高リスク
範囲内にあります。
URL.IsMediumRisk
ブール
true の場合、URL のレピュテーション スコアは中リスク
範囲内にあります。
URL.IsMinimalRisk
ブール
true の場合、URL のレピュテーション スコアは低リスク
範囲内にあります。
URL.IsUnverifiedRisk
ブール
true の場合、URL のレピュテーション スコアは未確認の
リスク範囲内にあります。
URL.Parameters
文字列
のリス
ト
URL パラメーターのリスト
URL.ParametersString
文字列
URL のパラメーターを含む文字列
文字列:
パラメ
ーター
名
URL にパラメーターがある場合、文字列は ? の文字から始
まります。
URL.Path
文字列
URL のパス名
URL.Port
数値
URL のポート番号
URL.Protocol
文字列
URL のプロトコル
McAfee Web Gateway 7.2
製品ガイド
445
A
構成リスト
プロパティーのリスト
表 A-22 プロパティーのリスト - U (続き)
名前
タイプ
説明
パラメ
ーター
URL.Raw
文字列
アプライアンスでクライアントまたはネットワークのその
他のインスタンスから元々受信した形式での URL
ルール構成にこのプロパティーを使用すると、単純な
URL プロパティーで行われる、URL コードを人が読める
形式に変換する時間を短縮するため、処理がスピード アッ
プします。
URL.Reputation
数値
URL のレピュテーション スコア
URL.ReputationForURL
数値
指定 URL のレピュテーション スコア
URL.ReputationString
文字列
URL のレピュテーション スコアを表す文字列
User-Defined.cacheMessage
文字列
Web キャッシュの使用率の情報を提供するメッセージ テ
キスト
User-Defined.eventMessage
文字列
イベントに関する情報を提供するメッセージ テキスト
User-Defined.loadMessage
文字列
CPU 過負荷に関する情報を提供するメッセージ テキスト
User-Defined.logLine
文字列
ログ ファイルに書き込まれるエントリー
User-Defined.
monitorLogMessage
文字列
ログ ファイルに書き込まれるエントリー
User-Defined.
notificationMessage
文字列
通知メッセージのテキスト
User-Defined.
requestLoadMessage
文字列
リクエスト過負荷に関する情報を提供するメッセージ テキ
スト
User-Defined.
requestsPerSecond
数値
1 秒ごとにアプライアンスで処理されるリクエストの数
文字列:
文字列
形式の
URL
表 A-23 プロパティーのリスト - W
名前
タイプ 説明
パラメーター
Wildcard.ToString 文字列 文字列に変換されたワイルカード式 ワイルドカード式:変換するワイルドカード式
446
McAfee Web Gateway 7.2
製品ガイド
構成リスト
ワイルドカード式
A
ワイルドカード式
構成アクティビティがアプライアンスで完了したら、ブロック リストやホワイトリストに URL を一致させるためな
ど、複数の目的に対してワイルドカード式を使用できます。
使用できるワイルドカード式には、2 つのタイプがあります。
•
glob 表現 — これらの使用はデフォルトで行われます。
表現タイプに関する詳細は、次の Linux マン ページなどに記載されています。
glob(7)
•
正規表現（Regex） — これらを使用する場合は、regex という語を最初に入力した後、半角丸括弧内に正規表
現を含める必要があります。例は次のとおりです。
regex(a*b)
McAfee Web Gateway アプライアンスで使用される正規表現は、Perl の正規表現構文に従います。この構文に
関する情報は、次の Linux マン ページなどに記載されています。
perlre(1)
関連トピック:
448 ページの「重要な特殊 glob 文字のリスト 」
449 ページの「重要な特殊正規表現文字のリスト 」
ワイルドカード式のテスト
ワイルドカード式をリストに追加する際には、テストを行ってから実際に追加することができます。
タスク
1
[ポリシー] 、 [リスト]を選択します。
2
リスト ツリーで、[ワイルドカード式]を展開し、リストを選択します。
3
設定ペインで、[追加]アイコンをクリックします。
[ワイルドカード式の追加]ウィンドウが開きます。
4
入力フィールドにワイルドカード式を入力し、[テスト]をクリックします。
[ワイルドカード式のテスト]ウィンドウが開き、式が有効であるかどうかに関する情報が表示されます。
McAfee Web Gateway 7.2
製品ガイド
447
A
構成リスト
ワイルドカード式
重要な特殊 glob 文字のリスト
以下の表は、glob タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提供
します。
表 A-24 重要な特殊 glob 文字のリスト
文字 説明
?
任意の単一の文字と一致します（角括弧の間にない場合）。
例: ?est は、以下と一致します。
best
rest
test
およびその他
*
空の文字列を含む任意の文字列と一致します（角括弧の間にない場合）。
例: b* は、以下と一致します。
b
best
binary
およびその他
[...] 角括弧に含まれるいずれかの単一の文字と一致します。
? および * は角括弧内の通常文字です。
例: [a5?] は、以下と一致します。
a
5
?
最初の文字は! 以外である必要があります（感嘆符）。
!
感嘆符の後の文字を除く任意の 1 文字と一致します。
例: [!ab] は、以下と一致します。
c
S
%
以下とは一致しません。
a
b
-
文字の範囲を示すために使用されます。
例: [a-f A-F 0-5] は、以下と一致します。
d
F
3
およびその他
448
McAfee Web Gateway 7.2
製品ガイド
構成リスト
ワイルドカード式
A
表 A-24 重要な特殊 glob 文字のリスト (続き)
文字 説明
/
? および * とは一致しません。また、[...] に含むこと、および範囲の一部にすることができません。
これは、たとえば、以下のことを意味します
http://linux.die.net/*
は以下のパス名と一致しません。
http://linux.die.net/man/7/glob
しかし、パス名は次と一致します。
http://linux.die.net/*/*/*
\
前に ?、*、または [ が付いている場合、これらは通常文字になります。
例: [mn\*\[] は、以下と一致します。
m
n
*
[
.
（ドット）で始まるファイル名は明示的に一致する必要があります。
.
例: 以下のコマンド
rm *
はファイル .profile を削除しません。
しかし、次のコマンドの場合は削除します。
rm .*
重要な特殊正規表現文字のリスト
以下の表は、正規表現タイプのワイルドカード式を作成するために使用できる重要な特別正規表現文字のリストを提
供します。
以下の例には、regex の用語と括弧が含まれます。アプライアンスでこれらの式に関する作業を行う際には、両方
を使用する必要があります。
McAfee Web Gateway 7.2
製品ガイド
449
A
構成リスト
ワイルドカード式
表 A-25 重要な特殊正規表現文字のリスト
文字
説明
.
任意の 1 文字と一致します。
例: regex(.est) は、以下と一致します。
best
rest
テスト
およびその他
*
前の文字 0 回以上と一致します
例: regex(a*b) は、以下と一致します。
b
ab
aaaaab
およびその他
+
前の文字 1 回以上と一致します。
例: regex(c+d) は、以下と一致します。
cd
ccccd
およびその他
?
前の文字 0 回または 1 回と一致します。
例: regex(m?n) は、以下と一致します。
n
mn
450
^
行の先頭と一致します
$
行の末尾と一致します。
McAfee Web Gateway 7.2
製品ガイド
構成リスト
ワイルドカード式
A
表 A-25 重要な特殊正規表現文字のリスト (続き)
文字
説明
{...} 指定回数の1 文字と一致するために使用します。
オプション:
• a{n} — n 回の 1 文字と一致します。
例: regex(a{3}) は、以下と一致します。
aaa
• a{n,} — n 回以上の 1 文字と一致します。
例: regex(p{4,}) は、以下と一致します。
pppp
ppppp
およびその他
• a{n,m} — 限界値を含めて n ～ m 回と一致します。
例: regex(q{1,3}) は、以下と一致します。
q
qq
qqq
|
二者択一的に一致する表現を分割します。
例: regex(abc|klm) は以下と一致します。
abc
klm
(...)
他の表現と組み合わせて、別の表現を区切ります。
例: regex(bi(n|rd)) は以下と一致します。
bin
bird
[...]
角括弧に含まれるいずれかの単一の文字と一致します。
例: regex([bc3]) は、以下と一致します。
b
c
3
-
文字の範囲を括弧内の表現で示すために使用されます。
例:regex([c-f C-F 3-5]) は、以下と一致します。
d
F
4
およびその他
McAfee Web Gateway 7.2
製品ガイド
451
A
構成リスト
ワイルドカード式
表 A-25 重要な特殊正規表現文字のリスト (続き)
文字
説明
^
かっこ内にある表現を、アクセント サーカムフレックスの後に続く文字を除き、任意の 1 文字と一致しま
す。
例: regex([^a-d]) は、以下と一致します。
e
7
&
およびその他。以下を除きます。
a
b
c
d
\
特殊文字の前にある場合、それを通常の文字に変換します。
例: regex(mn\+) は、以下と一致します。
mn+
通常の文字の前にある場合、文字の特定のクラスと一致します。
これらのクラスの詳細については、perlre man ページまたはその他のドキュメントを参照してください。
次はよく使われる文字クラスの例です。
regex(\d) は、次のような数字と一致します。
3
4
7
およびその他
regex(\w) は次のようなすべてのアルファベット文字と一致します。
a
F
s
およびその他
regex(\D) は数字ではなく次のようなすべての文字と一致します。
c
T
%
およびその他
452
McAfee Web Gateway 7.2
製品ガイド
B
サードパーティ ソフトウェア
以下のリストは、McAfee Web Gateway アプライアンス ソフトウェアを開発するために使用されるサードパーテ
ィ ソフトウェアに対する情報を提供します。
情報はサードパーティ ソフトウェア名のアルファベット順で示しています。
アプライアンス ソフトウェアのユーザー インターフェースを開発するために使用されるサードパーティ ソフトウェ
アは、メイン リストの下の別のリストに表示されます。
目次
主要リスト
ユーザー インターフェース:
主要リスト
以下のリストは、ユーザー インターフェースを開発するために使用されたサードパーティ ソフトウェアを除く、
McAfee Web Gateway アプライアンス ソフトウェアを開発するために使用されたサードパーティ ソフトウェアに
関する情報を示します。
情報はサードパーティ名のアルファベット順で示しています。
Arabica C++ XML Library
Berkeley Software Distribution
（BSD）ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 2001-2010 Jez UK Ltd. All rights reserved.
ASN.1 Compiler
Berkeley Software Distribution
（BSD）ライセンスのもとで利用可能になっています。
Copyright © 2003-2010 Lev Walkin.
Boost C++ Libraries
Boost Software License、バージョン 1.0 のもとで利用可能になっています。
Copyright © 1998-2005 Bernan Dawes, David Abrahams.
Copyright © 2004-2007 Rene Rivera.
bzip2
Berkeley Software Distribution
（BSD）ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1996-2007 Julian Seward.
McAfee Web Gateway 7.2
製品ガイド
453
B
サードパーティ ソフトウェア
主要リスト
libcurl
MIT/X ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1996-2011 Daniel Stenberg.All rights reserved.
libiconv
GNU Lesser General Public License
（LGPL）、バージョン 2.1 のもとで利用可能になっています。
Copyright © 1998, 2010 Free Software Foundation, Inc.
libxml2
MIT ライセンスのもとで利用可能になっています。
LZMA SDK
LZMA SDK はパブリック ドメインに配置されます。
OpenLDAP
OpenLDAP パブリック ライセンス、バージョン 2.8 のもとで利用可能になっています。
Copyright © 2012 OpenLDAP Foundation.
OpenSSL
Apache ライセンス（APL）に適応したライセンスのもとで利用可能になっています。
Copyright © 1999-2009 The OpenSSL Project.All rights reserved.
RapidXml Library
Boost Software ライセンス、バージョン 1.0 または MIT ライセンスのもとで利用可能になっています。
Copyright © 2006, 2009 Marcin Kalicinski.
SOCI C++ Database Access Library
Boost Software License、バージョン 1.0 のもとで利用可能になっています。
Copyright © 2004-2006 Maciej Sobczak, Stephen Hutton.
UDNS:DNS Resolver Library
GNU Lesser General パブリック ライセンス（LGPL）のもとで利用可能になっています。
UnRAR
Berkeley Software Distribution
（BSD）ライセンスに適応したライセンスのもとで利用可能になっています。
Unzip
Berkeley Software Distribution
（BSD）ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1990-2009 Info-ZIP.All rights reserved.
Info-ZIP は、Mark Adler、John Bush、その他などの個人のセットです。
454
McAfee Web Gateway 7.2
製品ガイド
サードパーティ ソフトウェア
ユーザー インターフェース:
B
zlib
Berkeley Software Distribution
（BSD）ライセンスに適応したライセンスのもとで利用可能になっています。
Copyright © 1995-2012 Jean-loup Gailly and Mark Adler.
ユーザー インターフェース:
以下のリストは、McAfee Web Gateway アプライアンス ソフトウェアのユーザー インターフェースを開発するた
めに使用されるサードパーティ ソフトウェアに対する情報を提供します。
情報はサードパーティ名のアルファベット順で示しています。
Apache Abdera
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2006-2010 The Apache Software Foundation.
Apache Axiom
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2004-2012 The Apache Software Foundation.All rights reserved.
Apache Commons
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2012 The Apache Software Foundation.All rights reserved.
Apache Commons Codec
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2002-2011 The Apache Software Foundation.All rights reserved.
Apache Commons Logging
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2001-2008 The Apache Software Foundation..
Apache log4j
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2011 The Apache Software Foundation.
Apache Tomcat 4.1.31)
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 1999-2012 The Apache Software Foundation.
ASM
OW2 consortium のライセンスのもとで利用可能になっています。
Copyright © 1999-2009 OW2 Consortium.
McAfee Web Gateway 7.2
製品ガイド
455
B
サードパーティ ソフトウェア
ユーザー インターフェース:
Fugue Icons
Creative Commons Attribution License、バージョン 3.0 のもとで利用可能になっています。
Glazedlists
GNU Lesser General Public License
（LGPL）、バージョン 2.1 または Mozilla Public License (MPL)、バージョ
ン 1.1 のもとで利用可能になっています。
Copyright © 2011 Oracle and/or its affiliates.All rights reserved.
Jakarta Commons HttpClient
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2001-2011 Apache Software Foundation.
Jakarta ORO
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 1999-2004 The Apache Software Foundation.
Jaxen XPath Library
Codehaus のプロジェクト ライセンスのもとで利用可能になっています。
Copyright © 2001-2010 Codehaus.
JCommon
GNU Lesser General Public License
（LGPL）、バージョン 2.1 以降のもとで利用可能になっています。
Copyright © 2007-2011 Object Refinery Limited.
Jersey
Common Development and Distribution License (CDDL)、バージョン 1.1 または GNU General Public
License (GPL)、バージョン 2 、クラスパス例外付きのもとで利用可能になっています。
Copyright © 2008-2012 Oracle and/or its affiliates.All rights reserved.
JGoodies UIForms Lite
Berkeley Software Distribution
（BSD）ライセンスのもとで利用可能になっています。
Copyright © 2012 JGoodies.
JFree Chart
GNU Lesser General Public License
（LGPL）、バージョン 2.1 のもとで利用可能になっています。
Copyright © 2005-2011 Object Refinery Limited.
Jide Common
GNU General Public License (GPL)、バージョン 2、クラスパス例外付きまたは無料商用来世年すのもとで利用可
能になっています。
GPL は Java プラットフォームが利用可能にされているライセンスです。無料商用ライセンスはその他の Jide 製品
が利用可能にしたライセンスと同じですが、無料である点のみが異なります。
456
McAfee Web Gateway 7.2
製品ガイド
B
サードパーティ ソフトウェア
ユーザー インターフェース:
Copyright © 2011 Oracle and/or its affiliates.All rights reserved.
JSR-000154 Java Servlet 2.5
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Copyright © 2011 Oracle Corporation and/or its affiliates.
JSR-000311 Java API for RESTful Web Services
Common Development and Distribution License (CDDL)、バージョン 1.1 または GNU General Public
License (GPL)、バージョン 2 、クラスパス例外付きのもとで利用可能になっています。
Copyright © 2011 Oracle Corporation and/or its affiliates.
新しい Java プラグイン
Java ソフトウェアの配布を伴うライセンス合意書の元で利用可能になります。
Copyright © 2008-2012 Oracle and/or its affiliates.All rights reserved.
opencsv
Apache License (APL、バージョン 2.0 のもとで利用可能になっています。
Rhino:JavaScript for Java
Mozilla Public License (MPL)、バージョン 1.1 または GNU General Public License (GPL)、バージョン 2 のも
とで大部分が利用可能になっています。
Silk Icons
Creative Commons Attribution License、バージョン 2.5 または 3.0 のもとで利用可能になっています。
StAX2 and Woodstox
Apache License (APL) 、バージョン 2.0 または GNU Lesser General Public License (LGPL)、バージョン 2.1
のもとで利用可能になっています。
The Legion of the Bouncy Castle
MIX X11 ライセンスの適応である The Legion of the Bouncy Castle で提供されるライセンスのもとで利用可能
になっています。
The Legion of the Bouncy Castle
Trove
GNU Lesser General Public License
（LGPL）、バージョン 2.1 のもとで利用可能になっています。
2 つのクラス（HashFunctions および PrimeFinder）が Trove に含まれており、European Organization for
Nuclear Research (CERN) のライセンスの下で利用可能になっています。
XStream
Berkeley Software Distribution
（BSD）ライセンスのもとで利用可能になっています。
Copyright © 2003-2006 Joe Walnes.
Copyright © 2006-2009. XStream Committers.
McAfee Web Gateway 7.2
製品ガイド
457
B
サードパーティ ソフトウェア
ユーザー インターフェース:
All rights reserved.
458
McAfee Web Gateway 7.2
製品ガイド
索引
D
SSL スキャン
SSL スキャナー ルール セット 231
Data Loss Prevention
ICAP サーバー 245
クライアント証明書リスト 226
ディクショナリ設定 242
ホワイトリスト 221
プロセス 235
モジュール 221
分類設定 242
リスト 221
ルール 235
ルール 221
ルール セット 243
ログ 235
U
URL フィルタリング
E
URL フィルター モジュール 203
ePolicy Orchestrator 368
URL フィルタリング ルール セット 203
ブロッキング リスト 203
H
ホワイトリスト 203
モジュール 203
Helix プロキシ 137
ルール 203
ルール セット 203
M
McAfee ServicePortal、アクセスする 12
R
REST インターフェース
W
Web Hybrid Security
SaaS 型 Web 保護サービス 307
設定 309
curl 313
アクション 319
アクセス権限 312
アップロードされたファイル 322
ソリューション 307
同期 307
Web キャッシュ
Web キャッシュ ルール セット 256
インターフェースの操作 312
有効にする 256
基本アクティビティ 317
ルール 256
個々のアプライアンスでの作業 319
サンプル スクリプト 327
システム ファイル 320
ルール セット 256
Web フィルタリング
Data Loss Prevention 235
SSL スキャン 221
使用の準備 311
使用の有効化 312
URL フィルタリング 203
認証 315
アプリケーション フィルタリング 214
リスト 323
ウイルスおよびマルウェアのフィルタリング 191
リソースの要求 316
グローバル ホワイトリスト登録 220
ログ ファイル 321
ストリーミング メディア フィルタリング 217
メディア タイプ フィルタリング 209
S
ServicePortal、製品マニュアルを見つける 12
SNMP モニタリング 370
あ
アクション
アクションのリスト 379
McAfee Web Gateway 7.2
製品ガイド
459
索引
い
アクション (続き)
設定 93
一元管理
設定タブ 94
グループにノードを割り当てる 294
ルールに追加 66
更新グループにノードを割り当てる 295
ルール要素 52
構成 291
アプライアンス
スケジュール設定されたジョブ 291
REST インターフェース 312
スケジュール設定されたジョブを追加 296
Web フィルタリング 13
設定 298
アプライアンス タブ 276
設定の更新 297
アラート 335
ネットワーク グループにノードを割り当てる 295
一元管理 291
ノード 291
エラー処理 355
ノード グループ 291
オペレーティング システム 15
ノードの追加 293
仮想 19
ランタイム グループにノードを割り当てる 294
管理者 166
イベント
コア 15
イベントのリスト 382
構成のバックアップ 376
ルールに追加 67
構成の復元 376
高レベルの管理アクティビティ 16
ルール要素 52
インスタント メッセージング
コーディネーター 15
ICQ 設定 118
コンフィギュレーター 15
Windows Live Messenger の設定 118
コンポーネント 15
XMPP 設定 118
サードパーティ ソフトウェア 453
Yahoo 設定 118
システム アーキテクチャ 15
プロセス 114
システム構成 274
システム情報ライン 32
システム ツール 331
う
ウィザード
主要機能 14
初期設定 24
初期構成設定 21
ポリシー作成 29
設定デーモン 15
セットアップ 21
ウイルスおよびマルウェアのフィルタリング
ダッシュボード 335
Gateway Antimalware ルール セット 191
トラブルシューティング 373
システム設定 200
認証 139
ホワイトリスト 191
ハードウェアベース 19
マルウェア対策キュー 200
配備概要 16
マルウェア対策対策モジュール 191
フィルタリング サイクル 51
モジュール 191
ユーザー インターフェース 32
モジュール設定 195
ライセンス 29
ルール 191
ルール セット 191
ルール 52
埋め込みオブジェクト サイクル 51
ログ 343
ログオフ 32
アプライアンスの構成のバックアップ 376
え
アプライアンスの構成の復元 376
エラー処理
インシデント ID のリスト 389
アプリケーション フィルタリング
システム リスト 214
インシデント情報の使用 355
プロセス 214
エラー ID の使用 355
エラー ID のリスト 380
ブロッキング リスト 214
ルール 214
演算子 52
ルール セット 216
演算対象 52
アラート 335
お
応答サイクル 51
460
McAfee Web Gateway 7.2
製品ガイド
索引
オペレーティング システム 15
サイクル
オンライン ヘルプ 32
埋め込みオブジェクト 51
応答 51
か
リクエスト 51
外部リスト
システム設定 87
し
使用法（推奨） 78
システム アーキテクチャ 15
ソース 78
システム構成
プロパティ 78
DNS 設定 285
モジュール 78
アプライアンス タブ 276
モジュール設定 81
システム ファイル 287
管理者
初期設定 273
アカウント 166
初期セットアップ後 274
外部アカウント 169
静的ルート設定 286
高レベルのアクティビティ 16
データベースの更新 289
テスト アカウント 167
日時設定 278
ロール 168
ネットワーク設定 283
ネットワーク保護設定 285
き
ファイル エディター タブ 288
共通カタログ
ファイル サーバー設定 279
使用の有効化 90
ポート転送設定 286
ユーザー アカウント 91
ユーザー インターフェース設定 280
ライセンス設定 277
リスト タイプ 90
システム情報ライン 32
システム ツール
く
Active System Console 334
Baseboard Management Controller 333
Platform Confidence Test 332
Remote Management Module 333
クォータの管理
許可オーバーライド 184
警告 181
時間のクォータ 173
条件
システム設定 189
演算子 52
セッションのブロック 187
演算対象 52
ボリュームのクォータ 177
パラメーター 52
グローバル ホワイトリスト登録
複雑 54
グローバル ホワイトリストのルール セット 220
プロパティ 52
ホワイトリスト 220
ルールに追加 65
ルール 220
ルール要素 52
ルール セット 220
進行状況の表示
進行状況ページ 249
こ
データ トリックル 249
コア サブシステム 15
す
購読リスト
更新 89
ストリーミング メディア フィルタリング
コンテンツの取得 88
モジュール設定 219
コンテンツの設定 90
ルール 217
作成 88
コーディネーター サブシステム 15
このガイドで使用される表記規則とアイコン 11
このガイドについて 11, 12
せ
設定
コンフィギュレーター サブシステム 15
アクション 93
さ
作成 96
サードパーティ ソフトウェア 453
McAfee Web Gateway 7.2
アクセス 95
システム 93
製品ガイド
461
索引
透過型モード (続き)
設定 (続き)
ルーター 106
制限付きアクセス 70
設定タブ 94
ドキュメント
タイプ 93
このガイドの対象読者 11
モジュール 93
表記規則とアイコン 11
製品固有、見つける 12
リスト タブにアクセスする 95
ルールのアクセス 96
トップレベル メニュー
設定デーモン 15
アカウント 32
セットアップ
構成 32
仮想アプライアンス 19, 27
ダッシュボード 32
高レベル手順 21
トラブルシューティング 32
ポリシー 32
初期構成設定 21
初期ルール セット システムの実装 29
トラブルシューティング
ダウンロード ソフトウェア 25
コア ファイル 374
独自の初期設定の実装 24
構成のバックアップ 376
ハードウェアベースのアプライアンス 19
構成の復元 376
プリインストール版ソフトウェア 22
接続追跡ファイル 375
ポートの割り当て 30
ネットワーク ツール 376
ユーザー インターフェースへのログオン 28
パケット追跡ファイル 375
要件 19
フィードバック ファイル 374
ライセンス 29
方法 373
ライセンスのインポート 29
に
た
認証
帯域幅スロットル 253
IM 認証ルール セット 155
ダッシュボード
Kerberos 管理システムの設定 149
アクセス 336
LDAP 設定 141
アラート 335
Novell eDirectory 設定 141
グラフおよび表 335
NTML エージェント設定 141
トップ スコア 339
NTML 設定 141
発展データ 339
RADIUS 設定 141
Windows ドメイン メンバーシップの設定 150
タブ
アプライアンス 276
インスタント メッセージング 152
アラート 336
共通設定 141
管理者アカウント 166
異なる方法の実装 148
グラフおよび表 339
システム設定 149
設定 94
詳細設定 141
ファイル エディター 288
設定 141
リスト 72
認証サーバー設定 141
ルール セット 60
認証と許可のルール セット 151
認証モジュール 139
方法 139
て
モジュール 139
データ トリックル 249
ユーザー データベース設定 141
データベースの更新
ルール 139
自動 289
ルール セット 139
手動 289
テクニカル サポート、製品情報を見つける 12
テンプレート エディター 268
ね
ネクスト ホップ プロキシ
と
設定 260
透過型モード
モード 258
ルール セット 261
ブリッジ 110
462
McAfee Web Gateway 7.2
製品ガイド
索引
ふ
も
フィルタリング
モニタリング
応答サイクル 51
ePolicy Orchestrator 368
SNMP エージェント 370
プロセス フロー 51
エラー処理 355
プロパティ 49
ダッシュボード 335
ユーザー 49
パフォーマンス測定 364
リクエスト サイクル 51
ログ 343
埋め込みオブジェクト サイクル 51
プロキシ
DNS 設定 118
ゆ
FTP 設定 118
Helix 137
HTTP 設定 118
ユーザー インターフェース
検索 32
サンプル画面 32
ICAP サーバー設定 118
システム情報ライン 32
ICQ 設定 118
システム設定 280
Windows Live Messenger の設定 118
主要要素 32
XMPP 設定 118
設定タブ 94
Yahoo 設定 118
設定パネル 32
インスタント メッセージング 114
タブ バー 32
自動設定 136
ツールバー 32
詳細設定 118
特別な構成機能 32
設定 118
トップレベル メニュー 32
タイムアウト 118
ナビゲーション パネル 32
透過型ブリッジ モード 110
ヘルプ 32
透過型プロキシ 102
変更を保存 32
透過型ルーター モード 106
ネットワーク設定 118
明示的プロキシ モード 100
ログオフ 32
ユーザー メッセージ
text 263
タイプ 263
リバース HTTPS 123
プロパティ
テンプレート 263
フィルター処理 49
テンプレート エディター 268
プロパティのリスト 392
認証設定 266
ルールに追加 65
ブロック設定 266
ルール要素 52
編集テキスト 265
変数 263
へ
リダイレクト設定 267
ヘルプ 32
変更を保存 32
ら
ライセンス
ほ
ライセンス設定 277
ポートの割り当て 30
め
ライセンスのインポート 29
り
明示的プロキシ モード 100
メディア タイプ フィルタリング
ブロッキング リスト 209
メディア タイプ フィルタリングのルール セット 209
ルール 209
ルール セット 209
リクエスト サイクル 51
リスト
共通カタログ 90
購読リスト 88
作成 74
制限付きアクセス 70
タイプたいぷ 71
リスト タブ 72
リスト タブにアクセスする 74
McAfee Web Gateway 7.2
製品ガイド
463
索引
ルール セット (続き)
リスト (続き)
ルールのアクセス 74
条件 55
外部リストがいぶりすと 78
初期システム 56
制限付きアクセス 70
デフォルト システム 56
る
ネストされた 55
ルール
ライブラリ 58
アクション 52
ルール セット タブ 60
イベント 52
演算子 52
演算対象 52
ろ
作成 62
ログ
条件 52
モジュール 343
セットせっと 55
ルール 343
ログ ファイル 343
プロセス フロー 51
プロパティ 52
ログオフ 32
ユーザー インターフェースでの形式 53
要素 52
わ
ルール セット タブ 60
ワイルドカード式
ルール セット
glob 表現 447
インポート 69
重要な特殊 glob 文字のリスト 448
ウィザードで作成されたシステム 56
重要な特殊正規表現文字のリスト 449
サイクル 55
正規表現 447
作成 67
テスト 447
システム 56
464
McAfee Web Gateway 7.2
製品ガイド
700-3883A16

McAfee Mobile Security

「軌道モーターカー引退記念きっぷ」の発売について

McAfee のクッキー、ウェブビーコンおよび他の技術に関する声明

高精度画像処理によるリアルタイム交通異常事象検出システムの開発と

【重要】Windows XP をご利用のお客さまへ

平成27年度公認審判員全体会および全国審判長会議報告会

Gibco®の高品質FBSを買って、 ゆかいなウシ

News_Release_IoT_Blufi_iBEEK