Visual Policy Manager

Blue Coat® Systems
ProxySG® アプライアンス
Visual Policy Manager リファレンスおよ
び高度なポリシータスク
SGOS Version 6.4.x
SGOS 6.4 Visual Policy Manager リファレンス
連絡先情報
南北アメリカ
Blue Coat Systems Inc.
420 North Mary Ave
Sunnyvale, CA 94085-4121
世界のその他の地域
Blue Coat Systems International SARL
3a Route des Arsenaux
1700 Fribourg, Switzerland
http://www.bluecoat.com/contact/customer-support
http://www.bluecoat.com
ドキュメントに関するご質問またはご意見
[email protected]
ii
Copyright© 1999-2013 Blue Coat Systems, Inc. All rights reserved worldwide. No part of this document may be reproduced by any means
nor modified, decompiled, disassembled, published or distributed, in whole or in part, or translated to any electronic medium or other
means without the written consent of Blue Coat Systems, Inc. All right, title and interest in and to the Software and documentation are and
shall remain the exclusive property of Blue Coat Systems, Inc. and its licensors. ProxyAV™, ProxyOne™, CacheOS™, SGOS™, SG™,
Spyware Interceptor™, Scope™, ProxyRA Connector™, ProxyRA Manager™, Remote Access™ and MACH5™ are trademarks of Blue Coat
Systems, Inc. and CacheFlow®, Blue Coat®, Accelerating The Internet®, ProxySG®, WinProxy®, PacketShaper®, PacketShaper Xpress®,
PolicyCenter®, PacketWise®, AccessNow®, Ositis®, Powering Internet Management®, The Ultimate Internet Sharing Solution®,
Cerberian®, Permeo®, Permeo Technologies, Inc.®, and the Cerberian and Permeo logos are registered trademarks of Blue Coat Systems,
Inc. All other trademarks contained in this document and in the Software are the property of their respective owners.
BLUE COAT SYSTEMS, INC. AND BLUE COAT SYSTEMS INTERNATIONAL SARL (COLLECTIVELY “BLUE COAT”) DISCLAIM ALL
WARRANTIES, CONDITIONS OR OTHER TERMS, EXPRESS OR IMPLIED, STATUTORY OR OTHERWISE, ON SOFTWARE AND
DOCUMENTATION FURNISHED HEREUNDER INCLUDING WITHOUT LIMITATION THE WARRANTIES OF DESIGN,
MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL BLUE COAT,
ITS SUPPLIERS OR ITS LICENSORS BE LIABLE FOR ANY DAMAGES, WHETHER ARISING IN TORT, CONTRACT OR ANY OTHER
LEGAL THEORY EVEN IF BLUE COAT SYSTEMS, INC. HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES.
Americas:
Blue Coat Systems, Inc.
420 N. Mary Ave.
Sunnyvale, CA 94085
Rest of the World:
Blue Coat Systems International SARL
3a Route des Arsenaux
1700 Fribourg, Switzerland
文書番号：231-03015-ja_JP
文書改訂番号：SGOS 6.4.1—10/2012
iii
SGOS 6.4 Visual Policy Manager リファレンス
iv
目次
第 1 章 : はじめに
ドキュメントの表記規則 ................................................................................................................. 15
注意および警告 ................................................................................................................................. 16
第 2 章 : ポリシーファイルの管理
ポリシーファイルについて ............................................................................................................ 17
ポリシーファイルの作成と編集 .................................................................................................... 18
Management Console を使ったポリシーファイルの作成と編集....................................... 18
CLI インラインコマンドの使用 ............................................................................................. 20
ポリシーファイルのアンロード .................................................................................................... 21
ポリシーオプションの設定 ............................................................................................................ 22
ポリシーファイルの評価.......................................................................................................... 22
トランザクションの設定：拒否および許可............................................................................. 23
ポリシートレース...................................................................................................................... 24
中央ポリシーファイルの管理 ........................................................................................................ 25
自動インストールの設定........................................................................................................... 25
カスタム中央ポリシーファイルの自動インストールの設定.............................................. 25
電子メール通知の設定............................................................................................................... 25
アップデート間隔の設定........................................................................................................... 26
アップデート済み中央ポリシーファイルのチェック.......................................................... 26
ポリシーファイルのリセット.................................................................................................. 26
VPM ポリシーファイルの ProxySG 間の移動....................................................................... 26
ポリシーファイルの表示 ................................................................................................................ 27
インストール済みポリシーの表示........................................................................................... 27
ポリシーソースファイルの表示............................................................................................. 27
ポリシー統計情報の表示........................................................................................................... 28
第 3 章 : Visual Policy Manager
セクション A: VPM の概要
Visual Policy Manager の起動......................................................................................................... 30
Visual Policy Manager のユーザーインターフェースについて................................................ 31
メニューバー.............................................................................................................................. 31
ツールバー.................................................................................................................................. 34
ポリシーレイヤタブ................................................................................................................. 34
ルールとオブジェクト............................................................................................................... 34
Management Console とのコードの共有について................................................................ 35
v
SGOS 6.4 Visual Policy Manager リファレンス
VPM のコンポーネントについて ................................................................................................... 36
ポリシーレイヤ.......................................................................................................................... 36
ルールオブジェクト.................................................................................................................. 37
ポリシーレイヤ / オブジェクトのマトリックス.................................................................. 40
Set Object ダイアログ ....................................................................................................................... 40
Add/Edit Object ダイアログ .......................................................................................................... 42
オンラインヘルプ ............................................................................................................................ 42
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
リファレンステーブルについて .................................................................................................... 43
管理者認証ポリシーレイヤリファレンス ................................................................................... 44
管理者アクセスポリシーレイヤリファレンス .......................................................................... 44
DNS アクセスポリシーレイヤリファレンス ............................................................................. 45
SOCKS 認証ポリシーレイヤリファレンス ................................................................................. 45
SSL インターセプトレイヤリファレンス.................................................................................... 46
SSL アクセスレイヤリファレンス................................................................................................ 47
Web 認証ポリシーレイヤリファレンス ...................................................................................... 48
Web アクセスポリシーレイヤリファレンス ............................................................................. 49
Web コンテンツポリシーレイヤリファレンス ......................................................................... 53
転送ポリシーレイヤリファレンス ............................................................................................... 55
CPL Layer .......................................................................................................................................... 56
セクション C: オブジェクトカラムの詳細リファレンス
Source カラムオブジェクトリファレンス................................................................................... 57
Any ............................................................................................................................................... 57
Streaming Client......................................................................................................................... 57
Client Hostname Unavailable .................................................................................................. 57
Authenticated User .................................................................................................................... 57
Guest User ................................................................................................................................... 58
IM User Agent Unsupported.................................................................................................... 58
Client IP Address/Subnet......................................................................................................... 58
Client Hostname......................................................................................................................... 58
Proxy IP Address/Port.............................................................................................................. 58
User .............................................................................................................................................. 58
Group ........................................................................................................................................... 62
Attribute ...................................................................................................................................... 64
LDAP Attribute .......................................................................................................................... 65
User Login Address ................................................................................................................... 66
User Login Time ......................................................................................................................... 66
User Login Count ....................................................................................................................... 66
Client Address Login Count..................................................................................................... 66
vi
目次
User Authentication Error ........................................................................................................ 66
User Authorization Error.......................................................................................................... 68
DNS Request Name ................................................................................................................... 68
RDNS Request IP Address/Subnet ......................................................................................... 68
DNS Request Opcode ................................................................................................................ 69
DNS Request Class..................................................................................................................... 69
DNS Request Type ..................................................................................................................... 69
DNS Client Transport................................................................................................................ 69
SOCKS Version........................................................................................................................... 69
User Agent .................................................................................................................................. 70
IM User Agent ............................................................................................................................ 70
Request Header .......................................................................................................................... 71
Client Certificate......................................................................................................................... 71
IM User ........................................................................................................................................ 71
P2P Client .................................................................................................................................... 72
Client Negotiated Cipher .......................................................................................................... 72
Client Negotiated Cipher Strength.......................................................................................... 72
Client Negotiated SSL Version................................................................................................. 72
Client Connection DSCP Trigger ............................................................................................. 73
Combined Source Object........................................................................................................... 73
Source カラム / ポリシーレイヤのマトリックス ................................................................. 74
Destination カラムオブジェクトリファレンス .......................................................................... 75
Any ............................................................................................................................................... 75
DNS Response Contains No Data............................................................................................ 75
Destination IP Address/Subnet............................................................................................... 76
Destination Host/Port............................................................................................................... 76
Request URL ............................................................................................................................... 76
Request URL Application ......................................................................................................... 78
Request URL Operation ............................................................................................................ 78
Request URL Category .............................................................................................................. 78
Category ...................................................................................................................................... 80
Server URL .................................................................................................................................. 80
Server URL Category................................................................................................................. 80
Server Certificate ........................................................................................................................ 80
Server Certificate Category....................................................................................................... 80
Server Negotiated Cipher ......................................................................................................... 81
Server Negotiated Cipher Strength ......................................................................................... 81
Server Negotiated SSL Version ................................................................................................ 81
File Extensions ............................................................................................................................ 81
vii
SGOS 6.4 Visual Policy Manager リファレンス
Flash Application Name ........................................................................................................... 84
Flash Stream Name .................................................................................................................... 84
HTTP MIME Types .................................................................................................................... 85
Apparent Data Type .................................................................................................................. 85
Response Code ........................................................................................................................... 85
Response Header........................................................................................................................ 86
Response Data ............................................................................................................................ 86
IM Buddy..................................................................................................................................... 87
IM Chat Room ............................................................................................................................ 87
DNS Response IP Address/Subnet ......................................................................................... 88
RDNS Response Host ................................................................................................................ 88
DNS Response CNAME............................................................................................................ 88
DNS Response Code .................................................................................................................. 88
Server Connection DSCP Trigger ............................................................................................ 88
Combined Destination Objects................................................................................................. 89
Destination カラム / ポリシーレイヤのマトリックス......................................................... 89
Service カラムオブジェクトリファレンス.................................................................................. 90
Any ............................................................................................................................................... 90
Using HTTP Transparent Authentication .............................................................................. 90
Virus Detected ............................................................................................................................ 90
Request Forwarded.................................................................................................................... 90
Client Certificate Requested ..................................................................................................... 91
Client Protocol ............................................................................................................................ 91
Service Name .............................................................................................................................. 91
Service Group ............................................................................................................................. 91
Protocol Methods ....................................................................................................................... 92
SSL Proxy Mode ......................................................................................................................... 92
IM File Transfer .......................................................................................................................... 93
IM Message Text......................................................................................................................... 94
IM Message Reflection............................................................................................................... 95
Streaming Content Type ........................................................................................................... 95
ICAP Error Code ........................................................................................................................ 95
Health Check............................................................................................................................... 97
Health Status............................................................................................................................... 98
Combined Service Objects ........................................................................................................ 98
Service カラム / ポリシーレイヤのマトリックス................................................................. 98
Time カラムオブジェクトリファレンス ..................................................................................... 99
Any ............................................................................................................................................... 99
Time.............................................................................................................................................. 99
viii
目次
Combined Time Object............................................................................................................ 100
Time カラム / ポリシーレイヤマトリックス ..................................................................... 100
Action カラムオブジェクトリファレンス................................................................................. 101
Allow.......................................................................................................................................... 101
Deny ........................................................................................................................................... 101
Deny (Content Filter)............................................................................................................... 101
Force Deny ................................................................................................................................ 101
Force Deny (Content Filter) .................................................................................................... 101
Allow Content From Origin Server ....................................................................................... 101
Connect Using ADN When Possible/Do Not Connect Using ADN................................ 101
Allow Read-Only Access ........................................................................................................ 102
Allow Read-Write Access ....................................................................................................... 102
Do Not Authenticate................................................................................................................ 102
Do Not Authenticate (Forward Credentials) ....................................................................... 102
Authenticate.............................................................................................................................. 102
Authenticate Guest .................................................................................................................. 104
Add Default Group.................................................................................................................. 105
Force Authenticate ................................................................................................................... 106
Bypass Cache ............................................................................................................................ 106
Do Not Bypass Cache .............................................................................................................. 106
Bypass DNS Cache................................................................................................................... 106
Do Not Bypass DNS Cache..................................................................................................... 106
Allow DNS From Upstream Server....................................................................................... 106
Serve DNS Only From Cache ................................................................................................. 106
Enable/Disable DNS Imputing.............................................................................................. 107
Check/Do Not Check Authorization .................................................................................... 107
Always Verify ........................................................................................................................... 107
Use Default Verification.......................................................................................................... 107
Block/Do Not Block PopUp Ads........................................................................................... 107
Force/Do Not Force IWA for Server Auth........................................................................... 108
Log Out/Do Not Log Out Other Users With Same IP ....................................................... 108
Log Out/Do Not Log Out User ............................................................................................. 108
Log Out/Do Not Log Out User’s Other Sessions............................................................... 108
Reflect/Do Not Reflect IM Messages .................................................................................... 108
Tunnel/Do Not Tunnel IM Traffic ........................................................................................ 109
Support/Do Not Support Persistent Client Requests ........................................................ 109
Support/Do Not Support Persistent Server Requests........................................................ 109
Block/Do Not Block IM Encryption...................................................................................... 109
Require/Do Not Require Client Certificate ......................................................................... 109
ix
SGOS 6.4 Visual Policy Manager リファレンス
Trust/Do Not Trust Destination IP ....................................................................................... 110
Deny ........................................................................................................................................... 110
Return Exception...................................................................................................................... 110
Return Redirect......................................................................................................................... 111
Set Client Certificate Validation............................................................................................. 112
Set Server Certificate Validation ............................................................................................ 113
Set Client Keyring .................................................................................................................... 114
Enable HTTPS Interception .................................................................................................... 116
Enable HTTPS Interception on Exception ............................................................................ 117
Disable SSL Interception ......................................................................................................... 117
Send IM Alert............................................................................................................................ 117
Modify Access Logging........................................................................................................... 118
Override Access Log Field...................................................................................................... 119
Rewrite Host ............................................................................................................................. 120
Reflect IP.................................................................................................................................... 121
Set Server URL DNS Lookup ................................................................................................. 122
Suppress Header ...................................................................................................................... 123
Control Request Header/Control Response Header.......................................................... 124
Notify User................................................................................................................................ 125
Strip Active Content ................................................................................................................ 128
HTTP Compression Level....................................................................................................... 130
Set Client HTTP Compression ............................................................................................... 130
Set Server HTTP Compression............................................................................................... 131
Set HTTP Request Max Body Size ......................................................................................... 131
Manage Bandwidth.................................................................................................................. 132
ADN Server Optimization ...................................................................................................... 132
Modify IM Message ................................................................................................................. 133
Return ICAP Feedback ............................................................................................................ 134
Set Dynamic Categorization ................................................................................................... 135
Set External Filter Service ....................................................................................................... 136
Set ICAP Request Service........................................................................................................ 137
Set ICAP Response Service ..................................................................................................... 138
Set Malware Scanning ............................................................................................................. 139
Set FTP Connection.................................................................................................................. 139
Set SOCKS Acceleration .......................................................................................................... 139
Disable SSL Detection.............................................................................................................. 140
Set Streaming Max Bitrate....................................................................................................... 140
Set Client Connection DSCP Value ....................................................................................... 141
Set Server Connection DSCP Value....................................................................................... 142
x
目次
Set ADN Connection DSCP .................................................................................................... 142
Set Authorization Refresh Time............................................................................................. 143
Set Credential Refresh Time ................................................................................................... 143
Set Surrogate Refresh Time..................................................................................................... 143
Send DNS/RDNS Response Code......................................................................................... 143
Send DNS Response................................................................................................................. 143
Send Reverse DNS Response.................................................................................................. 144
Do Not Cache............................................................................................................................ 145
Set Force Cache Reasons ......................................................................................................... 145
Use Default Caching ................................................................................................................ 145
Mark/Do Not Mark As Advertisement................................................................................ 145
Enable/Disable Pipelining...................................................................................................... 145
Set TTL ....................................................................................................................................... 145
Send Direct ................................................................................................................................ 145
Integrate/Do Not Integrate New Hosts ............................................................................... 146
Allow Content From Origin Server ....................................................................................... 146
Serve Content Only From Cache ........................................................................................... 146
Select SOCKS Gateway............................................................................................................ 146
Select Forwarding .................................................................................................................... 146
Server Byte Caching................................................................................................................. 147
Set IM Transport....................................................................................................................... 147
Set Streaming Transport.......................................................................................................... 147
Authentication Charset ........................................................................................................... 147
Set IP Address For Authentication ........................................................................................ 147
Permit Authentication Error................................................................................................... 149
Permit Authorization Error .................................................................................................... 150
Kerberos Constrained Delegation.......................................................................................... 150
Do Not Use Kerberos Constrained Delegation.................................................................... 151
Send Credentials Upstream .................................................................................................... 151
Do Not Send Credentials Upstream...................................................................................... 152
Combined Action Objects ....................................................................................................... 152
Do not Preserve Untrusted Issuer.......................................................................................... 152
Preserve Untrusted Issuer....................................................................................................... 152
Use Default Setting for Preserve Untrusted Issuer ............................................................. 152
Action カラム / ポリシーレイヤのマトリックス ............................................................... 153
Track オブジェクトカラムリファレンス .................................................................................. 156
Event Log, E-mail, および SNMP .......................................................................................... 157
Tracing オブジェクト .............................................................................................................. 158
Combined Track Object........................................................................................................... 159
xi
SGOS 6.4 Visual Policy Manager リファレンス
Track オブジェクト / ポリシーレイヤのマトリックス ..................................................... 159
Comment オブジェクトリファレンス........................................................................................ 159
Combined Objects の使用.............................................................................................................. 160
一元化したオブジェクトの表示と管理 ....................................................................................... 162
オブジェクトの表示................................................................................................................. 162
オブジェクトの管理................................................................................................................. 164
カテゴリの作成 ............................................................................................................................... 165
ポリシーのリフレッシュ......................................................................................................... 167
DNS 参照の制限 .............................................................................................................................. 167
DNS 参照上の制限について ................................................................................................... 167
DNS 参照制限リストの作成 ................................................................................................... 168
DNS 逆引き参照の制限 .................................................................................................................. 168
DNS 逆引き参照上の制限について ....................................................................................... 168
DNS 逆引き参照制限リストの作成 ....................................................................................... 168
グループのログ順序の設定 ........................................................................................................... 169
グループのログ順序について................................................................................................. 169
グループのログ順序リストの作成......................................................................................... 169
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
ポリシーレイヤ、ルール、ファイルの相互作用 .......................................................................... 170
VPM レイヤを CPL Layer と関連付ける .............................................................................. 170
ポリシーレイヤ内のルールの順序付け................................................................................ 171
同一タイプのポリシーレイヤの使用.................................................................................... 172
ポリシーレイヤの順序付け.................................................................................................... 172
レイヤガードルールについて................................................................................................ 173
ポリシーのインストール ............................................................................................................... 175
ポリシーの管理 ............................................................................................................................... 176
ポリシーのリフレッシュ......................................................................................................... 176
以前のポリシーに戻す............................................................................................................. 176
ポリシーの変更......................................................................................................................... 176
ポリシーレイヤの管理............................................................................................................ 176
ポリシールールの管理............................................................................................................ 177
VPM で作成したポリシーファイルをインストールする ........................................................ 178
VPM ファイルを Web サーバーにコピーする...................................................................... 178
VPM ファイルを ProxySG にロードする ............................................................................. 179
ポリシー/ 作成済みの CPL を表示する ....................................................................................... 180
セクション E: チュートリアル
チュートリアル —Web 認証ポリシーを作成する...................................................................... 181
例 1: 認証ルールを作成する .................................................................................................... 182
例 2: 特定のユーザーの認証を免除する ................................................................................ 185
xii
目次
チュートリアル－ Web アクセスポリシーを作成する............................................................. 187
例 1: 特定の Web サイトへのアクセスを制限する............................................................... 187
例 2: 特定のユーザーに特定の Web サイトへのアクセスを許可する............................... 192
セクション F: VPM で直接 CPL を作成する
第 4 章 : 高度なポリシータスク
セクション A: ポップアップウィンドウをブロックする
ポップアップのブロッキングについて ....................................................................................... 200
双方向性に関する注意 ................................................................................................................... 200
推奨設定 ........................................................................................................................................... 200
セクション B: 不連続 IP アドレスの除外
セクション C: アクティブコンテンツをストリップまたは交換する
アクティブコンテンツについて .................................................................................................. 203
アクティブコンテンツのタイプについて .................................................................................. 204
スクリプトタグ........................................................................................................................ 204
JavaScript エンティティ.......................................................................................................... 204
JavaScript 文字列...................................................................................................................... 204
JavaScript イベント.................................................................................................................. 204
埋め込みタグ............................................................................................................................. 205
オブジェクトタグ.................................................................................................................... 205
セクション D: ヘッダを修正する
セクション E: 例外を定義する
組み込み例外 ................................................................................................................................... 207
ユーザー定義例外 ........................................................................................................................... 213
例外の定義について ....................................................................................................................... 214
例外階層について ........................................................................................................................... 215
例外インストール対象リストについて ....................................................................................... 216
例外の作成または編集 ................................................................................................................... 218
例外リストの作成とインストール ............................................................................................... 219
例外を表示する ............................................................................................................................... 221
セクション F: ピアツーピアサービスを管理する
ピアツーピア通信について ........................................................................................................... 223
Blue Coat のソリューションについて......................................................................................... 223
サポートされるサービス......................................................................................................... 223
展開............................................................................................................................................. 224
ポリシー制御 ................................................................................................................................... 224
VPM サポート........................................................................................................................... 224
CPL サポート ............................................................................................................................ 225
xiii
SGOS 6.4 Visual Policy Manager リファレンス
ポリシーの例............................................................................................................................. 225
P2P 履歴統計情報 ........................................................................................................................... 226
P2P クライアント..................................................................................................................... 228
P2P バイト................................................................................................................................. 229
Proxy 認証........................................................................................................................................ 229
アクセスログ .................................................................................................................................. 229
セクション G: QoS と各種サービスを管理する
Blue Coat のソリューションについて......................................................................................... 230
DSCP 値について............................................................................................................................ 230
QoS ポリシータスクについて...................................................................................................... 232
着信 QoS をテストする ........................................................................................................... 232
発信 QoS を設定する ............................................................................................................... 233
ポリシーコンポーネント .............................................................................................................. 236
VPM オブジェクト................................................................................................................... 236
VPM の例................................................................................................................................... 237
CPL コンポーネント ................................................................................................................ 237
アクセスログ .................................................................................................................................. 238
セクション H: Management Console で読み取り専用アクセスを提供する
セクション I: コンテンツおよびコンテンツタイプフィルタリングのポリシーを設定する
URL 拡張子に基づいてフィルタリングする.............................................................................. 244
HTTP コンテンツタイプ応答ヘッダに基づくフィルタリング .............................................. 245
表示データタイプに基づくフィルタリング .............................................................................. 245
http.response.data 条件 (CPL) に基づくフィルタリング ......................................................... 245
サンプル設定 ................................................................................................................................... 245
xiv
第 1 章 : はじめに
このドキュメントでは、
ポリシーの作成および実装方法について説明します。
ポリシーの作成は、
Blue Coat の ProxySG アプライアンスを企業に実装する上
で中心的な作業です。
ProxySG の基本的な設定が終われば、定義されたポリ
シーがユーザーの行動を管理し、
企業での認証とネットワークリソースの配分
目標を実行することになります。
ベースとなる Blue Coat のコンテンツポリシー言語
Visual Policy Manager は、
（CPL）を作成するユーザーインターフェースです。VPM では、
ポリシーのオブ
ジェクトを選択してカスタマイズすることにより、
ポリシーレイヤを作成しま
す。このドキュメントでは、
レイヤの相互作用やオブジェクトの概要説明など、
VPM のさまざまな面について説明します。機能のコンセプトを説明する他の
Blue Coat のドキュメントへのクロスリファレンスを適宜提供しています。ま
た、Management Console ではなくポリシーでなければ実行できない一部の共
通タスクについて説明する章もあります。
このドキュメントには以下の章があります。
S
第 2 章「ポリシー
ファイルの管理」
（17 ページ）
:
S
第 3 章「Visual
（29 ページ）
:
Policy Manager」
S
第 4 章「高度なポリシー
タスク」
（199 ページ）
:
ドキュメントの表記規則
次のセクションには、このマニュアルで使用される印刷およびコマンドライン
インターフェース（CLI）
構文の表記規則を示します。
表 1–1 文書の表記法
表記法
定義
太字体
新規用語または BlueCoat 固有の用語の初出時を示す。
Courier フォント
画面出力。コマンドラインテキスト、
ファイル名、
および Blue
Coat CPL (Content Policy Language) など。
Courier ォントの
斜体
ネットワークシステムの該当するファセットに関連するリテ
ラル名または値で代入するマンドラインの変数。
Courier フォントの
太字体
表示のように入力される Blue Coat のリテラル。
Arial フォントの太字体
Management Console の画面要素。
{ }
括弧で囲まれているもののうち 1 つを指定する必要のあるパラ
メータ。
15
SGOS 6.4 Visual Policy Manager リファレンス
表 1–1 文書の表記法
[ ]
省略可能な 1 つ以上のパラメータ。
|
パイプ文字の前後いずれかのパラメータは一方は選択可能であ
り、選択が必須であるが、両方を選択することはできない。
注意および警告
次は、データ喪失や人体への負傷が起こる恐れのある行為に対する情報や注意を
提供します。
注意 : 注意する必要がある情報
重要 : 機器への損害または人体への負傷に関連しない重大な情報 ( データ損失
など ) 。
警告 ! 人体の負傷または機器への物理的な損害のある危険をユーザーに通知す
るためのみに使用される。例として、機器の設置時の静電気の放電 (ESD) に対
する警告が挙げられます。
16
第 2 章 : ポリシーファイルの管理
この章では、
VPM のポリシーファイルとその相互作用について説明します。
この章のトピック
この章は、次のトピックに関する情報で構成されています。
S
「ポリシーファイルについて」
（ 17 ページ）
S
「ポリシーファイルの作成と編集」
（ 18 ページ）
S
「ポリシーファイルのアンロード」
（ 21 ページ）
S
「ポリシーオプションの設定」
（ 22 ページ）
S
「中央ポリシーファイルの管理」
（ 25 ページ）
S
「ポリシーファイルの表示」
（ 27 ページ）
ポリシーの書き方について学習するには、
『Blue Coat SGOS 6.x コンテンツポ
リシー言語リファレンス』
を参照してください。
ポリシーファイルについて
ポリシーファイルには、ユーザー認証と特権の管理方法からアクセスログの
無効化やSOCKSのバージョン判定まで、ProxySG のあらゆる面を管理するポリ
シー（トリガおよびアクション）が入っています。
あるシステムのポリシーには、
複数のファイルを含めることが可能で、
各ファイ
ルごとに多くのレイヤとルールがあります。
ポリシーは、
Visual Policy Manager
（CPL）で作成します。
（一部の高
(VPM) で定義するか、コンテンツポリシー言語
度なポリシー機能は VPM では使用できず、
での設定のみ可能です。
）
CPL
ポリシーは以下の 4 つのファイルで管理します。
S
中央ポリシーファイル：パフォーマンスと動作を向上させるグローバル設定
と強力な新型ウイルス（コードレッドやニムダなど）
用のフィルタが入って
います。
このファイルは通常 Blue Coat が管理しますが、代わってユーザー
が ProxySG をカスタム中央ポリシーファイルに向けることができます。
S
転送ポリシーファイル：通常、他の 3 つのポリシーファイルで作成されたポ
リシーを補完するのに使用します。転送ポリシーファイルには、
システムを
以前のバージョンのSGOS (2.x)またはCacheOS (4.x)からアップグレードす
る際の転送ルールが入っています。
S
ローカルポリシーファイル：ユーザー自身が作成するファイル。VPM をポ
リシーを定義する主要ツールとしない場合、ローカルファイルにシステム
のポリシールールの大多数を含めます。VPM を主要ツールとする場合、こ
のファイルは空にするか、
VPM では使用できない高度なポリシー機能の
ルールを含めます。
Visual Policy Manager：VPM で作成されるポリシーは、他のポリシーファイル
で作成されるポリシーを補完したり無効にしたりできます。
17
SGOS 6.4 Visual Policy Manager リファレンス
ポリシーファイルの作成と編集
ポリシーファイルは次の 2 つの方法で作成し編集することができます。
S
（推奨）
Management Console を使用する方法
S
CLI インラインポリシーコマンドを使用する方法（ポリシーのサイズが拡大
したり、
inline policy の使用により ProxySG の既存のポリシーが上書きさ
れる可能性があるため、推奨しません）。
Management Console を使ったポリシーファイルの作成と編集
ポリシーファイルは次の方法でインストールできます。
S
CPL を CPL Layer に直接書き込む。
S
ディレクティブを入力できる ProxySG テキストエディタを使用する ( また
は、すでに作成済みのファイルのコンテンツをコピーして ProxySG に直接貼
り付ける )。
S
ローカルシステム上にファイルを作成する。ProxySG はそのファイルを参照
してインストールできます。
S
リモート URL を使用する。
すでに作成済みのファイルを FTP サーバーまたは
HTTP サーバー上に配置し、そこから ProxySG にダウンロードできます。
すべてのソースファイルの新しいポリシーがコンパイルされ、
ProxySG により、
コンパイルに成功すると、
ポリシーがインストールされます。
重要 : ポリシーファイルのロード時にエラーまたは警告が発生すると、
エラーや
警告の要約が自動的に表示されます。
エラーが表示された場合、ポリシーファイ
ルはインストールされません。警告が表示された場合、ポリシーファイルはイン
ストールされますが、警告の内容を調べる必要があります。
ポリシーファイルを直接定義およびインストールするには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Files] > [Policy Files] の順に選択します。
2
18
第 2 章 : ポリシーファイルの管理
2. [Install Local/Forward/Central File from] のドロップダウンリストから、ローカ
ル、転送または中央ポリシー設定のインストール方法を選択し、
[Install] をク
リックして 3 つの手順のいずれかを実行します。
注意 :ProxySG を使用してリストをインストールすると、イベントログに
メッセージが書き込まれます。
•
リモート URL を使用したポリシーファイルのインストール
表示されている [Install Local/Forward/Central File] ダイアログで、
ポリ
シー設定のある場所をファイル名を含めた完全修飾 URL として入力しま
す。インストール前にファイルを表示するには、[View] をクリックします。
[Installation Status] フィールドに結果の概要が示
Install をクリックします。
されます。[Results] をクリックしてて[Policy Installation Results]ウィンド
ウを開きます。結果を表示し終えたら、
ウィンドウを閉じます。
[Install
Local/Forward/Central File] ダイアログで [OK] をクリックします。
注意 :中央ポリシーファイルをインストールする場合、デフォルトの場所は
すでに入力されています。カスタム中央ポリシーファイルを作成する場合
にのみこのフィールドを変更します。
転送、ローカル、またはカスタム中央ポリシーファイルをロードするに
は、各ファイルを HTTP または FTP サーバーに移動し、その URL を使用し
てファイルを ProxySG にダウンロードします。
•
ローカルファイルを使用したポリシーファイルのインストール
表示されている [Upload and Install File] ダイアログで、
ファイルへのパス
を [File to upload] フィールドに入力するか、[Browse] をクリックして
[Choose File] ダイアログを表示し、ローカルシステム上でファイルを探し
出して開きます。
インストールが完了したら、
イ
[Install] をクリックします。
ンストール結果が表示されます。
結果を表示して、
ウィンドウを閉じます。
19
SGOS 6.4 Visual Policy Manager リファレンス
•
ProxySG のテキストエディタを使用したポリシーファイルのインストール
インストール可能なリストの形式で、
現在の設定が表示されます。開いた
[Edit and Install File] ウィンドウで、
CPL を使用してポリシールールを定
義します『Blue
(
Coat SGOS 6.4.x コンテンツポリシー言語リファレン
ス』参照 )。[Install] をクリックします。インストールが完了すると、結果ウィ
ンドウが開きます。結果を表示し、結果ウィンドウを閉じて [Edit and
Install File] ウィンドウで [OK] をクリックします。
3. [Apply] をクリックします。
注意 :Blue Coat 中央ポリシーファイルには、管理関連のタスクが他にもあります。
「中央ポリシーファイルの管理」（ 25 ページ）を参照してください。
CLI インラインコマンドの使用
CLI を使用してポリシーを作成するには、ProxySG の inline policy コマンドを使
用します。このコマンドは新しいポリシーファイルを作成するか、
指定された
ファイルがすでに存在する場合は既存のポリシーファイルを上書きします。この
コマンドを使って既存のポリシーファイルを編集することはできません。
注意 :ポリシーファイルがすでに定義済みかどうかはっきりしない場合は、
inline policy コマンドを使用する前に確認します。詳細は、「ポリシーソース
ファイルの表示」（ 27 ページ）を参照してください。
20
第 2 章 : ポリシーファイルの管理
ポリシーファイルを作成するには、次の手順を実行します。
1. (config) コマンドのプロンプトが表示されたら、次のコマンドを入力します。
SGOS#(config) inline policy file end-of-input-marker
ここで、file は定義したいポリシーのタイプを指定します。Central（中央
ポリシーファイル）、Forward（転送ポリシーファイル）または local
（ローカルポリシーファイル）。
注意 :inline policy コマンドを VPM モジュールで作成したファイルに
使用しないでください。
コマンド入力の最後を示す文字列を設
定します。通常、eof が文字列として機能します。マーカー文字列が入力さ
れるまで、CLI バッファはすべて入力バッファです。
end-of-file-marker：現在の inline
2. CPL を使用してポリシールールを定義します『Blue
(
Coat SGOS 6.x コンテ
ンツポリシー言語リファレンス』参照 )。
各ラインを入力して Enｔer を押します。現在のライン上のミスを修正するに
は、バックスペースを使用します。すでに Enter で終了したラインにミスが
あった場合は、
Control+C を押して inline policy コマンドを終了し、ファイ
ルが保存されないようにします。
3. eof マーカーを入力してポリシーを保存し、inline モードを終了します。
コマンドの詳細については、
『Blue Coat SGOS 6.x コマンドラインリファ
レンス』を参照してください。
inline
ポリシーファイルをロードするには、次の手順を実行します。
(config)
コマンドのプロンプトが表示されたら、次のコマンドを入力します。
SGOS#(config) policy {forward-path | local-path | central-path} url
SGOS#(config) load policy {forward | local | central}
ProxySG は新しいポリシーをコンパイルしてインストールします。ProxySG は、
新しいポリシーが競合を生じた場合に警告を表示することがあります。構文エ
ラーが見つかると、
アプライアンスはエラーメッセージを表示します。これらの
メッセージについては、
『Blue Coat SGOS 6.x コンテンツポリシー言語リファレ
ンス』
を参照してください。エラーを修正したら、ファイルを再ロードします。
ポリシーファイルのアンロード
ポリシーを無効にするには、以下の手順を実行してコンパイル済みのポリシーを
ProxySG のメモリからアンロードします。ここに示す手順で、現在のポリシー
ファイルを空のポリシーファイルと置き換える方法を説明します。
現在のポリシーファイルを保持するには、バックアップコピーをとるか、アン
ロードする前にファイル名を変更します。ファイル名を変更することにより、
元の
ポリシーファイルを後で再ロードできます。複数のポリシーファイルを使用する
場合は、必要に応じてバックアップをとるか、ファイル名を変更します。または、空
のポリシーファイルを使うのではなく、ファイルの全コンテンツを削除してから
再ロードすることもできます。
21
SGOS 6.4 Visual Policy Manager リファレンス
ポリシーをアンロードするには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Files] >[Policy Files] の順に選択します。
2. [Install Local/Forward/Central File from] ドロップダウンリストで[Text Editor] を選
択し、
該当する [Install] をクリックします。
[Edit and Install the Local/Forward/
Central Policy File] が現れます。
3. テキストを削除して [Install] をクリックします。
4. 開いた [Results] ページに結果を表示します。ページを閉じます。
5. [Close] をクリックします。
ポリシーオプションの設定
このセクションでは、ポリシーオプションについて説明します。このオプション
で、ポリシーの評価順序を変更したり、トランザクションのデフォルト設定を変更
したり、ポリシーのトレースを有効にしたりできます。
ポリシーファイルの評価
ProxySG がポリシールールを評価する順序は重要です。ポリシーの評価順序は一
般的ルールと例外を定義するので、その順序の変更により、有効なポリシーが変わ
る可能性があります。この順序は設定可能ですが、
デフォルトかつお勧めする順序
は次のとおりです。
VPM File—Local Policy File—Central Policy File-Forward File
これにより、
ウイルスのシグネチャをブロックする中央ファイル内のポリシー
が、VPM やローカルファイル内の許可（アクセス許可）ポリシールールによって
うっかり書き換えられないようにします。
ポリシーファイルの評価順序を変更する際は、
順序後半のファイルの判定が前半
のファイルの判定を書き換える可能性があるので、
最終判定が変わり得ることを
覚えておいてください。
最新の ProxySG では、
デフォルトの評価順序は、
VPM、
Local、
Central、
Forward です。
アップグレード版の ProxySG では、ポリシーの評価順序はアップグレード前のア
プライアンスの既存の順序です。
ポリシーの順序を変更するには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Options] の順に選択します。
22
第 2 章 : ポリシーファイルの管理
2
2. 順序を変更するには、移動するファイルを選択して [Move Up] または [Move
リストの最後のファイルが先に評価されたファイル
Down] をクリックします。
内の判定を上書きすることに注意してください。
参照
S
「トランザクションの設定：拒否および許可」
（ 23 ページ）
S
「ポリシートレース」
（ 24 ページ）
トランザクションの設定：拒否および許可
プロキシトランザクションのデフォルトのポリシーは、プロキシトランザクショ
ンを拒否することまたはプロキシトランザクションを許可することです。プロ
キシトランザクションのデフォルトのポリシーである [Deny] は、ProxySG への
プロキシタイプのアクセスを禁止します。このため、ケースバイケースでアクセ
スを明示的に許可するにはポリシーを作成しなければなりません。
ほとんど
プロキシトランザクションのデフォルトのポリシーである [Allow] は、
のプロキシトランザクションを許可します。ただし、プロトコルの検出が有効な
場合は、アプライアンスが既知のプロトコルを検出すれば、ポート 443 とそれ以外
のポートのいずれに対しても HTTP CONNECT を許可します。プロトコルの検出が無
効な場合、HTTP CONNECT はポート 443 に対してしか許可されません。ポリシーを
Allow に設定した場合は、個別にアクセスを明示的に拒否するポリシーを作成し
てください。
注意 :デフォルトのプロキシポリシーは、管理者トランザクションには適用され
ません。デフォルトでは、ユーザーがコンソールアカウントの資格情報を使っ
てログインしない場合、またはRead-Only特権やRead-Write特権を与えるために
明示的ポリシーが書き込まれた場合、管理者トランザクションは拒否されます。
23
SGOS 6.4 Visual Policy Manager リファレンス
デフォルト：
S
S
Proxy のエディション：デフォルトは、SGOS のインストール方法と、それが新
規にインストールされたものか、
アップグレードかによって異なります。
•
SGOS を Initial Configuration Web サイトでブラウザを介してインストー
ルした場合、プロキシされたトランザクションを許可するか拒否するかを
初期設定時に選択します。
•
SGOS をフロントパネルやシリアルコンソールのポートを使ってインス
トールした場合は、
デフォルトの設定は [Deny] となります。
•
SGOS を以前のバージョンからアップグレードした場合、デフォルトは何
であれ以前のポリシーのままです。
MACH5 のエディション：デフォルト設定は [Allow] です。
この設定はいつでも変更できます。
指示については下記の手順を参照してください。
以下のことも覚えておいてください。
S
プロキシトランザクションのデフォルトポリシーを変更すると、
ポリシー全
体の評価を行う基本的環境に影響を及ぼします。その変更後は、期待される動
作を維持するためにポリシーの修正が必要になる場合があります。
S
ポリシーの評価順序は一般的ルールと例外を定義するので、その順序の変更
により、有効なポリシーが変わる可能性があります。
S
プロキシトランザクションのデフォルトポリシーの変更は、キャッシュと管
理者トランザクションの評価には影響を与えません。
プロキシのデフォルトポリシーを許可または拒否するには、
1. [Configuration] > [Policy] > [Policy Options] の順に選択します。
2. [Default Proxy Policy] で、[Deny] または [Allow] を選択します。
3. [Apply] をクリックします。
ポリシートレース
Management Console または CLI で有効にしたトレースはグローバルです。つま
り、ポリシーごとの関連イベントを各レイヤに記録します。トレースはトラブル
シューティングの間のみ使用します。トラブルシューティングポリシーについて
は、
『Blue Coat SGOS 6.x コンテンツポリシー言語リファレンス』を参照してくだ
さい。すべての種類のポリシートレースをオンにすることは、
システムリソース
の利用の点で高くつき、ProxySG アプライアンスのトラフィック処理能力を低下
させます。
ポリシートレースを有効にするには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Options] の順に選択します。
2. [Trace all policy execution] を選択します。
3. [Apply] をクリックします。
24
第 2 章 : ポリシーファイルの管理
中央ポリシーファイルの管理
中央ポリシーファイルは Blue Coat が必要とするときにアップデートされます。
このファイルを自動的にアップデートすることも、
ユーザーが電子メール通知を
要求することもできます。また、ユーザー自身のカスタム中央ポリシーファイル
を指すようにパスを設定することもできます。
自動インストールの設定
新バージョンの中央ポリシーファイルのチェックを設定できま
ProxySG には、
す。新しいバージョンがあれば、アプライアンスはそれを自動的にインストールで
きます。
ProxySG が新バージョンの中央ポリシーファイルがあるかチェックし、インス
トールするように設定するには、
次の手順を実行します。
自動インストールを設定するには、
1. [Configuration] > [Policy] > [Policy Files] > [Policy Files] の順に選択します。
2. [Automatically install new Policy when central file changes] を選択します。
3. [Apply] をクリックします。
カスタム中央ポリシーファイルの自動インストールの設定
ユーザー自身の中央ポリシーファイルを定義すると、
それ以降にファイルのアッ
プデートがあれば自動的にインストールするように ProxySG を設定することが
できます。この機能を使用するには、
中央ポリシーファイルの 1 行目をバージョン
のアップデートの都度変更する必要があります。
自動インストールすると、
ProxySG はファイルの 1 行目に変更があるかチェックします。カスタム中央ポリ
シーファイルを定義する際は、アップデートの都度変わる中央ポリシーファイル
の 1 行目にコメントなどの項目を追加します。
次に示すのは 1 行目のサンプルで、
バージョンごとに決まってアップデートされる日付情報が含まれています。
; Central policy file MonthDate, Year version
ファイルをアップデートして元の場所に保存すると、
ProxySG は自動的にアップ
デートされたバージョンをロードします。
電子メール通知の設定
中央ポリシーファイルが変更されたときに ProxySG が電子メールを送信するか
どうか設定できます。使用される電子メールアドレスは診断レポートで使用され
るものと同じで、カスタムのハートビート電子メールのイベント受信者です。
電子メールによる通知を設定するには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Files] > [Policy Files] の順に選択します。
2. [Send me email when central file changes] を選択します。
3. [Apply] をクリックします。
25
SGOS 6.4 Visual Policy Manager リファレンス
アップデート間隔の設定
ProxySG が新バージョンの中央ポリシーファイルのチェックを行う頻度を設定
できます。デフォルトでは、アプライアンスは中央ポリシーファイルのアップ
デートを 24 時間（1440 分）ごとにチェックします。
アップデート間隔の設定には
CLI を使用してください。
Management Console ではアップデート間隔を設定で
きません。
アップデート間隔を設定するには、
(config)
コマンドのプロンプトが表示されたら、次のコマンドを入力します。
SGOS#(config) policy poll-interval minutes
アップデート済み中央ポリシーファイルのチェック
中央ポリシーファイルが変更されたかどうかを手動でチェックできます。CLI を
使用してください。
Management Console ではアップデート間隔を設定できません。
アップデート済み中央ファイルをチェックするには、
(config)
コマンドのプロンプトが表示されたら、次のコマンドを入力します。
SGOS#(config) policy poll-now
中央ファイルが変更されたかどうかを示すメッセージを ProxySG が表示します。
ポリシーファイルのリセット
CLI を介してすべてのポリシーファイルを自動的にクリアすることができます。
すべてのポリシーファイルをクリアするには、次の手順を実行します。
1. (config) コマンドのプロンプトが表示されたら、次のコマンドを入力します。
SGOS#(config) policy reset
WARNING:This will clear local, central, forward and VPM policy.Are you
sure you want to reset ALL policy files?(y or n)
ProxySG は、すべてのポリシーファイルをリセットしようとしていることを
示す警告を表示します。
キャンセルするには n を入力します。
2. 続行するには y を、
注意 :このコマンドでデフォルトのプロキシポリシーの設定は変更されま
せん。
VPM ポリシーファイルの ProxySG 間の移動
VPM のポリシーファイルは、それが作成された ProxySG に固有です。ただし、同
じ中央、ローカル、および転送ポリシーファイルを複数の ProxySG で使用できる
のと同様に、
1 つのアプライアンスで作成された VPM のポリシーを別のアプライ
アンスで使用できます。
「ポリシーのインストール」
（
VPM のポリシーファイルの移動の詳細については、
175 ページ）を参照してください。
26
第 2 章 : ポリシーファイルの管理
ポリシーファイルの表示
コンパイル済みのポリシーかソースポリシーファイルを表示することができま
す。1 個のポリシーファイル（たとえば、
または複数のポリシー
VPM を使って）
ファイル（たとえば、Blue Coat の中央ポリシーファイルと VPM を使って）で定義
されたポリシーを表示するには、
以下に示す手順を使用します。
インストール済みポリシーの表示
インストール済みの中央、
ローカルまたは転送ポリシーファイルを表示するに
は、Management Console かブラウザを使用します。
注意 :VPM のポリシーファイルは [Visual Policy Files] タブを使って表示できます。
インストール済みのポリシーを表示するには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Files] > [Policy Files] の順に選択します。
2. [View File ] ドロップダウンリストで [Current Policy] を選択し、インストール
された実行中のポリシーを、すべてのポリシーソースファイルからアセンブ
ルされたように表示します。[Results of Policy Load] を選択して、最後に試みた
ポリシーのインストール（成功か失敗かを問わず）により生じた警告やエラー
があれば表示することもできます。
3. [View] をクリックします。ProxySG が別のブラウザウィンドウを開き、インス
トール済みのポリシーファイルを表示します。
ブラウザで現在インストール済みのポリシーを表示するには、次の手順を実行します。
1. 次のいずれかの形式で URL を入力します。
•
HTTPS コンソールを設定する場合、次を使用します。https://
SG_ip_address:HTTPS-Console_port/Policy/current（デフォルトのポー
トは 8082）
•
HTTP コンソールを設定する場合、次を使用します。http://
SG_ip_address:HTTP-Console_port/Policy/current（デフォルトのポート
は 8081）
ProxySG が別のブラウザウィンドウを開き、ポリシーを表示します。
2. ポリシーを確認したらブラウザを閉じます。
ポリシーソースファイルの表示
ソース
（未コンパイル）
ポリシーファイルは ProxySG 上に表示できます。
ポリシーソースファイルを表示するには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Files] > [Policy Files] の順に選択します。
27
SGOS 6.4 Visual Policy Manager リファレンス
表示したいファイル
（Local、
2. ポリシーソースファイルを表示するには、
Forward、
または Central）を [View File] ドロップダウンリストから選択し、
[View] をク
リックします。
該当するソースポリシーファイ
ProxySG が別のブラウザウィンドウを開き、
ルを表示します。
ポリシー統計情報の表示
ProxySG が処理するすべての要求に関するポリシー統計情報を表示することがで
きます。Management Console かブラウザを使用します。ポリシー統計情報を CLI
を介して表示することはできません。
ポリシー統計情報を表示するには、次の手順を実行します。
1. [Statistics] > [Advanced] の順に選択します。
2. [Policy] リンクをクリックします。
3. [Show policy statistics] リンクをクリックします。
別にブラウザーウィンドウが開いて、統計情報が表示されます。
4. 統計情報を確認したらブラウザを閉じます。
ブラウザでポリシー統計情報を確認するには、次の手順を実行します。
1. 次のいずれかの形式で URL を入力します。
•
HTTPS コンソールを設定する場合、次を使用します。https://
SG_ip_address:HTTPS-Console_port/Policy/statistics （デフォルトの
ポートは 8082）
•
HTTP コンソールを設定する場合、次を使用します。http://
SG_ip_address:HTTP-Console_port/Policy/statistics（デフォルトの
ポートは 8081）
ProxySG が別のブラウザウィンドウを開き、統計情報を表示します。
2. 統計情報を確認したらブラウザを閉じます。
ポリシーファイルを管理するための関連する CLI 構文
SGOS#(config) policy order v l c
SGOS#(config) policy proxy-default {allow | deny}
SGOS# policy trace {all | none}
SGOS#(config) inline policy file end-of-input-marker
SGOS#(config) policy subscribe
SGOS#(config) policy notify:
SGOS#(config) show policy
SGOS#(config) show configuration
または
SGOS#(config) show sources policy {central | local | forward | vpm-cpl
| vpm-xml}
28
第 3 章 : Visual Policy Manager
Visual Policy Manager (VPM) は ProxySG アプライアンスに内蔵されているグ
ラフィカルポリシーエディタです。
VPM を使用すれば、Blue Coat Content
Policy Language (CPL)を詳しく知らなくても、またポリシーファイルを手動で
編集しなくても、Web アクセスポリシーとリソース制御ポリシーを定義するこ
とができます。
本章は VPM のオブジェクトリファレンスとして使用するもので、
ユーザーが
「ポリシーファイルの管理」
（ 17 ページ）に記載された ProxySG アプライアン
スのポリシー機能の基本概念をよく理解していることを前提としています。
VPMが作成するものは、ポリシーをCPLで直接書いた場合の一部にすぎません
が、ほとんどの目的にはそれで間に合います。より高度なポリシーが必要な場
合は、
SGOS 6.x Content Policy Language リファレンスを参照してください。
この章のトピック
この章では、
次のトピックについて説明します。
S
S
セクション A:「VPM の概要」
（ 30 ページ）
セクション B:「ポリシーレイヤとルールオブジェクトのリファレンス」
（ 43 ページ）
S
セクション C:「オブジェクトカラムの詳細リファレンス」
（ 57 ページ）
S
セクション D:「ポリシーレイヤ、
ルール、
およびファイルの管理」
（ 170 ページ）
S
セクション E:「チュートリアル」
（ 181 ページ）
S
セクション F:「VPM で直接 CPL を作成する」
（ 201 ページ）
関連トピック：
S
第 2 章「ポリシー
ファイルの管理」
（ 17 ページ）
:
S
SGOS 6.x Content Policy Language リファレンス
29
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: VPM の概要
セクション A: VPM の概要
このセクションでは、次のトピックについて説明します。
S
「Visual Policy Manager の起動」
：VPM を Management Console から起動する方法
を説明します。
S
「Visual Policy Manager のユーザーインターフェースについて」
：VPM のメ
ニュー項目、
ツールバー、
作業領域について説明します。
S
「VPM のコンポーネントについて」
：ポリシーレイヤの定義を示し、レイヤが
ルールオブジェクトによりどのように構成されているかを説明します。
S
「Set Object ダイアログ」
：追加または編集するオブジェクトを選択するためのダ
イアログについて説明します。
S
「Add/Edit Object ダイアログ」
：オブジェクトの追加と編集に使用するダイアロ
グについて説明します。
Visual Policy Manager の起動
VPM を起動するには、次の手順を実行します。
2
1
1. [Configuration] > [Policy] > [Visual Policy Manager] の順にタブを選択します。
2. [Launch] をクリックします。VPM が別のウィンドウで起動します。
30
第 3 章 :Visual Policy Manager
セクション A: VPM の概要
Visual Policy Manager のユーザーインターフェースについて
次の図に VPM のコンポーネントを示します。
メニューバー
ツールバー
レイヤタブ
オブジェクト
の種類
ルール
図 3–1 VPM のコンポーネント
メニューバー
下表で VPM のメニューバー項目について説明します。
表 3–1 VPM のメニューバー項目
File
Install Policy On....
新規のポリシールールをすべて保存します。
Revert to existing Policy on...
変更を無視し、インストール済みのポリシー
ルールを再読み込みします。
Exit
アプリケーションを終了します。
31
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: VPM の概要
表 3–1 VPM のメニューバー項目（続き）
Edit
Add Rule
Delete Rule
表示されているポリシーレイヤに新規の空
白ルールを追加したり、そのポリシーレイ
ヤからルールを削除したりします。
Cut Rule
一般的な切り取り、コピー、貼り付け操作。
Copy Rule
Paste Rule
Move Rule(s) Up
Move Rule(s) Down
ポリシーレイヤ内でルールを上または下に
1 つ移動します。
Disable/Enable Layer
選択したレイヤを有効または無効にします。
レイヤは、VPM から削除する
（したがって、
作成したポリシールールを失う）ことなく無
効にでき、必要があれば再度有効にすること
ができます。
Rename Layer
Blue Coat は、多数のレイヤを作成する際は、
それを容易に識別できるようにレイヤ名を
変えることをお勧めします。
Delete Layer
特定のポリシーレイヤを削除します。
Add Layer Guard
マッチング条件の設定に使用します。
「レイ
（ 173 ページ）
ヤガードルールについて」
を参照してください。
Reorder Layers
ポリシーレイヤの順序を変更します。
「ポリ
（ 172 ページ）を
シーレイヤの順序付け」
参照してください。
Policy
Add Admin Authentication Layer
Add Admin Access Layer
Add DNS Access Layer
Add SOCKS Authentication Layer
Add SSL Intercept Layer
Add SSL Access Layer
Add Web Authentication Layer
Add Web Access Layer
Add Web Content Layer
Add Forwarding Layer
Add CPL Layer
32
Policyメニュー項目で、ポリシールールを組
み込むポリシーレイヤを追加します。
第 3 章 :Visual Policy Manager
セクション A: VPM の概要
表 3–1 VPM のメニューバー項目（続き）
Configuratio
n
View
Help
Set DNS Lookup Restrictions
ポリシー評価中の DNS 参照を制限します。
Set Reverse DNS Lookup
Restrictions
ポリシー評価中の DNS 逆引き参照を制限し
ます。
Set Group Log Order
グループ情報のログへの記録順序を設定し
ます。
Edit Categories
コンテンツのフィルタリングカテゴリを編
集します。
Generated CPL
VPM により作成された CPL を表示します。
Current ProxySG VPM Policy Files
現在格納されているVPMのポリシーファイ
ルを表示します。
Object Occurrences
ユーザーが作成したオブジェクトを選択し
たルール内でリスト化します。リストは他の
ルールでも使用されます。
All Objects
最新の静的オブジェクトとユーザー定義の
VPM オブジェクトを表示するダイアログを
開きます。オブジェクトを作成、編集、
削除す
ることもできます。
「一元化したオブジェ
（ 162 ページ）
を参照し
クトの表示と管理」
てください。
Tool Tips
ツールチップ表示のオン / オフを切り替え
ます。
Help Topics
オンラインヘルプを表示します。
About
著作権情報とバージョン情報を表示します。
33
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: VPM の概要
ツールバー
VPM のツールバーには以下の機能があります。
S
このルー
[Add Rule]：表示されているポリシーレイヤに空白ルールを追加します。
ルの値はすべてデフォルトです。
S
[Delete Rule]：表示されているポリシーレイヤから選択したルールを削除します。
S
[Move Up]：ルールを表示されているポリシーレイヤ内の位置から 1 つ上に動か
します。
S
[Move Down]：ルールを表示されているポリシーレイヤ内の位置から 1 つ下に動
かします。
S
[Install Policy]：VPMで作成されたポリシーを Blue Coat Content Policy Language
それを ProxySG にインストールします。
(CPL) に変換し、
ポリシーレイヤタブ
[Policy] > [Add Layer] メニューで作成するポリシーレイヤはすべてタブとして表示
されます。
タブをクリックすると、
そのポリシーレイヤに含まれるルールがウィン
ドウ主要部の下方に表示されます。タブを右クリックすると、ポリシーレイヤの有
効 / 無効、名称変更、削除、
または [Layer Guard] 追加のオプションが表示されます。
図 3–2 ポリシーレイヤの名称変更や削除をするにはポリシータブを右クリック
VPM の各ポリシーレイヤについては、本章の後半で説明します。
ルールとオブジェクト
ポリシーレイヤには複数のルールを含めることができます。各ルールに番号が付
けられ、それぞれ別の行に表示されます。新しいルールを作成するには、[Add
新しいルールがリストの一番下に追加されます。
Rule] ボタンをクリックします。
1 つのポリシーレイヤ内に複数のルールが存在する場合、ProxySG は与えられた
条件に一致する最初のルールを見つけ、残りのルールは無視します。したがって、
ルールの順序が重要です。
各ルールはオブジェクトで構成されています。
そのオブジェクトは、設定するルー
ルの個々の要素です。
レイヤ内のルールの順序を示し、自動的に入力される No.
（番号）を除き、すべてのオブジェクトは構成可能です。
34
第 3 章 :Visual Policy Manager
セクション A: VPM の概要
オブジェクトの設定を指定または編集するには、
ルール内の該当するオブジェクト
のセルにマウスを置き、
右クリックしてドロップダウンメニューを表示させます。
図 3–3 ルールのセルを右クリックしてオブジェクトのプロパティを設定または編集
ポリシー内のルールの順序を変更するには、1 個または複数のルールを選択し、
（[Control]キーを押したまま）
複数
ツールバーの [Move] ボタンをクリックします。
の連続するルールを選択して、移動することができます。
図 3–4 複数の行を移動する
各オブジェクトタイプについては「ポリシーレイヤとルールオブジェクトのリ
ファレンス」
（ 43 ページ）で説明します。
Management Console とのコードの共有について
（保存済みの ProxySG の設定ではな
VPM は、
Management Console 内の現在の設定
い）
による各種リストの情報を共有しています。
VPM が起動すると、
Management
Console から ProxySG の状態を継承し、
Management Console との同期を維持し
ます。
この状態に、まだ適用されていない、
あるいは取り消されていない設定の変
更が含まれる場合があります。これには、CLI で行った変更は含まれません。
Management Console の [Apply] をクリックすると、設定が ProxySG に送られ、
Management Console と VPM は ProxySG と同期状態になります。
35
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: VPM の概要
たとえば、ProxySG には A と B の 2 つの ICAP 応答サービスがインストールされて
います。サービス B を削除しますが、[Apply] はクリックしません。次に、VPM を起
動して ICAP Response Services オブジェクトを表示させます。サービス A だけが
表示および選択可能です。
以下が生じると、VPM は Management Console の最新の変更を同期させます。
S
[Revert] をクリック。
S
[Apply] をクリック。
S
[Policy Install] をクリック。
S
Management Console を再起動します。
S
再度ログインします。
Management Console をログアウトし、
Management Console がインストール可能なリストから入手した情報は直ちに
VPMで利用可能です。
VPMがManagement Consoleから得るリストを以下に示し
ます。
S
アクセスログフィールド
S
認証文字セット
S
認証レルム
S
利得帯域幅クラス
S
カテゴリ
S
例外
S
転送ホスト
S
ICAP の要求・応答サービス
S
キーリング
S
SOCKS ゲートウェイ
VPM のコンポーネントについて
このセクションでは、特定のポリシーレイヤの種類とルールオブジェクトについ
て説明します。
ポリシーレイヤ
以下のレイヤがあります。
S
Administration Authentication：管理者による ProxySG へのアクセスの認証
方法を決定します。
S
Administration Access：ProxySG にアクセスして管理タスクを実行できる人物
を決定します。
S
36
DNS Access：ProxySG による DNS 要求の処理方法を決定します。
第 3 章 :Visual Policy Manager
セクション A: VPM の概要
S
SOCKS Authentication：SOCKSを介してプロキシにアクセスする場合の認証方
法を決定します。
S
インターセプトするかを
SSL Intercept：HTTPS トラフィックをトンネルするか、
決定します。
S
SSL Access：HTTPS トラフィックの許可 / 拒否動作を決定します。
S
Web Authentication：プロキシまたは Web にアクセスするユーザークライアント
に認証が必要かどうかを決定します。
S
適用する
Web Access：Web にアクセス可能および不能なクライアントを決定し、
制限を設定します。
S
Web Content：確認や ICAP のリダイレクトなどのキャッシュ動作を決定します。
S
Forwarding：転送するホストと転送方法を決定します。
S
CPL：Content Policy Language を VPM に直接書き込むことができます。
ポリシーレイヤを作成する際、同じタイプの様々なレイヤを作成するでしょう。
1 つのポリシー全体では、連携して 1 つのタスクを実行するように様々なタイプの
レイヤを必要とすることがよくあります。たとえば、
認証レイヤとアクセスレイ
ヤは通常一緒に使用されます。
ユーザーまたはクライアントに対して認証が必要
かどうかは認証レイヤが決定し、認証されると、
続いてアクセスレイヤが、その
ユーザーまたはクライアントが進める場所（アクセス可能な ProxySG または Web
サイト）を決定します。
各オブジェクトタイプについては「ポリシーレイヤとルールオブジェクトのリ
ファレンス」
（ 43 ページ）で説明します。
ルールオブジェクト
ポリシーレイヤにはルールオブジェクトが含まれています。その種類のポリシー
レイヤに使用できるオブジェクトだけが表示されます。オブジェクトには次の2つ
の種類があります。
S
静的オブジェクト：編集や削除のできない内蔵オブジェクト。
たとえば、
ユー
ザーが特定のWebサイトにアクセスするのを禁止するルールを書く場合、
選択す
る Action オブジェクトは [Deny] です。
静的オブジェクトはシステムの一部で、
常に表示されます。
S
設定可能なオブジェクト：設定可能なオブジェクトにはパラメータが必要です。
たとえば、
ユーザーが特定のWebサイトにアクセスするのを禁止する上述のルー
ルについて考えてみます。
この場合、
ユーザーは Source オブジェクトです。
この
オブジェクトは、
特定の IP アドレス、
ユーザー、
グループ、
ユーザーエージェント
（特定のブラウザなど）
等にすることができます。
いずれかを選択してから必要
な情報
（検証可能なユーザー名やグループ名など）
を入力します。
37
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: VPM の概要
設定可能なオブジェクトは、作成しない限り存在しません。作成されたオブ
ジェクトは、
すべての静的オブジェクトと共にリストダイアログに表示され、
他の適用可能なポリシーレイヤで再使用できます。
たとえば、様々なポリシー
レイヤの種類で IP アドレスを Source または Destination オブジェクトにする
ことができます。
重要 : ポリシーレイヤの順序とレイヤ内のルールの順序は重要です。
詳細
は、
「ポリシーレイヤ、ルール、
ファイルの相互作用」
（ 170 ページ）を参照し
てください。
個々のオブジェクトタイプのメニューにはオブジェクトタイプに固有のエントリ
が含まれる場合がありますが、基本的なメニューオプションは次のとおりです。
S
（Web Access Layer のActionカラムのみ）
クイックメニューアクセス。
ポ
[Allow]：
リシーの許可を設定します。
S
（Web Access Layer の Action カラムのみ）
クイックメニューアクセス。
ポ
[Deny]：
リシーの拒否を設定します。
S
ここでオブジェクトを選択したり新規
[Set]：[Set Object] ダイアログが表示され、
オブジェクトを作成したりします。
S
ここでオブジェクトを編集したり別のオ
[Edit]：[Edit Object] ダイアログが開き、
ブジェクトに変更したりします。
S
デフォルトに戻し
[Delete]：現在のルールから選択したオブジェクトを削除し、
ます。
S
ネゲートは、
ルール作成時やポリシー構造の設
[Negate]：否定語と定義されます。
計に柔軟性をもたらします。
次のことを明示した簡単な Web アクセスルールを
示します。
「JobSearch というオブジェクトに含まれる URL にアクセスしようと
するクライアントがあれば、
アクセスを許可します。
」
図 3–5 Web Access Layer の簡単なポリシールール
ポインタを [Destination] リストにドラッグし、右クリックしてドロップダウ
セル内のアイコンに、横に
ンリストを表示させ、[Negate] をクリックすると、
白いラインの入った赤い丸が現れます。
38
第 3 章 :Visual Policy Manager
セクション A: VPM の概要
図 3–6 ネゲーションを示すセル内の赤いアイコン
これで、[JobSearch] カテゴリのオブジェクトに含まれる URL を除くすべて
の URL の許可をルールで指定しました。
S
および[Paste] は一般的な貼り付け操作で、
次の制約を受けます。
す
[Cut]、
[Copy]、
なわち、
貼り付けできるのは同じ表の同じカラムから切り取るかコピーしたも
のだけで、
コピーおよび貼り付け機能は複数のレイヤにまたがっては作用しま
せん。
次表に各オブジェクトタイプの一般的機能を示します。
表 3–2 オブジェクトタイプの機能
オブジェクト
説明
Source
IP アドレス、ユーザー、グループなどの送信元属性を設定します。
Destination
URL、IP アドレス、ファイル拡張子などの送信先属性を設定します。
Service
プロトコル、プロトコルのメソッド、
IM ファイル転送の制限事項など
のサービス属性を設定します。
Time
日時の制約事項を設定します。
Action
ルールがマッチしたらするべきことを設定します。
Track
イベントログや電子メールトリガなどのトラッキング属性を設定し
ます。
Comment
オプション。ルールに関するコメントを入れることができます。
39
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: VPM の概要
ポリシーレイヤ / オブジェクトのマトリックス
次表に、
各ポリシーレイヤにどのオブジェクトタイプが使用できるかを示します。
.
表 3–3 使用できるオブジェクトタイプ
ポリシーレイヤ
Source Destination Service Time Action
Track Comment
Admin
Authentication
x
x
x
x
Admin Access
x
x
x
x
DNS Access
x
x
x
x
SOCKS
Authentication
x
x
x
x
SSL Intercept
x
x
x
x
x
SSL Access
x
x
x
x
x
Web
Authentication
x
x
x
x
x
Web Access
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
該当
なし
該当
なし
Web Content
Forwarding
CPL
x
該当
なし
x
該当なし
x
x
該当
なし
x
該当
なし
該当なし
Set Object ダイアログ
このセクションでは、設定用オブジェクトの選択に使用する [Set Object] ダイアロ
グについて説明します。
どのポリシーレイヤタイプにおいても、オブジェクトルールが特定のポリシー
ルールの条件を決定します。ポリシーレイヤのタイプによっては、オブジェクト
はユーザーまたはグループから IP アドレス、URL などへの送信対象とすることが
できます。
ルールを作成するには、オブジェクトセル内の 1 個のセルを右クリックします。対
応する [Set Object] ダイアログが表示されます。このダイアログでは、
必要に応じ
てルールのオブジェクトを選択したり、
新しいオブジェクトを作成したりします。
オブジェクトには、リスト内の様々なタイプを識別する上で視覚的に役立つタイ
プ別のアイコンがあります。
40
第 3 章 :Visual Policy Manager
セクション A: VPM の概要
図 3–7 選択可能なオブジェクトを含む [Set Source Object] ダイアログ
[Set Object] ダイアログでは、作成中のルールタイプの特定のオプションで使用で
きるオブジェクトのみを表示するか、またはそのようなオブジェクトを作成する
ことができます。しかし、複数の種類のポリシーレイヤで同じ種類のオブジェク
トを使用する場合（たとえば、
5 種類のうち 4 種類のポリシーで、IP アドレスがルー
ルのソースになることがある）
、ポリシーレイヤの種類にかかわらず、
どの [Set
Object] ダイアログにもそれらの既存オブジェクトが表示されます。
[Set Object] ウィンドウでのオブジェクトリストの制御
作成するポリシーの数が増えると、各種 [Set Object] ダイアログ内の既存オブジェ
クトのリストが拡大する可能性があります。オブジェクトフィールドの上の
[Show] ドロップダウンリストからオブジェクトタイプを選択すると、リストに
表示するオブジェクトを特定タイプに限定することができます。次の図は、上に表
示されたウィンドウで、リストが「Client IP Address」
に限定されたことを示して
います。
図 3–8 [Set Object] ダイアログへの表示を限定
41
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: VPM の概要
Add/Edit Object ダイアログ
[Set Object] ダイアログから、[Add Object] ダイアログを使って設定可能なオブ
ジェクトを定義します。
既存の設定可能なオプションは、[Edit Object] ダイアログ
を使って変更することができます。機能の点では、
これら 2 つのダイアログは同じ
です。
オブジェクトの初期設定を行うには、[Set Object] ダイアログで [New] をクリック
して [Add Object] ダイアログを表示します。オブジェクトの設定に必要なタスク
を実行し、[OK] をクリックします。新規に命名され設定されたオブジェクトは、
ルール用に
[Set Object] ダイアログの選択可能オブジェクトのリストに表示され、
選択できる状態になります。
既存オブジェクトを編集するには、
リストからオブジェクトを選択し、[Edit] をク
リックします。[Edit Object] ダイアログが、
既存のパラメータとともにディスプレ
イに表示されます。
必要に応じて編集し、[OK] をクリックします。
既存のオブジェクトを削除するには、リストからオブジェクトを選択し、[Remove]
をクリックします。
セカンダリプロンプトが、
オブジェクトを削除しようとする意
図を確認します。
オブジェクトが削除されます。
[OK] をクリックします。
オンラインヘルプ
。
VPM には独自のヘルプモジュールが内蔵されています（本章のポーティング）
VPM内のどのオブジェクトにも、ヘルプファイル内の対応するオブジェクトのリ
ファレンスにリンクする[Help]ボタンが備わっています。このリファレンスは、オ
ブジェクトの目的について説明するものです。
関連があれば、他のポリシーとの相
互作用や Blue Coat ProxySG 設定管理ガイドスイート内の機能関連のセクショ
ンへのリファレンスが提供されます。また、ヘルプモジュールには、ナビゲーショ
ンボタンとヘルプの目次も備えられています。
注意 : オンラインヘルプファイルが別ウィンドウに表示され、
数秒間で正しいオ
ブジェクトをロードし、
そこにスクロールすることができます。
このわずかなラ
グタイムは、
システム速度の影響を受ける可能性があります。
さらに、v1.5 以上の
JRE を実行する低速のマシンでは、このラグタイムが長くなります。
42
第 3 章 :Visual Policy Manager
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
このセクションでは、次のトピックについて説明します。
S
「リファレンステーブルについて」
：本セクションで使用される表の表記規則に
ついて説明します。
S
「管理者認証ポリシーレイヤリファレンス」
：このポリシーレイヤで使用できる
オブジェクトについて説明します。
S
「管理者アクセスポリシーレイヤリファレンス」
：このポリシーレイヤで使用で
きるオブジェクトについて説明します。
S
「DNSアクセスポリシーレイヤリファレンス」
：このポリシーレイヤで使用でき
るオブジェクトについて説明します。
S
「SOCKS認証ポリシーレイヤリファレンス」
：このポリシーレイヤで使用できる
オブジェクトについて説明します。
S
「SSL インターセプトレイヤリファレンス」
：このポリシーレイヤで使用できる
オブジェクトについて説明します。
S
「SSL アクセスレイヤリファレンス」
：このポリシーレイヤで使用できるオブ
ジェクトについて説明します。
S
「Web 認証ポリシーレイヤリファレンス」
：このポリシーレイヤで使用できるオ
ブジェクトについて説明します。
S
「Web アクセスポリシーレイヤリファレンス」
：このポリシーレイヤで使用でき
るオブジェクトについて説明します。
S
「Web コンテンツポリシーレイヤリファレンス」
：このポリシーレイヤで使用で
きるオブジェクトについて説明します。
S
「転送ポリシーレイヤリファレンス」
：このポリシーレイヤで使用できるオブ
ジェクトについて説明します。
リファレンステーブルについて
このセクションの表には、各ポリシーレイヤに使用できる静的オブジェクトと設
定可能なオブジェクトが表示されています。
注意 : このドキュメントをPDFとして表示した場合、
オブジェクト名をクリックす
ると、そのオブジェクトの説明箇所にジャンプすることができます（オブジェク
トについてはすべてセクションCで説明）
。特定のポリシーレイヤのリファレンス
に戻るには、
次のセクションに示すいずれかのオブジェクトのリファレンステー
ブルのポリシーレイヤ名をクリックします。
43
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
管理者認証ポリシーレイヤリファレンス
次表に、管理者認証ポリシーレイヤで使用できるオブジェクトを示します。
Source オブジェクト
Action オブジェクト
Track オブジェクト
Client IP Address/Subnet
Do Not Authenticate
Trace
Client Hostname
Deny
Proxy IP Address/Port
Authenticate
Combined Objects
Force Authenticate
管理者アクセスポリシーレイヤリファレンス
次表に、管理者アクセスポリシーレイヤで使用できるオブジェクトを示します。
Source オブジェクト
Service
Action オブジェクト
オブジェクト
Client IP Address/
Subnet
44
クト
Allow Read-Only
Access
Event Log
Client Hostname
Allow Read-Write
Access
Email
Proxy IP Address/Port
Deny
SNMP
User
Log Out/Do Not Log Out
Other Users With Same
IP
Trace
Group
Log Out/Do Not Log Out
User
Combined
Objects
Attribute
Log Out/Do Not Log Out
User’s Other Sessions
LDAP Attribute
Force Deny
User Login Address
Set Authorization
Refresh Time
User Login Time
Set Credential Refresh
Time
User Login Count
Set Surrogate Refresh
Time
Client Address Login
Count
Combined Objects
Combined Objects
Service Name
Track オブジェ
第 3 章 :Visual Policy Manager
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
DNS アクセスポリシーレイヤリファレンス
次表に、DNS アクセスポリシーレイヤで使用できるオブジェクトを示します。
Source オブジェ
Destination
Time オブジェ
Action オブジェ
Track オブ
クト
オブジェクト
クト
クト
ジェクト
Client IP Address/
Subnet
DNS Response
Contains No Data
Time
Bypass DNS
Cache
Event Log
Proxy IP Address/
Port
DNS Response IP
Address/Subnet
Combined
Objects
Do Not Bypass
DNS Cache
Email
DNS Request
Name
RDNS Response
Host
Allow DNS From
Upstream Server
SNMP
RDNS Request IP
Address/Subnet
DNS Response
CNAME
Serve DNS Only
From Cache
Trace
DNS Request
Opcode
DNS Response
Code
Enable/Disable
DNS Imputing
Combined
Objects
DNS Request
Class
Category
Send DNS/
RDNS Response
Code
DNS Request
Type
Server Connection
DSCP Trigger
Send DNS
Response
DNS Client
Transport
Combined Objects
Send Reverse
DNS Response
Client Connection
DSCP Trigger
Reflect IP
Combined
Objects
Manage
Bandwidth
Set Client
Connection
DSCP Value
Set Server
Connection
DSCP Value
Combined
Objects
SOCKS 認証ポリシーレイヤリファレンス
次表に、SOCKS 認証ポリシーレイヤで使用できるオブジェクトを示します。
45
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブジェクト
Action オブジェクト
Trackオブジェクト
Client IP Address/Subnet
Do Not Authenticate
Trace
Client Hostname
Authenticate
Proxy IP Address/Port
Force Authenticate
SOCKS Version
Combined Objects
SSL インターセプトレイヤリファレンス
次表に、
SSLインターセプトポリシーレイヤで使用できるオブジェクトを示します。
Source オブジェクト
Destination オブ
Action オブジェ
Track オブジェ
ジェクト
クト
クト
Attribute
Destination IP
Address/Subnet
Do not Preserve
Untrusted Issuer
Event Log
Authenticated User
Destination Host/Port
Preserve Untrusted
Issuer
Email
Client Address Login
Count
Request URL
Use Default Setting
for Preserve
Untrusted Issuer
SNMP
Client Hostname
Request URL
Category
Enable HTTPS
Interception
Trace
Client Hostname
Unavailable
Server URL
Enable HTTPS
Interception on
Exception
Combined Objects
Client IP Address/Subnet
Server Certificate
Combined Objects
Group
Server Certificate
Category
Guest User
Combined Objects
LDAP Attribute
Proxy IP Address/Port
User
User Authentication
Error
User Authorization Error
User Login Address
46
第 3 章 :Visual Policy Manager
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブジェクト
Destination オブ
Action オブジェ
Track オブジェ
ジェクト
クト
クト
User Login Count
User Login Time
Combined Objects
SSL アクセスレイヤリファレンス
次表に、SSL アクセスポリシーレイヤで使用できるオブジェクトを示します。
Source オブジェ
Destination
Service
Action オブジェ
Track オブ
クト
オブジェクト
オブジェクト
クト
ジェクト
Authenticated
User
Destination IP
Address/Subnet
Request
Forwarded
Allow
Event Log
Client Hostname
Unavailable
Destination Host/
Port
Client Protocol
Deny （静的）
Email
Guest User
Request URL
SSL Proxy
Mode
Require/Do Not
Require Client
Certificate
SNMP
Client IP Address/
Subnet
Request URL
Category
Health Check
Force Deny
Trace
Client Hostname
Server URL
Combined
Objects
Force Deny
(Content Filter)
Combined
Objects
Proxy IP Address/
Port
Server Certificate
Deny
User
Server Certificate
Category
Return Exception
Group
Server Certificate
Set Client
Certificate
Validation
Attribute
Server Certificate
Category
Set Server
Certificate
Validation
LDAP Attribute
Server Negotiated
Cipher
Set Client Keyring
User Login
Address
Server Negotiated
Cipher Strength
Combined Objects
User
Authentication
Error
Server Negotiated
SSL Version
47
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブジェ
Destination
Service
Action オブジェ
Track オブ
クト
オブジェクト
オブジェクト
クト
ジェクト
User
Authorization
Error
Combined
Objects
Client Certificate
Client Negotiated
Cipher
Client Negotiated
Cipher Strength
Client Negotiated
SSL Version
Combined
Objects
Web 認証ポリシーレイヤリファレンス
次表に、Web 認証ポリシーレイヤで使用できるオブジェクトを示します。
Source オブジェクト
Destination オブ
Action オブ
Track オブ
ジェクト
ジェクト
ジェクト
Client Hostname
Unavailable
Destination IP
Address/Subnet
Deny
Trace
Client IP Address/
Subnet
Destination Host/
Port
Do Not Authenticate
Client Hostname
Request URL
Do Not Authenticate
(Forward
Credentials)
Proxy IP Address/Port
Request URL
Category
Do Not Send
Credentials
Upstream
User Agent
Do Not Use
Kerberos
Constrained
Delegation
Request Header
Authenticate
Combined Objects
Combined Objects
Authenticate Guest
Add Default Group
Force Authenticate
48
第 3 章 :Visual Policy Manager
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブジェクト
Destination オブ
ジェクト
Action オブ
ジェクト
Track オブ
ジェクト
Authentication
Charset
Set IP Address For
Authentication
Permit
Authentication Error
Permit Authorization
Error
Kerberos
Constrained
Delegation
Send Credentials
Upstream
Combined Objects
Web アクセスポリシーレイヤリファレンス
次表に、Web アクセスポリシーレイヤで使用できるオブジェクトを示します。
Web アクセスポリシーレイヤは、概要から詳細レベルまで、特定の Web ロケー
ションや Web コンテンツにアクセス可能な人または物を規定します。
S
ユーザー、
グループ、
個々の IP アドレス、
サブネット、
ならびにそれらの組み合わ
せからなるオブジェクトリストには、
ルールが適用されます。
S
ルールは、
特定のWebサイト、
あらゆるWebサイトの特定のコンテンツ、
個々のIP
アドレス、
およびサブネットへのアクセスを制御可能です。
S
実行する処理は、
アクセスの許可や拒否から変更や制限の非常に細かい調整に
まで及びます。
S
また、
ルールには日時の設定やプロトコル、
ファイルタイプ、
エージェントの区
切りも指定可能です。
49
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブ
Destination
Service
Time オブ
Action オブ
Track
ジェクト
オブジェクト
オブジェクト
ジェクト
ジェクト
オブジェ
クト
Streaming Client
Destination IP
Address/Subnet
Using HTTP
Transparent
Authentication
Time
Allow、
Event Log
Client Hostname
Unavailable
Destination Host/
Port
Virus Detected
Combined
Objects
Guest User
Request URL
Client Protocol
Force Deny
Service Name
Bypass Cache
Disable FastCaching in
Windows
Media Client/
Do not Disable
Fast-Caching
in Windows
Media Client
Deny
Email
Request URL
Application
Request URL
Operation
IM User Agent
Unsupported
Authenticated
User
Request URL
Category
SNMP
Request URL
Application
Request URL
Operation
Client IP
Address/Subnet
File Extensions
Protocol
Methods
Do Not Bypass
Cache
Client Hostname
HTTP MIME Types
IM File Transfer
Check/Do Not
Check
Authorization
Trace
Proxy IP
Address/Port
Apparent Data
Type
IM Message
Text
Always Verify
Combined
Objects
User
Response Code
IM Message
Reflection
Use Default
Verification
Group
Response Header
Streaming
Content Type
Block/Do Not
Block PopUp
Ads
Attribute
Response Data
ICAP Error
Code
Force/Do Not
Force IWA for
Server Auth
50
第 3 章 :Visual Policy Manager
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブ
Destination
Service
ジェクト
オブジェクト
オブジェクト
LDAP Attribute
IM Buddy
Health Status
Log Out/Do
Not Log Out
Other Users
With Same IP
User Login
Address
IM Chat Room
Combined
Objects
Log Out/Do
Not Log Out
User
User Login Time
Server Connection
DSCP Trigger
Time オブ
ジェクト
Action オブ
ジェクト
Reflect/Do Not
Reflect IM
Messages
Client Address
Login Count
Tunnel/Do Not
Tunnel IM
Traffic
Combined Objects
オブジェ
クト
Log Out/Do
Not Log Out
User’s Other
Sessions
User Login
Count
User
Authentication
Error
Track
Block/Do Not
Block IM
Encryption
User
Authorization
Error
Support/Do
Not Support
Persistent
Client
Requests
User Agent
Support/Do Not
Support
Persistent
Server
Requests
IM User Agent
Trust/Do Not
Trust
Destination IP
Request Header
Deny
SOCKS Version
Return
Exception
IM User
Return
Redirect
P2P Client
Send IM Alert
51
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブ
Destination
Service
Time オブ
Action オブ
Track
ジェクト
オブジェクト
オブジェクト
ジェクト
ジェクト
オブジェ
クト
Client Negotiated
Cipher
Modify Access
Logging
Client Negotiated
Cipher Strength
Override
Access Log
Field
Client
Connection
DSCP Trigger
Rewrite Host
Combined
Objects
Reflect IP
P2P Client
Suppress
Header
Client Negotiated
Cipher
Control
Request
Header/Control
Response
Header
Client Negotiated
Cipher Strength
Notify User
Client
Connection
DSCP Trigger
Strip Active
Content
Combined
Objects
Set Client
HTTP
Compression
Set Server
HTTP
Compression
Manage
Bandwidth
Modify IM
Message
Return ICAP
Feedback
Set External
Filter Service
Set ICAP
Request
Service
52
第 3 章 :Visual Policy Manager
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source オブ
Destination
Service
ジェクト
オブジェクト
オブジェクト
Time オブ
ジェクト
Action オブ
ジェクト
Track
オブジェ
クト
Set FTP
Connection
Set SOCKS
Acceleration
Disable SSL
Detection
Set Streaming
Max Bitrate
Set Client
Connection
DSCP Value
Set Server
Connection
DSCP Value
Set ADN
Connection
DSCP
Set
Authorization
Refresh Time
Set Credential
Refresh Time
Set Surrogate
Refresh Time
Set Server
URL DNS
Lookup
Combined
Objects
Web コンテンツポリシーレイヤリファレンス
次表に、Web コンテンツポリシーレイヤで使用できるオブジェクトを示します。
ユーザーID に関係のない要求に適用されます。
Web コンテンツポリシーレイヤは、
コンテンツスキャン用のポリシーレイヤは、ウイルスや他の有害なコードがない
か、要求された URL とファイルタイプをスキャンします。
このポリシータイプを
使用するために、ProxySG アプライアンスには ICAP サービスがインストール済
みです。
53
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Destination オブジェクト
Action オブジェクト
Track オブジェクト
Destination IP Address/Subnet
Check/Do Not Check
Authorization
Event Log
Destination Host/Port
Always Verify
Email
Request URL
Use Default Verification
SNMP
Request URL Category
Use Default Caching
Trace
File Extensions
Do Not Cache
Combined Objects
Flash Application Name
Set Force Cache Reasons
Flash Stream Name
Mark/Do Not Mark As
Advertisement
Response Header
Support/Do Not Support
Persistent Server Requests
Response Data
Enable/Disable Pipelining
Server Connection DSCP
Trigger
Set Dynamic Categorization
Combined Objects
Set External Filter Service
Set Client HTTP Compression
Set Server HTTP Compression
Manage Bandwidth
Set ICAP Request Service
Set ICAP Response Service
Set TTL
Set Malware Scanning
Modify Access Logging
Override Access Log Field
54
第 3 章 :Visual Policy Manager
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
転送ポリシーレイヤリファレンス
次表に、転送ポリシーレイヤで使用できるオブジェクトを示します。
Source
Destination
Service
オブジェクト
オブジェクト
オブジェクト
Streaming Client
Destination IP
Address/Subnet
Client Protocol
Send Direct
Authenticated
User
Destination Host/
Port
Health Check
Integrate/Do Not
Integrate New Hosts
Guest User
Server URL
Health Status
Connect Using ADN
When Possible/Do
Not Connect Using
ADN
Client IP Address/
Subnet
Server
Connection DSCP
Trigger
Combined
Objects
Allow Content From
Origin Server
Client Hostname
Combined
Objects
Action オブジェクト
Track
オブジェ
クト
Trace
Serve Content Only
From Cache
Proxy IP Address/
Port
Select SOCKS
Gateway
User
Select Forwarding
Group
Reflect IP
Attribute
Manage Bandwidth
LDAP Attribute
ADN Server
Optimization
User Login
Address
Set IM Transport
User Login Time
Set Streaming
Transport
User Login Count
Set ADN Connection
DSCP
Client Address
Login Count
Set Server
Connection DSCP
Value
User
Authentication
Error
Combined Objects
User
Authorization
Error
55
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: ポリシーレイヤとルールオブジェクトのリファレンス
Source
Destination
Service
オブジェクト
オブジェクト
オブジェクト
Action オブジェクト
Track
オブジェ
クト
SOCKS Version
P2P Client
Client Connection
DSCP Trigger
Combined
Objects
CPL Layer
このレイヤはオブジェクトを使用しませんが、
これによりCPUをVPMに直接書き
込むことができます。
詳細は、
セクション F:「VPM で直接 CPL を作成する」
（ 201
ページ）を参照してください。
56
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
このセクションでは、次のトピックについて説明します。
S
「Source カラムオブジェクトリファレンス」
（ 57 ページ）
S
「Destination カラムオブジェクトリファレンス」
（ 75 ページ）
S
「Service カラムオブジェクトリファレンス」
（ 90 ページ）
S
「Time カラムオブジェクトリファレンス」
（ 99 ページ）
S
「Action カラムオブジェクトリファレンス」
（ 101 ページ）
S
「Track オブジェクトカラムリファレンス」
（ 156 ページ）
S
「Comment オブジェクトリファレンス」
（ 159 ページ）
S
「Combined Objects の使用」
（ 160 ページ）
S
「カテゴリの作成」
（ 165 ページ）
Source カラムオブジェクトリファレンス
Source オブジェクトは、ポリシーが評価する通信または Web トランザクションの
起点を指定します。
どのポリシーレイヤにも同じ Source オブジェクトが含まれる
とは限りません。
重要 : 作成する CPL に要求される文字制限のため、
Source オブジェクト名の定義
に使用できる文字は、英数字、下線、
ダッシュ、アンパサンド、ピリオド、フォワー
ドスラッシュだけです。
Any
すべての送信元に適用されます。
Streaming Client
これは静的オブジェクトです。このルールはストリーミングクライアントからの
全要求に適用されます。
Client Hostname Unavailable
これは静的オブジェクトです。このルールは、
DNS 逆引きクエリによりクライア
ント IP アドレスを参照できない場合に適用されまｓ。
Authenticated User
これは静的オブジェクトです。
このルールはすべての認証済みユーザーに適用さ
れます。
57
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Guest User
これは静的オブジェクトです。このルールはすべてのゲストユーザーに適用され
ます。
IM User Agent Unsupported
これは静的オブジェクトです。
このルールは、SGOS の今回のリリースではまだサ
ポートされていない Windows Live Messenger (WLM) と Yahoo IM クライアントの
すべてに適用されます。オブジェクトの対象をサポート済みクライアントに変更
するには、オブジェクトを追加し、それを右クリックして [Negate] を選択します。
Client IP Address/Subnet
クライアントアドレス（IPv4 または IPv6）、またオプションで、サブネットマスク
（IPｖ4）またはプレフィックス長（IPｖ6）
を設定します。このルールで定義される
ポリシーは、
このサブネット上のこのアドレスのみに適用されます。このオブジェ
クトには、
プレフィックスの [Client] を使って名前が自動的に付けられます。たと
えば、
Client:1.2.0.0/255.255.0.0 のようになります。
注意 : この Source オブジェクトの関連情報については、
「Combined Source Object」
（ 73 ページ）を参照してください。
Client Hostname
クライアント IP アドレスの逆引き参照で解決される DNS 逆引きホスト名を設定
します。ホスト名を入力し、マッチング条件を選択します。このオブジェクトには、
プレフィックスの[Client]を使って自動的に名前が付けられます。たとえば、Client:
マッチング修飾子を選択した場合は、その属性が丸括
host.com のようになります。
弧に入ってオブジェクト名に追加されます。たとえば、Client: host.com (RegEx) の
ようになります。
Proxy IP Address/Port
IPv4 または IPv6 アドレスを設定し、オプションで ProxySG のポートを設定しま
す。このルールで定義されるポリシーは、このサブネット上のこのアドレスのみに
適用されます。
User
個々のユーザーを検証可能なユーザー名またはログイン名の形で設定します。
ユーザー名と認証レルムを入力します。
すると、設定した認証レルムの種類に応じ
て、ダイアログが別の情報を表示します。
ドロップダウンリストから適切なレル
ムを選択します。リストの項目は、ProxySG の管理者が設定したレルムから得られ
ます。
58
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
LDAP
オプションで、ドロップダウンリストから [User Base DN] を選択することができ
ます。[User Base DN] リストのエントリは、ProxySG の管理者が設定したエントリ
を基にしています。
このリストで選択したエントリを編集する、
新規エントリを入
力する、[Browse] をクリックして名前を手動で選択する、のいずれも可能です。編
集された名前と新規の名前はリストに保持されます。
[Full Name] フィールドで、
ProxySG の管理者が設定したユーザー属性タイプ（次の図の cn= ）を VPM が利用
し、ここで入力したユーザー名およびベース DN と結合していることに注意して
ください。
重要 : レルムを設定すると、
ProxySG はデフォルトのプライマリユーザー属性
（Active Directory の SAMAccountName 、
Netscape/iPlanet Directory Server/SunOne
の uid、
であると見なします。このデフォルトは承認すること
Novell NDS の cn）
も変更することも可能です。BaseDN が選択されると、何が入力されても、
VPM
はそれを利用して Full Name 表示フィールドに入力します。
ProxySG で設定されたプライマリユーザー属性がディレクトリサーバで設定さ
れたプライマリユーザー属性と異なる場合は、[User] フィールドに後者の適切な
値を入力します（attribute=value の形式で）。
これにより、[Full Name] フィールド内
のエントリが置き換えられます。
次の画面を調べてみます。組織が LDAP ディレク
トリでプライマリ属性として phone を使用すると仮定します。
[User Base DN]
を選択したら、
[User] フィールド
にユーザー属性と
等号を入力するだ
けです。
59
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
IWA
このリストのエントリは自動入力されません。
[Domain Name] フィールドに名前
を入力してください。入力された名前は保持され、
後で選択したり編集することが
できます。[Full Name] フィールドで、
VPM が上で入力したドメイン名とユーザー
名を表示していることに注意してください。
RADIUS
このリストのエントリは自動入力されません。
[User] フィールドに名前を入力し
てください。入力された名前は保持され、後で選択したり編集することができま
す。[Full Name] フィールドで、VPM が上で入力したドメイン名とユーザー名を表
示していることに注意してください。
Windows SSO
このリストのエントリは自動入力されません。
[User] フィールドに名前を入力して
ください。
リストのエントリは、
[Domain Name]
ProxySG の管理者が設定したエント
リを基にしています。
このリストで選択したエントリを編集する、
新規エントリを
入力する、[Browse] をクリックして名前を手動で選択する、のいずれも可能です。
60
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Local
このリストのエントリは自動入力されません。
[User] フィールドに名前を入力し
てください。入力された名前は保持され、後で選択したり編集することができま
す。[Full Name] フィールドで、VPM が上で入力したドメイン名とユーザー名を表
示していることに注意してください。
Certificate
証明書レルムを選択し、このレルムが LDAP レルムを認証レルムとして使用する
場合は、[Browse] ボタンをクリック可能です。このオプションにより、LDAP の
データベースをブラウズしてユーザーを選択できるため、フィールドに名前を手
で入力した場合に起こり得る入力ミスを防ぐことができます。証明書レルムが
LDAP の認証レルムを使用しない場合、[Browse] は表示されません。
Netegrity SiteMinder
このリストのエントリは自動入力されません。
[User] フィールドに名前を入力し
てください。入力された名前は保持され、後で選択したり編集することができま
す。[Full Name] フィールドで、VPM が上で入力したドメイン名とユーザー名を表
示していることに注意してください。
Oracle COREid
このリストのエントリは自動入力されません。
[User] フィールドに名前を入力し
てください。入力された名前は保持され、後で選択したり編集することができま
す。[Full Name] フィールドで、VPM が上で入力したドメイン名とユーザー名を表
示していることに注意してください。
Policy Substitution
このリストのエントリは自動入力されません。
[User] フィールドに名前を入力し
てください。入力された名前は保持され、後で選択したり編集することができま
す。[Full Name] フィールドで、VPM が上で入力したドメイン名とユーザー名を表
示していることに注意してください。
Sequences
このリストのエントリは自動入力されません。
[User] フィールドに名前を入力し
てください。入力された名前は保持され、後で選択したり編集することができま
す。[Full Name] フィールドで、VPM が上で入力したドメイン名とユーザー名を表
示していることに注意してください。[Member Realm] ドロップダウンリストか
ら、認証レルム（ProxySG で既に設定済み）を選択します。レルムの種類に応じて、
新しいフィールドが表示されます。
61
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Group
検証可能なグループ名を設定します。ユーザーグループと認証レルムを入力しま
す。すると、設定した認証レルムの種類に応じて、ダイアログが別の情報を表示し
ます。
S
[Group] フィールド：デフォルトを検証可能なグループ名で置き換えます。
S
[Authentication Realm] フィールド：ドロップダウンリストから適切なレルムを選
択します。
リストの項目は、
ProxySGの管理者が設定したレルムから得られます。
•
[LDAP] — [Group Base DN]リストのエントリは、ProxySG の管理者が設定し
たエントリを基にしています。
リスト内で選択したエントリを編集したり、
新規エントリを入力することもできます。
編集された名前と新規の名前は
リストに保持されます。[Full Name] フィールドで、ProxySG の管理者が設
をVPMが利用し、ここで入力し
定したユーザー属性タイプ
（次の図の cn= ）
たグループ名およびベース DN と結合していることに注意してください。
重要 : グループの作成時、
デフォルトの属性は [Full Name] 表示フィールド内
の cn= です。
図 3–9 グループオブジェクトを追加
ProxySG で設定されたプライマリユーザー属性がディレクトリサーバー
で設定されたプライマリユーザー属性と異なる場合は、
後者をここで入力
する必要があります。
それを実行するには、
[Group] フィールドに適切な値を
（[attribute=value] の形式で）入力します。それにより、[Full Name] フィール
ド内のエントリが置き換えられます。
（直前で説明した）ユーザー作成時の
同様の状況と異なり、
グループの作成時、[Group Base DN] を選択して
[Group] フィールドに attribute=value ペアを入力する必要はありません。
62
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
•
[Domain Name] フィール
IWA：このリストのエントリは自動入力されません。
ドに名前を入力してください。入力された名前は保持され、
後で選択した
り編集することができます。
[Full Name] フィールドで、
VPM が上で入力し
たドメイン名とグループ名を表示していることに注意してください。
•
[Group] フィールド
RADIUS：このリストのエントリは自動入力されません。
に名前を入力してください。
•
[Group] フィー
Windows SSO：このリストのエントリは自動入力されません。
ルドに名前を入力してください。
•
[Group] フィールドに
Local：このリストのエントリは自動入力されません。
名前を入力してください。入力された名前は保持され、後で選択したり編
集することができます。
[Full Name] フィールドで、
VPM が上で入力したグ
ループ名を表示していることに注意してください。
•
このレルムが LDAP レルムを認証レル
Certificate：証明書レルムを選択し、
ムとして使用する場合は、[Browse] ボタンをクリックできます。このオプ
ションにより、LDAP のデータベースをブラウズしてユーザーを選択でき
るため、
フィールドに名前を手で入力した場合に起こり得る入力ミスを防
ぐことができます。
[Certificate] レルムが LDAP の認証レルムを使用しない
場合、
[Browse] は表示されません。
•
Netegrity SiteMinder：このリストのエントリは自動入力されません。
[Group] フィールドに名前を入力してください。入力された名前は保持
され、
後で選択したり編集することができます。[Full Name] フィールド
で、VPM が上で入力したグループ名を表示していることに注意してく
ださい。
•
[Group]
Oracle COREid：このリストのエントリは自動入力されません。
フィールドに名前を入力してください。
入力された名前は保持され、後
で選択したり編集することができます。[Full Name] フィールドで、
VPM が上で入力したグループ名を表示していることに注意してくだ
さい。
•
[Group]
Policy Substitution：このリストのエントリは自動入力されません。
フィールドに名前を入力してください。
入力された名前は保持され、後
で選択したり編集することができます。[Full Name] フィールドで、
VPM が上で入力したグループ名を表示していることに注意してくだ
さい。
•
[Group]
Sequences：このリストのエントリは自動入力されません。
フィールドに名前を入力してください。
入力された名前は保持され、後
で選択したり編集することができます。[Full Name] フィールドで、
VPM が上で入力したドメイン名とユーザー名を表示していることに
注意してください。[Member Realm] ドロップダウンリストから、
認証
レルム（ProxySG で既に設定済み）を選択します。
レルムの種類に応じ
て、新しいフィールドが表示されます。
63
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Attribute
LDAP または Radius レルムに固有の属性を設定します。
LDAP
（およびオプション値）
を設定します。
LDAP に固有の属性
LDAP の属性を次のように設定します。
1
2
3
4
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. [Authentication Realm] ドロップダウンリストから [All LDAP] または特定のレ
ルムを選択します。
有効な LDAP 属性を入力します。
3. [Attribute Name] フィールドで、
4. 次のいずれかの手順を実行します。
•
属性名が入っているときは、
[Attribute Exists] オプションを選択してポリシー
のマッチングを設定します。
または
•
[Attribute Value Match] > [Value] フィールドに、特定の LDAP 属性を示す値
を入力するか、いずれの値も受け入れるように空白のままにします。
（[CN]）属性を
上の例では、値に [peter.gibbons] を入れて [LDAP1] レルムに共通名
設定しています。
RADIUS
RADIUS 属性を設定します。
64
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
RADIUS 属性を設定するには、次の手順を実行します。
1a
1b
1c
1d
1. オブジェクトの属性を次のように設定します。
a. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデ
フォルトを承認します。
b. [All RADIUS] または特定のレルムを選択します。
c. [Attribute Name] を選択します。
d. [Attribute Name] に対応する [Attribute Value] を入力します。
2. [OK] をクリックします。
LDAP Attribute
「ldap.attribute」ベー
LDAP 属性オブジェクトを使用すると、ポリシー作成者は
スのポリシーを作成することができます。ldap.attribute トリガ構文はローカル
属性の比較を有効にします。
LDAP 属性オブジェクトを作成するには、次の手順を実行します。
1
2
3
4
65
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. [Authentication Realm] ドロップダウンリストから、特定の LDAP レルムまた
は [<ALL>] を選択します。このフィールドのデフォルト設定は [<ALL>] です。
有効な属性を入力します。
3. [Attribute Name] フィールドで、
4. トリガの種類を選択します。
•
[Attribute exists] を選択すると、トリガにより属性がユーザーのエントリ
内に存在するかどうかをチェックします。
•
値を入力して属性名に照らした
[Attribute value match] を選択した場合は、
チェックを行います。
値マッチ条件のドロップダウンメニューには、
以下
のストリングテスト方法が含まれています。[Exact match]、[Contains]、
[At
[At End]、および [RegEx]。
Beginning]、
User Login Address
この条件は、
ログインに使用される IPv4 または IPv6 のアドレスにマッチします。
Windows Single Sign-On (SSO) の要求パラメータとして使用します。
User Login Time
この条件は、
現在のログインが開始されてからの秒数にマッチし、
ログインセッ
ションの長さを制限することができます。
User Login Count
この条件は、
現在のレルムで特定のユーザーがログインした回数をマッチします。
この条件では、ユーザーが1つのワークステーションだけでログインするようにし
ます。この条件を
「 user.login.log_out_other 」プロパティと組み合わせると、他
のワークステーションでの以前のログインは自動的にログアウトされます。
Client Address Login Count
この条件は、現在の IP アドレスにログインする別々のユーザーの数にマッチする
もので、この数を制限することができます。
User Authentication Error
設定されたユーザー認証エラーにマッチするものがあるかチェックします。
66
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
User Authentication Error オブジェクトを設定するには、
1
2
3a
1. ( オプション ) [Name] フィールドに、有効な名前を入力（またはデフォルトを
承認）
します。
2. 次のうち 1 つを選択します。
•
[No errors]：認証しようとしたところ、ユーザーエラーは発生しなかった。
•
[Any errors]：認証しようとしたところ、ユーザーエラーが発生した。
•
[Selected errors]：認証しようとしたところ、選択されたエラーの1つが発生
した。これを選択すると、[Show] ドロップダウンリストと選択したエラー
領域が有効になります。
3. [Selected errors] を選択した場合：
a. [Show] ドロップダウンリストのエラービューを設定し直します。
b. 1 つ以上のエラータイプを選択します。グループをクリックすると、リ
ストが拡大します。グループレベルのエラーを選択すると、
そのグ
ループのエラーもすべてデフォルトで選択されます。
4. [OK] をクリックします。
67
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
注意 : 認証に失敗し、
ポリシーを介して追加されたデフォルトグループがなかっ
た場合
（「Guest Authentication」
および「Default Groups」参照）
、グループ条件は常
にエラーと評価されます。
認証エラーを許可する場合、特にユーザーがグループ
メンバーシップを基に拒否されるシナリオでは、グループ条件を検証します。
User Authorization Error
設定されたユーザー認可エラーにマッチするものがあるかチェックします。
User Authorization Error オブジェクトを設定するには、
1. 次のうち 1 つを選択します。
•
[None]：認可しようとしたところ、ユーザーエラーは発生しなかった。
•
[Any]：認可しようとしたところ、ユーザーエラーが発生した。
•
[Selected errors]：認可しようとしたところ、選択されたエラーの1つが発生
した。
2. [Selected errors] を選択した場合：
a. 1 つまたは複数のエラータイプを選択します（[Control]+ 左クリック
（複数のエラーをハイライト表示）を使用）。
エラーを [Selected] フィールドに移動させます。
b. [Add] をクリックして、
デフォルト名を承認します。
c. オブジェクトに名前を付けるか、
3. [OK] をクリックします。
注意 : 認可に失敗し、
ポリシーを介して追加されたデフォルトグループがなかっ
た場合、グループ条件は常にエラーと評価されます。認可エラーを許可する場合、
特にユーザーがグループメンバーシップを基に拒否されるシナリオでは、グルー
プ条件を検証します。
DNS Request Name
ホスト名を入力し、マッチング条件を選択します。このオ
DNS 要求を設定します。
ブジェクトには、プレフィックスの [DNS] を使って自動的に名前が付けられます。
たとえば、DNS: host.com のようになります。マッチング修飾子を選択した場合は、
その属性が丸括弧に入ってオブジェクト名に追加されます。
たとえば、DNS:
となります。
host.com (RegEx)
RDNS Request IP Address/Subnet
またオプションで、
サブネットマスク
DNS 逆引きアドレス (IPv4 または IPv6) 、
(IPv4) またはプレフィックス長 (IPv6) を設定します。このルールで定義されるポ
リシーは、このサブネット上のこのアドレスのみに適用されます。このオブジェク
トには、プレフィックスの [RDNS] を使って自動的に名前が付けられます。たとえ
ば、RDNS:5.6.0.0/255.255.0.0 のようになります。
68
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
DNS Request Opcode
DNS ヘッダーに示す OPCODE を設定します。
DNS Request OPCODE オブジェクトを設定するには、
そのままにしてデフォルトを
1. [Name] フィールドにカスタム名を入力するか、
承認します。
2. 1 つまたは複数の OPCODE を選択します。
3. [OK] をクリックします。
DNS Request Class
（QCLASS）のプロパティを設定します。
DNS 要求クラス
DNA 要求クラスのオブジェクトを設定するには、
そのままにしてデフォルトを
1. [Name] フィールドにカスタム名を入力するか、
承認します。
2. 1 つまたは複数の要求クラスを選択します。
3. [OK] をクリックします。
DNS Request Type
（QTYPE）
の属性を設定します。
DNS 要求タイプ
DNS Request Type オブジェクトを設定するには、
1. [Name] フィールドにカスタム名を入力するか、そのままにしてデフォルトを
承認します。
2. 1 つまたは複数の要求タイプを選択します。
3. [OK] をクリックします。
DNS Client Transport
DNS クライアントトランスポート方式（UDP または TCP）を指定します。
DNS Client Transport オブジェクトを設定するには、
このオブジェクトには、
プ
1. [UDP Transport] または [TCP Transport] を選択します。
レフィックスの DNS を使って自動的に名前が付けられます。
たとえば、
DNS:Client Transport UDP のようになります。
2. [OK] をクリックします。
SOCKS Version
SOCKS のバージョン（4 または 5）を指定します。このオブジェクトには、名前が自
動的に [SOCKSVersion4] または [SOCKSVersion5] と付けられます。
69
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
User Agent
クライアントがコンテンツの要求に使用する可能性のあるエージェントを 1 つ以
上指定します。
選択肢には、
以下の製品の特定のバージョンが含まれます。
Microsoft
Internet Explorer、Mozilla Firefox、Google Chrome、Netscape Communicator、
Microsoft Windows Media Player および NetShow、
Real Media RealPlayer および
RealDownload、FlashPlayer、Apple QuickTime、
Opera、
Wget ならびに mobile devices
including iPhone、iPad、iPod、
Blackberry、
Android、および Windows Mobile を含
むモバイルデバイス。
このルールで定義されるポリシーは、これらの選択したエージェントに適用され
ます。このリストに名前を付け、他のポリシーレイヤルールで使用する他のカス
タムリストを作成することができます。
例:
モジュールデバイ
スのユーザーエー
ジェントを選択する
注意 : このリストに含まれないユーザーエージェントが必要な場合は、Request
これにヘッダーとして設定されたユーザー
Header オブジェクトを使用します。
エージェントが含まれる場合があります。
IM User Agent
IM クライアントが提供するユーザーエージェントにマッチするものがあるか、
指定された文字列をチェックします。たとえば、Lotus AOLのクライアントと標準
の AOL のクライアントを区別するために、
文字列 [Lotus] を指定します。
User Agent を設定するには、
1. [IM User Agent] フィールドに文字列を入力します。
マッチング条件を選択します。
2. ドロップダウンリストから、
3. [Add] をクリックします。
70
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Request Header
特定のヘッダーを含む要求に適用されるルールを設定します。
Blue Coat は標準的な
ヘッダーのリストを提供しますが、
カスタムヘッダーを選択することも可能です。
要求ヘッダーを設定するには、
1a
1b
1c
1d
1. 次のオプションを設定します。
そのままにしてデフォル
a. [Name] フィールドにカスタム名を入力するか、
トを承認します。
必要に応じて [All] から [Standard]
b. [Show] ドロップダウンリストから、
のいずれか、
または [Custom] の表示フィールドを選択します。
[Standard]
は、
デフォルトの標準ヘッダーのみを表示します。[Custom] は、管理者
定義ヘッダーがあれば表示します。
標準ヘッダーまたはカスタ
c. [Header Name] ドロップダウンリストから、
ムヘッダーを選択するか、
新しいカスタムヘッダー名を入力します。
このルールを適用するヘッダーの値を
d. [Header Regex] フィールドに、
入力します。
2. [OK] をクリックします。
Client Certificate
テスト用の共通名とクライアント証明書内の件名フィールドを有効にします。
IM User
IM ユーザーを手動で設定します。このユーザーから、またはこのユーザーに送信
される IM トラフィックに、このルールが適用されます。完全なユーザーID、
ユー
ザーID の一部である文字列、正規表現の文字列のいずれかを入力できます。
右側
のドロップダウンリストから、マッチングタイプ（[Exact]、[Contains]、または
[RegEx]）を選択します。
71
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
P2P Client
ピアツーピア
（P2P）クライアントを設定します。
P2P クライアントを設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
（全プロトコルが選択される）、
2. [All P2P Clients] を選択するか
1 つまたは複数の
P2P プロトコルを選択します。
3. [OK] をクリックします。
Client Negotiated Cipher
ProxySG とブラウザ間に使用する SSL 暗号のテストを有効にします。ドロップダ
ウンリストからコードを選択します。
クライアントとネゴシエートする暗号を設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. このルールに有効な 1 つまたは複数の暗号コードを選択します。
3. [OK] をクリックします。
Client Negotiated Cipher Strength
（クライアント）
間の HTTPS 接続の暗号強度をテストします。
ProxySG とブラウザ
クライアントとネゴシエートする暗号強度を設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. このルールに有効な強度オプション（[Export]、[High]、[Medium]、
[Low]）を 1 つ
以上選択します。
3. [OK] をクリックします。
[Low]、[Medium]、および [High] の強度の暗号はエクスポートできません。
Client Negotiated SSL Version
ProxySGとブラウザ（クライアント）のHTTPS接続間でSSLバージョンをテストし
ます。
クライアントとネゴシエートする SSL バージョンを設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. このルールに有効なバージョンのオプション（SSL 2.0、SSL 3.0、TLS 1.0）を 1 つ
以上選択します。
3. [OK] をクリックします。
72
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Client Connection DSCP Trigger
プライマリクライアントと ProxySG 間の接続について受信した DSCP
（DiffServe
コードポイント）値をテストします。DSCP ビット（IP ヘッダー内）
のテスト後、追
加ポリシーがサービスの種類に対応したトラフィックの処理方法を決定します。
1
3
2
受信したクライアント接続についてテストするために DSCP 値を設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
この例では、IP 優先順位が 2、確認転送クラス（AFC）がタイプ 2
（ドロップレー
トが低、中、高の場合）の場合のテストを行うオブジェクトを作成します。
2. IP優先順位の値（CSで表示）と確認転送クラス（AFで表示）を必要に応じて選択
します。
3. （オプション）優先順位とAFCの値を選択する代わりに、
DSCP値の範囲を入力
します。有効な範囲は 0 ～ 63 です。Blue Coat はこのオプションをお勧めしま
せん。
ほとんどのアプリケーションは定義された値のいずれかに当てはまり
ます。
4. [OK] をクリックします。
ProxySG を、サービスの種類を基にトラフィックを操作するように設定する場合
の概念的情報については、
「QoS と各種サービスを管理する」
（ 230 ページ）
を参照
してください。
Combined Source Object
異なる種類のソースを組み合わせたオブジェクトを作成できます。
「Combined
（ 160 ページ）を参照してください。
Objects の使用」
73
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
クライアント IP アドレス / サブネットの値の広範なリストに
注意 : Blue Coat は、
よる組み合わせオブジェクト（
「Client IP Address/Subnet」
（ 58ページ）参照）
に他
の Source オブジェクトが含まれないようにすることを強くお勧めします。他の
Source オブジェクトが存在する場合、ポリシーを評価すると、パフォーマンスが
大きく低下している可能性があります。
Source カラム / ポリシーレイヤのマトリックス
次のマトリックスに、すべての Source カラムオブジェクトを一覧で示し、それら
がどのポリシーレイヤに適用されるかを示します。
オブジェクト
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int Acc Auth Acc Cont
Streaming Client
x
Client Hostname Unavailable
x
x
Authenticated User
x
x
x
x
x
Guest User
x
IM User Agent Unsupported
x
x
x
Client IP Address/Subnet
x
Client Hostname
x
Proxy IP Address/Port
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
User
x
x
x
x
Group
x
x
x
x
Attribute
x
x
x
x
LDAP Attribute
x
x
x
x
User Login Address
x
x
x
x
User Authentication Error
x
x
x
User Authorization Error
x
x
x
User Login Time
x
x
x
x
User Login Count
x
x
x
x
Client Address Login Count
x
x
x
x
DNS Request Name
x
RDNS Request IP Address/
Subnet
x
DNS Request Opcode
x
74
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int Acc Auth Acc Cont
オブジェクト
DNS Request Class
x
DNS Request Type
x
DNS Client Transport
x
SOCKS Version
x
x
User Agent
x
IM User Agent
x
x
x
Request Header
x
Client Certificate
x
x
IM User
x
P2P Client
x
Client Negotiated Cipher
x
x
Client Negotiated Cipher
Strength
x
x
Client Negotiated SSL Version
x
Client Connection DSCP
Trigger
Combined Objects
x
x
x
x
x
x
x
x
x
x
x
x
x
Destination カラムオブジェクトリファレンス
Destination オブジェクトは、ポリシーにより評価される通信または Web トラ
フィックの送信先を設定します。
すべてのポリシーレイヤに同じDestinationオブ
ジェクトが含まれるとは限りません。
重要 : 作成する CPL に要求される文字制限のため、
Destination オブジェクト名
の定義に使用できる文字は、英数字、
下線、
ダッシュ、
アンパサンド、ピリオド、
フォワードスラッシュだけです。
Any
すべての送信先に適用されます。
DNS Response Contains No Data
これは静的オブジェクトです。
75
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Destination IP Address/Subnet
送信先サーバーアドレス (IPv4 または IPv6)、またオプションで、サブネットマス
ク (IPv4) またはプレフィックス長 (IPv6) を設定します。このルールで定義される
ポリシーは、
このサブネット上のこのアドレスのみに適用されます。このオブジェ
クトには、
プレフィックスの [Destination] を使って自動的に名前が付けられます。
たとえば、Destination:1.2.0.0/255.255.0.0 のようになります。
Destination Host/Port
ホスト名または送信先サーバーのポートを指定します。このルールで定義される
ポリシーは、
このポート上のこのホストのみに適用されます。ホスト名とポート番
号を入力し、
マッチング条件を選択します。
このオブジェクトには、プレフィック
スの [Destination] を使って自動的に名前が付けられます。たとえば、Destination:
company.com:80 のようになります。
Request URL
ユーザー要求（クライアントが ProxySG に送信する要求）内の URL に適用されま
す。自分がよく分かっている URL 構造の Web サイト向けにポリシーを作成したい
場合は、このオブジェクトを使用します。今日、
ほとんどの Web サイトは Web ペー
ジのコンテンツを追加する複数のソースを備えており、
特定のURLを使用するコン
テンツをブロックすることは難しくなっています。
特定のアプリケーションに属するすべての URL 用のルールを作成したい場合は、
「Request URL Application」オブジェクトを使用します。
また、Web アプリケー
ション向けに特定の動作を許可するルールを定義したい場合は、
「Request URL
Operation」を参照してください。
要求された URL に対するマッチングがあるかチェックするには、
オプションを選択して必要な情報をフィールドに入力します。
S
76
ホスト名が指定されている場合
[Simple Match]：URL と部分的にマッチします。
は、
そのドメインまたはサブドメイン内のすべてのホストがマッチします。
パス
が指定された場合は、
そのパスのプレフィックスを持つすべてのパスがマッチ
します。
スキームまたはポート番号が指定された場合は、
そのスキームまたは
ポートを持つ URL だけがマッチします。
このオブジェクトには、
プレフィックス
の [URL] を使って自動的に名前が付けられます。
したがって、
このオブジェクト
はルール内に URL: host.com と表示されます。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
S
このオブジェクトには、
プ
[Regular Expression Match]：正規表現を設定します。
したがって、
この
レフィックスの [URL] を使って自動的に名前が付けられます。
オブジェクトは URL: host.com (RegEx) と表示されます。
S
（プロトコル）
、
ホスト、
ポート範囲、
パスのすべて、
[Advanced Match]：スキーム
またはいずれかを指定します。
このダイアログの他のオプションと異なり、
ダイアログの先頭に名前を入力してオブジェ
[Advanced Match] を選択すると、
クト名を付けることができます。
ホストとパスについては、
入力した内容または
その一部と正確にマッチするように、
次のいずれかをドロップダウンリストか
ら選択できます。
または
[Exact Match]、[Contains]、[At Beginning]、[At End]、
その属性が丸括弧に入ってオ
[RegEx]。マッチング修飾子を選択した場合は、
ブジェクト名に追加されます。たとえば、URL: host.com (Contains) のようにな
ります。
77
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Request URL Application
1 つまたは複数の Web アプリケーション向けの動作を指定するルールを作成する
ことができます。このオブジェクトは Web Access Layer でのみ使用可能です。
Webアプリケーションは、
Web上の複数のソースのコンテンツを集めた、数種類の
カテゴリに属する可能性のある URL の集合なので、このオブジェクトにより、そ
のアプリケーション関連のすべてのコンテンツへのアクセスを柔軟に調整するこ
とができます。たとえば、ソーシャルネットワーキングカテゴリに属するアプリ
ケーションの Facebook には、
電子メール、チャット /IM、
およびゲームのカテゴリ
に属する URL が含まれます。
このオブジェクトを使うと、ユーザーの要求内の URL が指定された Web アプリ
ケーションにマッチする場合の動作 / ルールを定義することができます。特定の
「Request URL」オブジェクトを使用し
URL 向けのポリシーを作成したい場合は、
ます。
Request URL Operation
定義された操作を実行する能力をユーザーに対して許可または拒否するルールを
作成することができます。
このオブジェクトは Web Access Layer でのみ使用でき
ます。
たとえば、
ユーザーが添付ファイルをアップロードするのをブロックすると
します。
ユーザーが操作をブロックすると、その操作をサポートまたは実行する URL がブ
ロックされますが、アプリケーション自体はブロックされません。たとえば、
ユー
ザーが添付ファイルをアップロードするのをブロックした場合、ネットワーク内
のユーザーは添付ファイルをFacebookにアップロードできませんが、
Facebookに
アクセスすることやコメントを投稿したりビデオをアップロードすることはでき
ます。
すべてのユーザーが Facebook をはじめ、あらゆるアプリケーションにアクセスす
るのをブロックしたい場合は、
「Request URL Application」
を参照してください。
あらゆるソーシャルネットワーキングサイトへのアクセスをブロックするには、
「Request URL Category」
を参照してください。
Request URL Category
URL のカテゴリ全体へのアクセスを許可または制限することができます。有効に
なっているコンテンツフィルタリングベンダを基本に、
関連するカテゴリがこの
オブジェクトに表示されます。
このオブジェクトを使用すると、
指定されたカテゴリに属するすべての URL への
アクセスを実行できます。
各ユーザー要求は、カテゴリとのマッチングをコンテン
ツフィルタデータベースでチェックされ、
ポリシーに基づきこれ以上の処理を行
うか評価されます。
S
78
あらかじめ定義されたユーザー作成のURLカテゴリすべてを表
[Policy]：現行の、
示します。
これには、
ローカルおよび中央ポリシーファイル
（イン
VPM に加え、
ストール後）
で作られたカテゴリ関連のすべての構成が含まれます。
必要に応じ
て、
カテゴリを選択または選択解除します。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
このダイアログから新しいカテゴリを作成することもできます。このダイア
ログは、
「カテゴリの作成」
（ 165 ページ）に記載されている、VPM メニュー
バーを介してアクセスするダイアログと同様です。
S
カテゴリリスト
Blue Coat — Blue Coat Web フィルタを有効にしている場合は、
をここで表示します。
S
これらは編
[System]：ハードコーディングされた ProxySG の設定を表示します。
集できませんが、
選択または選択解除が可能です。
ポリシーカテゴリは次のように作成します。
1. [Policy] を選択し、
[Add] をクリックします。[Object Name] ダイアログが表示さ
れます。
2. カテゴリに名前を付け、[OK] をクリックします。
作成されたカテゴリを選択して[Edit URLs]
3. [Policy]リストを下方にスクロールし、
をクリックします。
[Edit Locally Defined Category Object] ダイアログが表示
されます。
4. 作成中のコンテンツフィルタカテゴリに該当する URL を入力し、[OK] をク
リックします。
5. [OK] をクリックします。
注意 : 一人または複数の他の管理者が別のワークステーションを介して
ProxySG にアクセスし、VPM または inline コマンドを使ってカテゴリを作成
している場合、新規作成または編集されたカテゴリは、ポリシーがインストー
ルされるまで同期がとられないことに注意してください。
VPM によりポリ
シーがインストールされると、
カテゴリはリフレッシュされます。混乱が生じ
た場合は、[File] > [Revert to Existing Policy on ProxySG Appliance] オプション
を選択して直前の状態に復元し、
カテゴリを再設定します。
階層的カテゴリの動作
カテゴリが作成された後は、必要に応じて選択および選択解除が可能です。サブカ
テゴリ
（親子カテゴリ階層）
を作成した場合、カテゴリを選択する動作は次のよう
になります。
S
親カテゴリを選択すると、
子カテゴリがまだ全く選択されていなければ、
すべて
の子カテゴリが自動的に選択されます。
79
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
S
親カテゴリの選択を解除すると、
すべての子カテゴリが既に選択されていれば、
そのすべての子カテゴリの選択が自動的に解除されます。
S
親カテゴリの選
1 つ以上の子カテゴリが既に選択または選択解除されていれば、
択または選択解除は子カテゴリに影響を与えません。
選択 / 選択解除の状態は
同じままです。
この動作は、
作成するすべてのレベルに当てはまります。
Category
「Request URL Category」
（ 78 ページ）と同様に機能しますが、
このオブジェクト
は DNS アクセスレイヤに特有のものです。
Server URL
このオブジェクトは「Request URL」
（ 76 ページ）オブジェクトと同様に機能しま
すが、ProxySG からサーバーに送信される URL に適用されます。ProxySG が URL
書き換えを実行する場合、
クライアントから送信される URL に変更が生じる可能
性があるので、別に URL マッチングチェックが必要となります。
Server URL Category
ProxySG アプライアンスがユーザーの要求に対して送信する URL のコンテンツ
カテゴリのマッチングを行います。URL の書き換えが行われると、この条件は要
求されたURLではなく書き換えられたURLのカテゴリのマッチングを行います。
Server Certificate
ProxySG とサーバー間の HTTPS 接続に使用されるサーバー証明書の属性のテス
トを有効にします。
次のオプションのいずれかを選択します。
S
サーバー証明書内でマッチングを希望するホスト名です。
[Hostname]：これは、
ホスト名を入力したら、
ドロップダウンリストから次のいずれかを選択します。
[Exact Match]、[Contains]、[At Beginning]、[At End]、
[Domain] または [Regex]。
S
サーバー証明書内の完全修飾サブジェクト名です。
サブジェク
[Subject]：これは、
トを入力したら、
ドロップダウンリストから次のいずれかを選択します。
[Exact
または
]、
[
]、
[
]、
[
]、
[
]
[
]。
Match Contains At Beginning At End Domain
Regex
Server Certificate Category
「Request URL Category」
（ 78 ページ）オブジェクトと同様に機能しますが、
マッ
チングとカテゴリ分けに使用される情報は、サーバー証明書のホスト名です。
80
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Server Negotiated Cipher
ProxySG とサーバー間の接続で使用される暗号スイートをテストします。
サーバーとネゴシエートする暗号を設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. このルールに有効な 1 つまたは複数の暗号コードを選択します。
3. [OK] をクリックします。
Server Negotiated Cipher Strength
ProxySG とサーバー間の HTTPS 接続の暗号強度を設定します。
サーバーとネゴシエートする暗号強度を設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. このルールに有効な強度オプション（[Export]、[High]、[Medium]、
[Low]）を 1 つ
以上選択します。
3. [OK] をクリックします。
[Low]、[Medium]、および [High] の強度の暗号はエクスポートできません。
Server Negotiated SSL Version
ProxySG とサーバー間の HTTPS 接続の SSL バージョンを指定します。
サーバーとネゴシエートする SSL バージョンを設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. このルールに有効な強度のオプション（[SSL 2.0]、[SSL 3.0]、
[TLS 1.0.]）を1つ以
上選択します。
3. [OK] をクリックします。
File Extensions
ファイル拡張子のリストを作成します。
このルールは、拡張子がリスト上のいずれ
かとマッチするコンテンツがあれば、トリガされます。各種拡張子を含む複数のリ
ストを作成して、さまざまなルールで使用することができます。
あらかじめ定義された拡張子のリストを検
File Extension オブジェクトを使えば、
索したり、選択した拡張子を加えてカスタムオブジェクトを作成することができ
ます。
[Find] フィールドに文字列を入力すると、オブジェクトが [Extension] カラム
内のテキストと [Description] カラム内のテキストを基に関連するファイル拡張子
を表示します。たとえば、ストリーミングプロトコルを備えたオブジェクトを作
成したいとします。
81
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
リストのオブジェクトはすべて編集や削除が可能です。VPM はすべての拡張子に
加えられる変更を検証します。たとえば、既に存在する拡張子名を追加しようとす
ると（説明には適用されない）
、VPMはそれが修正されるまでエラーメッセージを
表示します。
また、ポリシーで既に参照済みの拡張子を削除しようとすると、
警告
ダイアログが表示されます。
既存の拡張子を検索してオブジェクトに追加するには、
1
2
3
[Ctrl] +
クリックま
たは
[Shift] +
クリック
4
1. [Name] フィールドに、オブジェクトに有効な名前を入力します。
キーワード
2. [Find] フィールドに、検索対象の文字列を入力します。この例では、
の apple を検索し、関連する 3 つのストリーミングプロトコルが表示されてい
ます。
3. [Control] + 左クリックで個々の行を選択するか、[Shift] +　左クリックで行ブ
ロックを選択します。
4. [Add] をクリックして、選択したものを [File Extensions] 領域に移動させます。
この例では、
ユーザーが RealMedia のファイル拡張子を既に追加しています。
逆に、
オブジェクトを選択して [Remove] をクリックすると、
拡張子がオブジェ
クトの外へ移動します。
5. [OK] をクリックしてオブジェクトを作成します。
新しい拡張子の作成
[File Extension] オブジェクトに必要とする種類が含まれていない場合、新しい拡
張子を作成することができます。
82
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
新しい拡張子を作成するには、
1. [New]をクリックします。リストの最後に行が1行表示され、[Extension] の名前
のセルにカーソルが挿入されます。
2. 新しい拡張子の名前を入力します。小文字のテキストを入力すると、セルを離
れた後、そのテキストが大文字に変更されます。
3. （オプション）[Tab] キーを押すと [Description] フィールドに移動します（また
は、その行を既に離れている場合は、
このフィールドをダブルクリックしま
す）。オブジェクトが、
アルファベット順の本来あるべき位置に自動的に移動
することに注意してください。説明を入力します。
4. 新しい拡張子をオブジェクトに追加して [OK] をクリックします。
編集用ホットキー
S
S
[Tab]：
•
編集モード（カーソルはフィールド内）
：同じ編集用ウィンドウの 2 つのカ
ラムの間を行ったり来たりします。
•
読み取りモード：フォーカスを次のセルに移動させます
（最初は横、
次に縦）
[Escape]：
•
編集モード：変更を取り消して編集モードを終了します。
•
読み取りモード：影響なし。
83
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
S
S
[Enter]：
•
編集モード：セルに変更を保存して編集モードを終了します。
•
読み取りモード：次の行に移動します。
[Delete]：
•
編集モード：1 文字削除するか、
テキストをハイライト表示します。
•
読み取りモード：選択されたテキストを削除します。
Flash Application Name
「connect」
ステージで交換される Flash アプリケーションの名前を識別します。
要求された Flash アプリケーションとのマッチングがあるかチェックするには、
1a
1
1b
2
1. [Simple Match] または [Regular Expression Match] オプションを選択します。
a. [Simple Match] を選択した場合、有効な Flash アプリケーションの名前
を [Flash Application name] フィールドに入力します。
b. [Regular Expression Match] を選択した場合は、有効な正規表現の文字
列を [RegEx] フィールドに入力します。
2. [Add] をクリックします。
Flash Stream Name
要求されているストリームの名前を識別します。
要求された Flash ストリーム名とのマッチングがあるかチェックするには、
1
1a
1b
2
84
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
1. [Simple Match] または [Regular Expression Match] オプションを選択します。
a. [Simple Match] を選択した場合、有効なFlashストリームの名前を[Flash
Stream name] フィールドに入力します。
b. [Regular Expression Match] を選択した場合は、有効な正規表現の文字
列を [RegEx] フィールドに入力します。
2. [Add] をクリックします。
HTTP MIME Types
HTTP MIME コンテンツタイプのリストを作成します。このルールは、リスト上
のいずれかとマッチするコンテンツがあれば、トリガされます。各種の MIME タ
イプを含む複数のリストを作成して、さまざまなルールで使用することができま
す。たとえば、
「MicrosoftApps」という名前のリストを作成し、MIME タイプである
[application/vnd.ms-powerpoint]、
[application/vnd.ms[application/vnd.ms-excel]、
および [application/vnd.works] を選択します。
project]、
注意 : このリストに含まれていないMIMEタイプが必要な場合は、
マッチング条件
[At End] を使用する Request URL オブジェクトを使用します。
Apparent Data Type
このオブジェクトのオプションは、MS-DOS ファイルおよび Windows の exe ファ
イルに関連するデータコンテンツを識別するものです。Deny ポリシーで使用す
る場合、このオブジェクトの目的は exe ファイルのダウンロードを拒否し、スパイ
ウェアのドライブバイインストールをブロックすることです。
外見上のデータタイプを指定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. 次のデータタイプの一方または両方を選択します。
•
（最も一般的な種類の Microsoft exe
DOS/Windows Executable：.exe ファイル
（同じく自己展開型だが、別の exe
ファイル、自己展開型）、.dll ファイル
ファイルが必要）
、.ocx ファイル（ブラウザのセキュリティレベルを低に
設定した場合にインストール可能な ActiveX コントロールファイル）な
ど、あらゆる種類の Windows exe ファイル。
Windows PE、LE、
NE の exe の
種類が認識されます。
•
ファイルは、
それ自体は exe ファ
Microsoft Cabinet File：.cab（キャビネット）
イルではないものの、ActiveX コントロールを設定するためにスパイウェ
アプログラムによって使用されます。HTML ページ内のコードは .cab
ファイルを参照し、
内部からブラウザに ActiveX のコンポーネントをダウ
ンロードして展開するように指示します。
3. [OK] をクリックします。
Response Code
特定の HTTP コードを含むコンテンツの応答に対するこのルールの適用を指定し
ます。ドロップダウンリストからコードを選択します。
ルールオブジェクトに名
前を付けることも、
デフォルト名を承認することも可能です。
85
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Response Header
特定のヘッダーを含むコンテンツの応答に対するルールの適用を指定します。
カスタムヘッダーを入
Blue Coat は標準ヘッダーのリストを提供していますが、
力することもできます。
レスポンスヘッダーを指定するには、
1
2
3
4
1. [Name] フィールドにカスタム名を入力するか、そのままにしてデフォルトを
承認します。
2. [Show] ドロップダウンリストから、必要に応じ、表示フィールドとして [All]
または [Custom] を選択します。[Standard] は、
から [Standard] までのいずれか、
デフォルトの標準ヘッダーのみを表示します。
[Custom] は、管理者定義ヘッ
ダーがあれば表示します。
3. [Header Name] ドロップダウンリストから、標準またはカスタムヘッダーを選
択します。
このルールを適用するヘッダーの文字列を入
4. [Header Regex] フィールドには、
力します。
Response Data
特定の正規表現を含むコンテンツの応答に対するルールの適用を設定します。
正規表現のヘッダーを設定するには、
1
2
3
そのままにしてデフォルトを
1. [Name] フィールドにカスタム名を入力するか、
承認します。
マッチングする正規表現の文字列を入力します。
2. [RegEx to match] フィールドに、
86
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
マッチするかスキャンするオブ
3. [Number of bytes to examine] フィールドには、
ジェクトのバイト数を入力します。
4. [OK] をクリックします。
IM Buddy
このバディに対して、
またはこのバディから送信さ
IM バディを手動で設定します。
れるIMトラフィックには、
このルールが適用されます。
完全なバディID、
バディIDの
一部、
正規表現を含む文字列のいずれもが入力可能です。
右側のドロップダウンリ
ストから、マッチングタイプ（[Exact]、[Contains]、または [RegEx]）
を選択します。
IM Chat Room
IM チャットルームを名前または他の条件により設定します。このチャットルー
ムに送信される IM トラフィックには、このルールが適用されます。
チャットルームの条件を作成するには、
1
2a
2b
2c
2d
2e
そのままにしてデフォルト
1. [Name] フィールドにオブジェクト名を入力するか、
を承認します。
2. 次の条件のうち 1 つ以上を選択します。
名前を入力
a. [Room ID]：特定の IM チャットルームを名前で指定します。
するか、
ドロップダウンリストからオプションを 1 つ選択します。
[Exact Match]、[Contains]、または [RegEx]。
b. [Type]：そのルームが [Private] と [Public] のどちらかを設定します。
c. [Invite Only]：トリガによりユーザーの招待の有無を設定します。
d. [Voice Enabled] — このルームをボイスチャットに対応させるかどう
かを設定します。
e. [Conference]：このルームに会議機能を持たせるかどうかを指定します。
3. [OK] をクリックします。
87
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
DNS Response IP Address/Subnet
送信先DNSアドレス (IPv4 または IPv6) 、
およびオプションで、
サブネットマスク
(IPv4) またはプレフィックス長 (IPv6) を指定します。このルールで定義されるポ
リシーは、このサブネット内のアドレスを含む DNS 応答のみに適用されます。こ
のオブジェクトには、プレフィックスの DNS を使って自動的に名前が付けられま
す。たとえば、DNS:1.2.3.4/255.255.0.0 のようになります。
RDNS Response Host
クライアント IP アドレスの逆引き参照で解決される DNS 逆引き応答のホスト名
を指定します。ホスト名を入力し、マッチング条件を選択します。
このオブジェク
トには、
プレフィックスの「RDNS」を使って自動的に名前が付けられます。
たとえ
ば、RDNS: host.com のようになります。
マッチング修飾子を選択した場合は、
その
属性が丸括弧に入ってオブジェクト名に追加されます。
たとえば、RDNS: host.com
(RegEx) のようになります。
DNS Response CNAME
所定のホスト名にマッチする DNS CNAME 応答へのこのルールの適用を設定し
ます。
ホスト名を入力し、マッチング条件を選択します。このオブジェクトには、プ
レフィックスの「DNS CNAME」を使って自動的に名前が付けられます。したがっ
て、オブジェクトは DNS CNAME: host.com と表示されます。
DNS Response Code
特定のDNS応答コードを含むDNS応答に対するこのルールの適用を設定します。
リストから 1 つまたは複数のコードを選択します。ルールオブジェクトに名前を
付けることも、デフォルト名を承認することも可能です。
Server Connection DSCP Trigger
プライマリサーバーとProxySG 間の接続で受信したDSCP
（DiffServeコードポイ
ント）値をテストします。DSCP ビット
（IP ヘッダー内）のテストにより、追加ポリ
シーがサービスの種類に対応したトラフィックの処理方法を決定します。
受信したサーバー接続についてテストするために DSCP 値を設定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
この例では、IP 優先順位が 2、確認転送クラス（AFC）がタイプ 2
（ドロップレー
トが低、中、高の場合）の場合のテストを行うオブジェクトを作成します。
2. IP優先順位の値（CSで表示）と確認転送クラス（AFで表示）を必要に応じて選択
します。
3. （オプション）優先順位とAFCの値を選択する代わりに、
DSCP値の範囲を入力
します。有効な範囲は 0 ～ 63 です。Blue Coat はこのオプションをお勧めしま
せん。
ほとんどのアプリケーションは定義された値のいずれかに当てはまり
ます。
88
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
ProxySG を、サービスの種類を基にトラフィックを操作するように設定する場合
の概念的情報については、
「QoS と各種サービスを管理する」
（ 230 ページ）
を参照
してください。
Combined Destination Objects
異なる送信先の種類を組み合わせたオブジェクトを作成できます。
「Combined
（ 160 ページ）を参照してください。
Objects の使用」
Destination カラム / ポリシーレイヤのマトリックス
次のマトリックスに、すべての Destination カラムオブジェクトを一覧で示し、そ
れらがどのポリシーレイヤに適用されるかを示します。
オブジェクト
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int
Acc Auth Acc Cont
Destination IP Address/Subnet
x
x
x
x
x
x
Destination Port
x
x
x
x
x
x
Request URL
x
x
x
x
x
x
Request URL Application
x
Request URL Operation
x
Request URL Category
Category
Server URL
x
x
x
x
x
x
x
x
Server URL Category
x
Server Certificate
x
x
Server Certificate Category
x
x
Server Negotiated Cipher
x
Client Negotiated Cipher
Strength
x
Client Negotiated SSL Version
x
File Extensions
x
x
HTTP MIME Types
x
x
Apparent Data Type
x
Response Header
x
Response Code
x
Response Data
x
89
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int
Acc Auth Acc Cont
オブジェクト
IM Buddy
x
IM Chat Room
x
DNS Response IP Address/
Subnet
x
RDNS Response Host
x
DNS Response CNAME
x
DNS Response Code
x
Client Connection DSCP
Trigger
x
Combined Objects
x
x
x
x
x
x
x
x
Service カラムオブジェクトリファレンス
Service オブジェクトは、ポリシーにより評価されるサービスの種類（プロトコル
など）を設定します。どのポリシーレイヤにも同じ Service オブジェクトが含まれ
るとは限りません。
重要 : 作成する CPL に要求される文字制限のため、
Service オブジェクト名の定義
に使用できる文字は、英数字、下線、
ダッシュ、アンパサンド、ピリオド、フォワー
ドスラッシュだけです。
Any
すべてのサービスに適用されます。
Using HTTP Transparent Authentication
これは静的オブジェクトです。このルールは、サービスが HTTP 透過認証を使用す
る場合に適用されます。
Virus Detected
これは静的オブジェクトです。このルールは、
ICAP スキャンによりウイルスが検
出された場合に適用されます。
Request Forwarded
これは静的オブジェクトです。
90
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Client Certificate Requested
これは静的オブジェクトです。OCS がクライアント証明書の認証を要求するかど
うかチェックします。SSL プロキシのインターセプトが有効で、OCS がクライアン
ト証明書を要求した場合、ProxySG は例外ページを返し、それがブラウザに送信
されます。
あるいは、プロトコルエラーが発生したら TCP を介して SSL をトンネ
ルするように ProxySG を構成することができます。
Client Protocol
クライアントプロトコルの種類とサブネットを指定します。最初のドロップダウ
ンリストから、次のいずれかの種類を選択します。[CIFS, Endpoint Mapper, FTP],
ま
[HTTP]、[HTTPS]、[Instant Messaging]、[P2P]、[Shell]、[SOCKS]、[SSL]、[Streaming]、
たは [TCP Tunneling]。
2 つめのドロップダウンリストでは、プロトコルのサブネットを選択します（この
リストのオプションは選択されるプロトコルによって異なります）
。
S
[All]：この種類のプロトコルを使用するすべての通信に適用されます。
S
[Pure]：プロトコルが直接接続を使用している場合に適用されます。
S
[Over]：プロトコルが特定のトランスポート方式を介して通信している場合に適
用されます。
Service Name
ProxySG 上にデフォルトまたはカスタムのプロキシサービスが存在する場合に
設定します（Management Console で [Configuration] > [Services] > [Proxy Services]
により作成）
。
S
プロキシサービスのみを表示および受理します。
Web Access Layer は、
S
コンソールサービスのみを表示および受理します。
[Admin Access Layer] は、
Service Group
ProxySG 上にデフォルトまたはカスタムのプロキシサービスグループが存在す
る場合に設定します
（Management Console で [Configuration] > [Services] > [Proxy
。
Services] により作成）
プロキシサービスグループのみを表示および受理します。
Web Access Layer は、
91
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Protocol Methods
ルールをトリガするプロトコルの方式を指定します。
プロトコルの方式を指定するには、
1
2
3
1. [Name] フィールドに名前を入力するか、デフォルトを承認します。
次のオプションのうち1つを選択します。
2. [Protocol] ドロップダウンリストから、
これにより、
[FTP]、[HTTP]、[HTTPS]、[Instant Messaging]、[SOCKS]、[Flash]。
使用可能な接続方式が表示されます。
上記の例は基本的なインスタントメッセージ接続を示
3. 接続方式を選択します。
しています。
4. [OK] をクリックします。
SSL Proxy Mode
次に示す SSL プロキシの展開モードを指定します。
[HTTPS Forward Proxy requests]、
このオブジェクト
[HTTPS Reverse Proxy requests]、[Unintercepted SSL requests]。
により、ProxySG を経由する SSL トラフィックのサブネットにポリシーを適用す
ることができます。
たとえば、このオブジェクトを使って HTTPS リバースプロキ
シ要求向けの強力な暗号スイートを強制できる上、HTTPSフォワードプロキシ要
求向けの暗号スイートもすべて許可することができます。
92
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
IM File Transfer
ルールの IM ファイル転送への適用を、ファイル名とファイルサイズのどちらか、
または両方とマッチすることによりトリガできることを設定します。
IM ファイル転送のパラメータを設定するには、
1
2a
2b
3a
3b
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. ファイル名に基づいてトリガを実行するには、
a. [File] を選択し、
[File] フィールドでファイル名を指定します。
b. ドロップダウンリストから、ファイルが完全にマッチする場合（[Exact
、
ファイルが指定の名前を含む場合（[Contains]）
、正規表現で
Match]）
マッチングする場合
（[RegEx]）
のいずれかを選択します。
3. メッセージサイズに基づいてトリガを実行するには、
a. [Size] を選択して範囲を入力します。
b. ドロップダウンリストから次のいずれかのサイズ属性を選択します。
[Bytes]、[Kbytes]、[MBytes], または [GBytes]。
93
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
IM Message Text
ルールの IM メッセージテキストへの適用を、
次の条件のいずれか、またはすべて
によりトリガできることを設定します。
（条件：コンテンツキーワード、メッセー
ジサイズ、サービスの種類のマッチング、コンテンツの種類がテキストかアプリ
ケーションか）
IM メッセージテキストのパラメータを設定するには、
1
2a
3
4
2b
3b
5
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. コンテンツキーワードに基づいてトリガを実行するには、
a. [Text] を選択し、
[Text] フィールドでキーワードを指定します。
ファイルが指定のテキストを含む場合
b. ドロップダウンリストから、
（[Contains]）、
正規表現でマッチングする場合
（[RegEx]）のどちらかを
選択します。
3. メッセージサイズに基づいてトリガを実行するには、
a. [Size] を選択して範囲を入力します。
b. ドロップダウンリストから次のいずれかのサイズ属性を選択します。
[Bytes]、[Kbytes]、[MBytes], または [GBytes]。
ドロップダウンリスト
4. メッセージの経路を指定するには、
[Route]を選択します。
から [Service]、[Direct]、または [Chat] を選択します。
5. メッセージの種類を指定するには、[Text] または [Application] を選択します。
94
•
[Text は、ユーザーが入力するメッセージを指定します。
•
[Application] は、タイピング通知など、クライアントのアプリケーションに
より送信されるメッセージを指定します。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
IM Message Reflection
現在のメッセージについて反射が有効かどうか、また有効な場合は、反射が可能か
どうかをポリシーがテストできるようにします。
S
このメッセージについて実行されます。
[Succeeded]：IM の反射は有効で、
S
受信者が ProxySG に接続されていないため、
こ
[Failed]：IM の反射は有効ですが、
のメッセージについては実行できません。
S
[Disabled]：このメッセージについて IM の反射は有効ではありません。
オブジェクトには、
選択に基づいて名前が自動的に付けられ、すべてのルールで使
用できます。
Streaming Content Type
ストリーミングプロトコルを指定します。
ストリーミングプロトコルを指定するには、
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. [All Streaming Content] （すべてのプロトコルを選択）または 1 つ以上のスト
リーミングプロトコルを選択します。
3. [OK] をクリックします。
ICAP Error Code
アンチウイルススキャン中に返される 1 つまたは複数の ICAP エラーコードを認
識するオブジェクトを定義します。
このルールは、スキャンにより指定されたエ
ラーが返された場合に適用されます。
95
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
ICAP エラーコードを設定するには、
1
2
3
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
2. いずれかのオプションを選択します。
a. [No errors]：スキャンエラーなしで ICAP スキャンが実行された。
b. [Any errors]：スキャン中に ICAP エラーコードが返された。
c. [Selected errors]：指定された1つまたは複数の種類のICAPエラーコー
ド。[Available Errors] フィールドで、1 つまたは複数の ICAP エラーコー
ドを選択します
（複数の種類を選択するには [Control] キーを、また、ま
とまった種類を選択するには [Shift] キーを押したまま選択）。[Add] を
クリックします。
3. [OK] をクリックします。
96
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Health Check
この条件は、
現在のトランザクションがヘルスチェックトランザクションかどう
かをテストします。オプションで、この条件はトランザクションが特定のヘルス
チェック用かどうかをテストします。
ヘルスチェックオブジェクトを作成するには、
1
2a
2b
1. 次のうち 1 つを選択します。
•
[Not a health check]：トランザクションはヘルスチェックとして識別され
ません。
•
[Any Health Check]：いずれかの種類のヘルスチェックサービスがマッチ
ングしました。
•
[Any of the selected health checks below]：選択された種類のヘルスチェッ
クがマッチングしました。
2. [Any of the selected health checks below] を選択した場合、
（[Control]+ 左クリック
（複
a. 1 つまたは複数のエラータイプを選択します
数のエラーをハイライト表示）
を使用）。
エラーを [Selected] フィールドに移動させます。
b. [Add] をクリックして、
デフォルト名を承認します。
3. オブジェクトに名前を付けるか、
4. [OK] をクリックします。
97
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Health Status
この条件は、
指定されたヘルスチェックの対象が正常か異常かをテストします。
Combined Service Objects
異なるサービスの種類を結合するオブジェクトを作成することができます。
「Combined Objects の使用」
（ 160 ページ）を参照してください。
Service カラム / ポリシーレイヤのマトリックス
次のマトリックスにすべての Service カラムオブジェクトを一覧で表示し、それ
らがどのポリシーレイヤに適用されるかを示します。
オブジェクト
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int
Acc Auth Acc Cont
Using HTTP Transparent
Authentication
x
Request Forwarded
x
Virus Detected
x
Client Protocol
Service Name
x
x
x
x
Protocol Methods
x
x
x
x
IM File Transfer
x
IM Message Text
x
IM Message Reflection
x
Streaming Content Type
x
ICAP Error Code
x
Health Status
x
Health Check
x
Combined Objects
x
98
x
x
Service Group
SSL Proxy Mode
x
x
x
x
x
x
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Time カラムオブジェクトリファレンス
Time オブジェクトは、ルール内のその他のパラメータ（Web サイトやコンテンツ
の種類など）
についてクライアントのアクセスを左右する一定の時間やタイムト
リガを設定します。
現時点では、
Time オブジェクトは Web Access Layer にのみ適
用可能です。
Any
いつでも適用されます。
Time
時間の制約を設定します。
時間の制約を設定するには、
1
2
3
4
5
6
7
そのままにしてデフォルト
1. [Name] フィールドにオブジェクト名を入力するか、
を承認します。
2. [Use Local Time Zone] と [Use UTC Time Zone] のどちらかを選択します。
99
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
ローカル時間の方は、ProxySG の内部クロックに従うようにルールを設定し
ます。
（GMT) としても知られる )
UTC の方は、万国標準時（グリニッジ標準時
を使用するようにルールを設定します。
3. 一定の日について範囲を設定するには、
[Specify Time of Day Restriction (hh:mm)]
軍事様式
フィールドで [Enable] を選択して時間を設定します。時間の様式は、
です。
範囲は、1 歴日または 2 日間にまたがる 24 時間の中で設定できます。たとえば、
夜 10 時から翌朝 6 時までという制
22：00 ～ 06：00 の範囲の時間を設定すると、
限が設けられます。
4. 曜日の制約を設定するには、
[Specific Weekday Restriction] フィールドで [Enable]
を選択し、1 日または複数日を選択します。
5. 月内の 1 日の制約を設定するには、[Specify Day of Month Restriction] フィール
日
（01～31の番号が付けられている）
を選択します。
範囲
ドで [Enable] を選択し、
を特定の日に制限するには、数字を同様に設定します。たとえば、22 を選択す
ると、
ルールが毎月 22 日にのみ適用されるように設定されます。
6. ひと月または複数月にわたる制約を設定するには、
[Specify Annually-Recurring
月日の範囲を選択します。こ
Date Restriction] フィールドで [Enable] を選択し、
のカレンダー上の制約は、
変更されない限り毎年適用されます。
手順 3 の日の範囲の適用と同様に、2 カ月にまたがることが認められます。
7. 1回限りの制約を設定するには、
[Specify Non-Recurring Date Restriction] フィール
年、
月、日の範囲を選択します。このカレンダー上の制
ドで [Enable] を選択し、
約は、
指定された期間内のみ適用され、繰り返されません。
8. [OK] をクリックします。
Combined Time Object
複数の時間の制約に従うタイムオブジェクトを結合することができます。
「Combined Objects の使用」
（ 160 ページ）
を参照してください。
Time カラム / ポリシーレイヤマトリックス
それらが
次のマトリックスにすべての Time カラムオブジェクトを一覧で示し、
どのポリシーレイヤに適用されるかを示します。
オブジェクト
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int Acc Auth Acc Cont
Time
x
x
Combined Objects
x
x
100
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Action カラムオブジェクトリファレンス
サービス、時間などの他のパラメータの
Action オブジェクトは、送信元、送信先、
要件によりルールの検証を行う場合の実行内容を決定します。
重要 : 作成する CPL に要求される文字制限のため、
Action オブジェクト名の定
義に使用できる文字は、英数字、下線、ダッシュだけです。
Allow
これは静的オブジェクトです。これを選択すると、関連する他の設定が無効にな
り、指定されたユーザーの要求が許可されます。
Deny
これは静的オブジェクトです。これを選択すると、関連する他の設定が無効にな
り、指定されたユーザーの要求が拒否されます。
Deny (Content Filter)
これは静的オブジェクトです。これを選択すると、関連する他の設定が無効にな
り、指定されたユーザーの要求が拒否されます。このオブジェクトは、Content
Filter の判定が拒否の理由であったことを示すために例外を記録したい場合に使
用します。
Force Deny
これは静的オブジェクトです。
これ以降のレイヤ内のルールが要求を許可するか
どうかにかかわらず、強制的に要求を拒否します。
Force Deny (Content Filter)
これは静的オブジェクトです。
これ以降のレイヤ内のルールが要求を許可するか
どうかにかかわらず、
強制的に要求を拒否します。アクセスログを見れば、
Content Filter のモニカから、コンテンツのフィルタリングと他の理由との比較を
基にポリシーが拒否したことが識別できます。
Allow Content From Origin Server
これは静的オブジェクトです。
Connect Using ADN When Possible/Do Not Connect Using ADN
これらは静的オブジェクトです。
Connect Using ADN When Possible は、
ProxySG
アプライアンスに対してバイトキャッシングトンネル
（アプリケーション配信
ネットワーク
（ADN）
の展開に使用）
を使用するように指示します。
Do Not Connect
トンネル接続を使用できないようにします。
Using ADN は、
101
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Allow Read-Only Access
これは静的オブジェクトです。データをアプライアンス上に表示するために、
フル
アクセスを許可します。
Allow Read-Write Access
これは静的オブジェクトです。
データをアプライアンス上に表示して操作するた
めに、
フルアクセスを許可します。
Do Not Authenticate
これは静的オブジェクトです。これを選択すると他の設定が無効になり、指定され
たユーザーがコンテンツの要求時に認証されません。
Do Not Authenticate (Forward Credentials)
これは静的オブジェクトです。この動作を選択すると、ProxySG 上で認証する代
わりに、アップストリームの認証情報が転送されます。
Authenticate
ユーザーを確認するための認証オブジェクトを作成します。ProxySG 上に、VPM
で選択できる認証レルムが存在する必要があります。
このオブジェクトは SOCKS Authenticate
注意 : SOCKS 認証ポリシーレイヤでは、
です。
Authenticate オブジェクトを作成するには、
1
2
3
4
5
6
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
102
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
2. [Realm] ドロップダウンリストから認証レルムを選択します。ProxySG 上にこ
のレルムが既に存在していることが必要です。
：[Mode] ドロップダウンリストか
3. オプション（Web 認証ポリシーレイヤのみ）
らモードを選択します。
このモードにより、
ProxySG が認証のためにクライア
ントと対話する方法が決まり、チャレンジの種類と受け付けられる代替資格
情報が指定されます。
•
[Auto]：デフォルトです。要求に基づいてモードが自動的に選択されます。
接続の種類（明示的または透過的）および透過的認証の Cookie 設定に応じ
て、プロキシ、origin-IP、
origin-IP-redirect の中から選択します。
•
[Form Cookie]：フォームベース認証の場合：Cookie が代替資格情報として
使用されます。Cookie は OCS ドメインのみで設定され、
ユーザーに新し
い各ドメイン用のフォームが提示されます。このモデルは、
ドメイン数が
制限されている場合のリバースプロキシで特に役立ちます。
•
[Form-Cookie-Redirect]：フォームが提示される前に、ユーザーが認証仮想
認証 Cookie は、
仮想 URL と OCS ドメイン
URL にリダイレクトされます。
の両方に設定されます。ユーザーは、資格情報キャッシュエントリが期限
切れになった場合にのみチャレンジされます。
•
ユー
[Form IP]：ユーザーの IP アドレスが代替資格情報として使用されます。
ザーの資格情報キャッシュエントリが期限切れになるたびにフォームが
提示されます。
•
フォームが提示される前にユー
[Form-IP-redirect]：Form-IP と似ていますが、
ザーが認証仮想 URL にリダイレクトされる点が異なります。
•
[Proxy]：非透過転送プロキシの場合：ProxySG は非透過プロキシチャレン
ジを使用します。
代替資格情報は使用されません。これは非透過プロキシ
の認証の一般的なモードです。
•
クライア
[Proxy IP]：ProxySG では非透過プロキシチャレンジが使用され、
ントの IP アドレスが代替資格情報として使用されます。
•
[Origin]：ProxySG は OCS のように機能し、OCS チャレンジを送信します。
認証された接続は代替資格情報として機能します。
•
[Origin IP]：ProxySG は OCS のように機能し、OCS チャレンジを送信しま
す。クライアント IP アドレスは代替資格情報として使用されます。
•
[Origin Cookie]：透過プロキシの場合：Cookie については理解していても
リダイレクトを理解していないクライアントに対して、ProxySG は配信元
サーバーのように機能し、配信元サーバーのチャレンジを送信します。代
替資格情報が使用されます。
•
[Origin Cookie Redirect]：透過転送プロキシの場合：クライアントは認証対
象の仮想 URL にリダイレクトされ、
Cookie は代替資格情報として使用さ
れます。
ProxySG ではオリジンリダイレクトと CONNECT メソッドはサ
ポートされません。
103
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
•
[Origin IP Redirect]：安全性を大幅に低下させます。クライアントが固有の
IP アドレスを持ちながら Cookie を理解しない（つまり、Cookie を設定でき
ない）場合にのみ役立ちます。透過的にインターセプトされる HTTPS 要求
は、完全には制御できません。クライアントは認証対象の仮想 URL にリダ
イレクトされ、クライアント IP アドレスが代替資格情報として使用され
ます。
ProxySG ではオリジンリダイレクトと CONNECT メソッドはサ
ポートされません。
•
[SG2]：このモードは要求に基づいて自動的に選択され、SGOS 2.x 定義済
みルールを使用します。
手順3で[Form] モードを選択すると、
4. （オプション）
[Authentication Form]、[New Pin
および [Query Form] の各ドロップダウンリストがアクティブになり
Form]、
ます。
•
このプロパティでユー
[Authentication Form]：フォームベース認証の使用時、
ザーのチャレンジに使用するフォームを選択します。
•
[New Pin Form]：フォームベース認証の使用時、新しい PIN を入力するよう
ユーザーに要求するフォームをここで選択します。
•
ユーザーが Yes/No 形式の質
[Query Form]：フォームベース認証の使用時、
問に答える必要がある場合に、そのユーザーへの表示フォームをここで選
択します。
注意 : [New Pin Form] および [Query Form] は、
RSA SecurID 認証でのみ使用
します。
ほとんどの展開では、デフォルトのフォーム設定で十分です。ただし、ユー
ザー企業で認証フォームの設定がカスタマイズされた場合（ProxySG の
、
Management Console で [Configuration] > [Authentication] > [Forms]) により）
その設定をドロップダウンリストから選択できます。たとえば、[HR_PIN] など
です。
5. [OK] をクリックします。
ユーザーは、
有効なユーザー名とパスワードを入力するよう要求されます。
Authenticate Guest
ユーザーをゲストユーザーとして認証できるようにします。1 つのシナリオとし
て、非認証とされる可能性のあるユーザーに対してアクセスを許可します。もう１
つのシナリオとしては、認証が必要な場所ではなく、アクセスを追跡したい場所で
アクセスを許可します。
詳細については、
「Blue Coat SGOS 6.x 管理ガイド」の
「イ
ンターネットおよびイントラネットへのアクセス制御」の章を参照してください。
104
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Authenticate Guest オブジェクトを作成するには、
1
2
3
4
5
6
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
この
2. [Guest Username] フィールドに、そのゲストに与える名前を入力します。
名前がアクセスログに表示されます。
3. [Guest Realm] 領域で、次のオプションのいずれかを選択します。
•
[Use realm]：
•
[Use realm from previous authenticate request]：
次のオプションのいずれかを選択します。
4. [Guest Surrogate Refresh Time] 領域で、
•
[Use realm’s surrogate refresh time]：
•
[User surrogate refresh time]：
5. [Mode] ドロップダウンリストから、ゲストがチャレンジの際に受ける認証方
（各種モードの説明
式の種類を選択します。デフォルトモードは [none] です。
については、
「Authenticate」
（ 102 ページ）
を参照してください。）
6. [OK] をクリックして変更結果を保存します。
Add Default Group
デフォルトのグループをどのレルムにも割り当てることができます。
ユーザーを
これらのグループに割り当て可能ですが、このグループは認証に成功、
失敗した場
合、または認証が行われなかった場合に有効です。デフォルトグループはゲスト
ユーザーをサポートしており、
このユーザーはレルムに対しては認証されていま
105
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
せんが、ゲスト名を与えられ、
特定の情報へのアクセスが許可されます。たとえば、
すべてのゲストユーザーが割り当てられるデフォルトグループを作成すると、追
跡やログ記録が容易になります。
デフォルトグループは、
「Group」
（ 62 ページ）
で説明されているのと同様に設定され
ます。
Force Authenticate
認証要求が認証に依存しない理由で拒否される場合でも、強制的にユーザーを認
証します。この機能は、拒否の前にユーザーを識別するのに役立つので、ユーザー
名が拒否結果と一緒にログに記録されます。このオブジェクトのフィールドの説
明については、SGOS 管理ガイドを参照してください。
このオブジェクトは Force SOCKS
注意 : SOCKS 認証ポリシーレイヤでは、
Authenticate です。
Bypass Cache
これは静的オブジェクトです。
プロキシ要求に応える際にキャッシュにクエリが
行われないようにし、また、配信元サーバーからの応答がキャッシュされないよう
にします。
Do Not Bypass Cache
これは静的オブジェクトです。
ProxySG は、データが配信元サーバーに達する前
に送信先がキャッシュされないかどうか常にチェックします。また、コンテンツは
キャッシュ可能であればキャッシュされます。
Bypass DNS Cache
これは静的オブジェクトです。解決した参照名やアドレスからなる DNS キャッ
シュリストに要求がクエリを発行するのを防ぎます。
Do Not Bypass DNS Cache
これは静的オブジェクトです。
ProxySG は、解決した参照名やアドレスからなる
DNS キャッシュリストに常にクエリを発行します。
Allow DNS From Upstream Server
これは静的オブジェクトです。現時点で DNS サーバーにキャッシュされていない
データの要求を ProxySG が送信するのを許可します。
Serve DNS Only From Cache
これは静的オブジェクトです。
既にキャッシュされたコンテン
ProxySG に対して、
ツからの DNS 要求のみに応えるよう指示します。
106
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Enable/Disable DNS Imputing
これらは静的オブジェクトです。DNS の補完が有効な場合、元の名前が見つから
ないときに、
調べたホスト名にProxySG がDNS保管リスト内のサフィックスを追
加します。
Check/Do Not Check Authorization
これらは静的オブジェクトです。
この動作は、コンテンツが既にキャッシュされて
いても、認証チェックの都度、ProxySG が要求をアップストリームサーバーに強
制的に送信するかどうかを制御します。ProxySG は、認証の都度、コンテンツが必
要な認証かどうか自動的に追跡するため、
このチェック動作は、
認証を実行する
アップストリームのコンテンツ配信元サーバーには通常不要です。ただし、一部の
プロキシが資格情報をキャッシュする方法により、
チャレンジを実行できない要
求が生じる可能性があるため、
アップストリームのプロキシがプロキシ認証を実
行する際にこの動作が必要になることがあります。
要求がこのように動作する
アップストリームプロキシに送信されると、
Check Authorizationを有効にするこ
とで、
コンテンツがローカルキャッシュから提供される前に該当するすべての要
求がアップストリームプロキシによって正しく認証されます。
Always Verify
これは静的オブジェクトです。
キャッシュされたコンテンツは、
送信元、
送信先、
また
はルール内で指定されたサービスが新しいものかどうか、常に確認されます。
たと
えば、CEO と幹部社員はコンテンツを常に最新の状態にしなければならないが、
他のすべての人はそれをキャッシュから受け取ることができるということです。
Use Default Verification
これは静的オブジェクトです。
ProxySG に対して
Always Verify 動作を無効にし、
デフォルトの鮮度確認機能を使用するよう指示します。
Block/Do Not Block PopUp Ads
これらは静的オブジェクトです。ポップアップウィンドウをブロックまたは許可
します。Blue Coat は、
ポップアップのブロック機能だけを備えた Web Access
さらに、
多数の Web アプリケーション
Layer を別に作成することをお勧めします。
にもポップアップウィンドウが必要です。
イントラネットが不要な広告ウィンド
ウをポップアップするページを備えているとは考えにくいので、Blue Coat 社は、
イントラネットについてはポップアップのブロックを無効にすることをお勧めし
ます。
例を示します。
S
Web Access Layer のルール 1：[Destination] カラムでイントラネットの IP アドレ
スとサブネットマスクを設定し、
[Action] カラムで [Do Not Block Popup Ads] を
選択します。
S
Web Access Layer のルール 2：[Action] カラムで [Block Popup Ads] を選択します。
107
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
ポリシーを絶えず変更するので、特定の IP アドレスをブロックまたは許可するた
めのポリシーレイヤを増やしても構いませんが、上記の Web Access Layer ルール
2 で定義したポリシーレイヤの位置を常に最後にする必要があります。以前のポ
リシールールをトリガしない限り、
ポップアップ広告のブロックがデフォルトに
なります。
ポップアップウィンドウの概念の詳細については、セクション A:「ポップアップ
ウィンドウをブロックする」
（ 200 ページ）を参照してください。
Force/Do Not Force IWA for Server Auth
これらは静的オブジェクトです。
インターネットエクスプローラ（IE）を非透過プ
ロキシ用に構成すると、配信元サーバーからのIWA（統合Windows認証）チャレン
ジはサポートされません。
[Force IWA for Server Auth] を適用すると、ProxySG は
401タイプのサーバーの認証チャレンジを407タイプのプロキシの認証チャレンジ
に変換し、IE はそれをサポートします。ProxySG は、これによりクライアント要求
内に生じたプロキシ認証ヘッダーも標準的なサーバー認証ヘッダーに変換するの
で、IEが ProxySG によって非透過的にプロキシされる際に配信元サーバーの IWA
認証チャレンジを実行することが許可されます。
Log Out/Do Not Log Out Other Users With Same IP
これらは静的オブジェクトです。
現在のトランザクションの IP アドレスで 2 人以
上のユーザーがログインしている場合、このプロパティによって現在のトランザ
クションのユーザー以外のすべてのユーザーが現在の IP アドレスからログアウ
トされます。
Log Out/Do Not Log Out User
これらは静的オブジェクトです。
このプロパティは、現在のトランザクションで参
照されたログインをログアウトします。
Log Out/Do Not Log Out User’s Other Sessions
これらは静的オブジェクトです。
ユーザーが 2 つ以上の IP アドレスでログインし
ている場合、
このプロパティによってユーザーは現在のトランザクションの IP ア
ドレス以外のすべての IP アドレスからログアウトされます。
Reflect/Do Not Reflect IM Messages
これらは静的オブジェクトです。
IM トラフィックを、
IM サーバーに到達しないよ
うにネットワークに入れ、
この範囲内に制限することができます。
ProxySG アプ
ライアンスの階層は、各 ProxySG のフェールオープンおよびフェールクローズ
設定に応じてトラフィックを管理し、その経路を定めます。この展開の詳細につい
ては、SGOS 管理ガイドの「インスタントメッセージングプロトコルの管理」の
章を参照してください。
108
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Tunnel/Do Not Tunnel IM Traffic
これらは静的オブジェクトです。
IM トラフィックをトンネルするかどうかを指定
します。つまり、
IM トラフィックはポリシーのチェックを受けないことになりま
す。サポートされていない IM クライアントのトンネルが選択される可能性があり
ます（このルールの [Source] カラムで [IM User Agent Unsupported] オブジェクトと
共に使用します）。
Support/Do Not Support Persistent Client Requests
これらは静的オブジェクトです。クライアントから ProxySG への永続的接続を許
可すると、負荷の減少によりネットワークの全体的パフォーマンスが向上します。
このオブジェクトは、サーバーへの永続的接続を許可するかどうかを設定します。
Support/Do Not Support Persistent Server Requests
これらは静的オブジェクトです。
バックエンド認証局（LDAP、RADIUS、BCAAA
サービスなど）が多数の要求を受け取った場合は、
サーバーへの永続的接続を使用
するように ProxySG を設定できます。これによりバックエンド認証局での負荷が
著しく削減され、ネットワークの全体的なパフォーマンスが向上します。このオブ
ジェクトは、
サーバーへの永続的接続を許可するかどうかを設定します。
Block/Do Not Block IM Encryption
これらは静的オブジェクトです。
（IMサービスを介した）
標準的メッ
AOLのIMは、
セージングと直接接続のメッセージングの両方を使って暗号化メッセージを送信
できるクライアント向けオプションを提供しています。これらのオブジェクトに
より、
AOLのIMで暗号化メッセージを送信する機能をブロックまたは非ブロック
することができます。
この機能のセキュリティ上の利点の詳細については、
SGOS
管理ガイドの「インスタントメッセージングプロトコルの管理」の章を参照し
てください。
Require/Do Not Require Client Certificate
これらは静的オブジェクトです。
SSLプロキシの場合、クライアント(通常はブラウ
ザ）証明書が必要かどうかを指定します。
S
フォワードプロキシ展開では、
同意証明書の要求、
または証明書レルムの認証の
サポートに使用します。
S
リバースプロキシ展開では、
クライアント証明書が証明書レルムの認証用に要
求されます。
「Set Client Certificate Validation」
（ 112 ページ）も参照してください。
109
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Trust/Do Not Trust Destination IP
これらは静的オブジェクトです。
Trust Destination IP オブジェクトは、ProxySG に
対してクライアントが送信した IP アドレスを信頼し、
DNS の参照を実施しないよ
うに指示します。これは、透過的展開と ADN の展開を対象としています。逆に、
Do
Not Trust Destination IP は ProxySG に対して DNS 参照を常に実行するよう指示
します。
Deny
このオブジェクトは「Force Deny」
（ 101 ページ）オブジェクトと機能は同じです
が、認証を再度許可し代替文字列を挿入するためのオプションを備えています。
Return Exception
例外の種類を選択し、必要に応じてカスタムメッセージを関連付けることができ
ます。
Blue Coat は標準的な例外リストを提供していますが、
VPM はユーザー定義
の値も受け入れます。
Return Exception オブジェクトを作成するには、
1
2a
2b
3
4
5
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. 次のいずれかの手順を実行します。
a. 標準の例外タイプ：[Built-in exception] ドロップダウンリストから 1 つ
を選択します。
（ProxySG 上で既に定義済み）
タイプ：[User-defined exception]
b. カスタム例外
ドロップダウンリストから 1 つを選択します。
3. オプション：[Force exception even if later policy would allow request] を選択す
ると、
この要求に適用される他のポリシーに優先します。
110
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
4. オプション：最初の認証に失敗した場合に、
[Allow re-authentication] を選択す
ると、
資格情報を再入力することができます。
例外が返された際ユーザーに示される例外
5. オプション：[Details] フィールドに、
ページに概要および例外 ID と共に表示されるメッセージを入力します。
[Edit]
をクリックすると [Select the Rewrite String] ダイアログが表示され、ELFF と
CPL の文字列を例外に追加することができます。
上記の例では、
[DNSException2] という名前のオブジェクトが作成され、
DNS サー
バーが故障したらサポート担当者に問い合わせるよう指示するメッセージが返さ
れます。
カスタム例外を作成するには、セクション E:「例外を定義する」
（ 207ページ）を参
照してください。
Return Redirect
現在のトランザクションを停止して、クライアント要求を指定された URL に強制
的にリダイレクトします。
たとえば、
変更された URL にクライアントをリダイレク
トするのに使ったり、インターネットのアクセスポリシーを示す汎用ページに要
求をリダイレクトしたりします。
HTTP のトランザクションにのみ適用されます。
「」
も参照してください。
注意 : インターネットエクスプロ－ラ
（IE）は、HTTP 要求に対する FTP からのリダ
イレクト応答を無視します。ただし、
ネットスケープナビゲーターはリダイレク
トに従います。IEに関する問題を避けるには、
url.scheme=ftp の場合はリダイレク
トを使わないでください。
ブラウザをリダイレクトしようとしている URL もユーザーのポリシーからのリ
ダイレクト応答をトリガした場合、
ブラウザを無限ループに挿入することができ
ます。
このオブジェクトは次のリダイレクトコードをサポートしています。
S
（完全に移動）
：ProxySG は、
現在の要求と今後のすべての要求を指定の URL
301
にリダイレクトします。
リンク編集機能を備えたクライアントは、
リファレンス
をサーバーが返す 1 つまたは複数の新しいリファレンスに自動的に再リンクし
ます。
指定がない限り、
この応答はキャッシュ可能です。
たとえば、
内部リソース
のWebページが新しいサーバーに移動したら、
要求はすべてその場所に移動しな
ければなりません。
S
：これはデフォルトです。
要求されたリソースは、
一時的に別の場所に
302（検出）
格納されます。
たとえば、
サーバーを交換しているため、
ダウンタイム中クライ
アントは別の場所に移動しなければなりません。
クライアントは、
今後の要求に
も元の URL を使用し続けます。
[Cache-Control] または [Expires] ヘッダー
フィールドで指示された場合に限り、
この応答はキャッシュ可能です。
S
：302 と同様。
要求は、
指定された URL を使って接続され
307（一時リダイレクト）
ますが、
今後の要求もやはり元の URL から行われる可能性があります。
このコー
ドは HTTP/1.1 に導入されました。
111
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
[Name] フィールドにオブジェクト名を入力します（または、デフォルトを承認し
ます）
。リターンリダイレクト HTTP コードを選択します。[URL] フィールドにリ
ダイレクト先の URL を入力します。
注意 : アップグレードメモ：SGOS 6.x へのアップグレード以前に存在した Return
302 を使うように設定されます。
Redirect オブジェクトは、
ダウングレードメモ：SGOS 6.x で 302 のオプションにより作成されたオブジェク
トはすべて、
以前のバージョンの VPM により認識されます。
301 と 307 を選択した
オブジェクトは、SGOS 5.5.x までの過去のバージョンでは無視されます。
例
クライアントを PDF のポリシーステートメントファイルにリダイレクトするオ
ブジェクト（送信先のポリシーオブジェクトと連動）
。
Set Client Certificate Validation
クライアント証明書が要求されると
（
「Require/Do Not Require Client Certificate」
（ 109 ページ）参照）
、その要求されたクライアント証明書を
「オンライン証明書ス
テータスプロトコル（OCSP）
」の失効情報、
またはローカルの「証明書失効リスト
（CRL）
」のどちらを使って検証するかをこのオブジェクトで設定します。
Server Certificate Validation オブジェクトを追加するには、次の手順で実行します。
1
2
3
112
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
そのままにしてデフォルト
1. [Name] フィールドにオブジェクト名を入力するか、
を承認します。
2. （オプション）クライアント証明書の検証方法を以下から選択します。
•
[Use OCSP revocation check if available otherwise use local]：OCSP が設定済
みの場合、この検証方法は OCSP を使ってクライアント証明書の失効状態
をチェックします。
OCSP が設定されていない場合、この方法はオンボック
スの「証明書失効リスト
（CRL)」
を使って失効チェックを実行します。
これ
はデフォルトです。
•
[Use only OCSP revocation check]：OCSP のみを使用してクライアント証明
書の失効チェックを実行します。
•
[Use only local certificate revocation check]：ProxySG で設定された CRL を
使ってクライアント証明書の失効チェックを実行します。
•
[Do not check certificate revocation]：クライアント証明書の失効状態をチェッ
クしません。
ただし、他の証明書の検証チェックは引き続き実行します。
• （オプション）[Disable client certificate validation]：このオプションを選択す
ると、
証明書の検証が無効になり、他の選択肢がグレー表示になります。
Set Server Certificate Validation
この機能はデフォルトで有効にされています。
サーバー証明書のチェッ
ProxySG は、
クを実行します。
ブラウザがサポートする無効内容を再現するために、
リスト内の最
初の 3 つのチェック項目のエラーを無視するように ProxySG を設定できます。
Server Certificate Validation オブジェクトを追加するには、次の手順で実行します。
1
2
3
4
113
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
そのままにしてデフォルト
1. [Name] フィールドにオブジェクト名を入力するか、
を承認します。
以下から１つまたは複数を選択して特定のエラーを無視します。
2. （オプション）
•
[Ignore a hostname mismatch]：URL と証明書のホスト名の比較結果を無視
します
（インターセプトされた接続のみ）。
•
（[Not
[Ignore certificate expiration]：証明書の日付の確認結果を無視します。
Before] および [Not After] 日付フィールド）
•
[Ignore untrusted issuer]：発行者の署名の確認結果を無視します。
3. （オプション）サーバー証明書の検証方法を以下から選択します。
•
[Use OCSP revocation check if available otherwise use local]：OCSP が設定済
みの場合、
この検証方法は OCSP を使ってサーバー証明書の失効状態を
チェックします。OCSP が設定されていない場合、
この方法はオンボックス
の「証明書失効リスト（CRL)」を使って証明書の失効状態をチェックしま
す。これはデフォルトです。
•
[Use only OCSP revocation check]：OCSP のみを使用してサーバー証明書の
失効状態をチェックします。
•
[Use only local certificate revocation check]：ProxySG で設定された CRL を
使ってサーバー証明書の失効チェックを実行します。
•
[Do not check certificate revocation]：サーバー証明書の失効状態をチェッ
クしません。
ただし、他の証明書の検証チェックは引き続き実行します。
4. （オプション）[Disable server certificate validation]：このオプションを選択する
と、証明書の検証が無効になり、他の選択肢がグレー表示になります。
5. [OK] をクリックします。
クライアントおよびサーバー証明書の例外
ビルトイン例外を使って、
サーバーまたはクライアントの証明書の検証がエラーと
なったことをユーザーに通知できます。
例外のリストと説明については、
「4 章高度
なポリシー」
のセクション E:「例外を定義する」
（ 207 ページ）
を参照してください。
Set Client Keyring
利用可能な条件のいずれでもキーリングまたはキーリストを選択することができ
ます。
クライアント証明書の請求に応じるため、SSL アクセスポリシーレイヤにキーリ
ングまたはキーリストと共に Action オブジェクトを追加して、請求があればクラ
イアント証明書を提供できるようにします。
114
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
キーリングを使用するには、次の手順を実行します。
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. [Keyring] を選択します。
ポリシーで使用するキーリングを選択します。
3. ドロップダウンリストから、
4. [OK] をクリックします。
キーリストを使用するには、次の手順を実行します。
5. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
6. [Keylist] を選択します。
ポリシーで使用するキーリストを選択します。
7. ドロップダウンリストから、
115
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
8. [Selector] フィールドに代入変数を入力します。
すべての代入変数がサポートされています。ただし、
Selector にお勧めする代入変数に
は、
[$(user)]、[$(group)]、および [$(server.address)] があります。代入変数の詳
細については、
『Content Policy Language リファレンス』の「CPL 代入値」
（ 503
ページ）を参照してください。
注 :[Selector] の値は、キーリストの view コマンドの実行時に表示される Extractor の値
セットとマッチしなければなりません。
たとえば、証明書内の Subject.CN をユーザー
名として設定した場合、
Selectorには$(user)を使用し、
Extractorの値には$(Subject.CN)
を選択します。Extractorの値を $(Subject.O)に設定した場合、マッチングは検出され
ず、証明書は送信されません。
Selector $(group) を使用している場合は、代入変数の $(group) に含めるグ
ループリストも作成する必要があります。
「グループのログ順序リストの作成」
（ 169 ページ）
を参照してください。
9. [OK] をクリックします。
Enable HTTPS Interception
Enable HTTPS Interception オブジェクトは、ProxySG の HTTPS トラフィックの
フォワードプロキシとしての動作を有効にするので、
HTTPS トラフィックがパ
フォーマンス利得と安全性
（認証、コンテンツのフィルタリング、抗ウイルスス
キャン）を得た上でクライアントに提供されます。このオブジェクトにより、
HTTPS コンテンツのインターセプトと検査が可能になります。
HTTPS Interception オブジェクトを作成するには、次の手順を実行します。
1
2a
2b
2c
2d
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
116
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
2. SSL のコンテンツを検査可能にするには、次のように選択します。
a. [Issuer Keyring]：デフォルトのキーリングを承認するか、このオプショ
ンを選択して、ドロップダウンリストから以前作成したキーリングを
選択します。これは、エミュレート済み証明書の署名に使用するキーリ
ングです。
b. [Hostname]：ここに入力するホスト名は、エミュレート済み証明書に記
載されたホスト名です。
c. [Splash Text]：上限は 200 文字です。スプラッシュテキストは、証明書の
拡張としてエミュレート済み証明書に追加されます。スプラッシュテ
キストは、証明書の拡張としてエミュレート済み証明書に追加されま
す。例を示します。
Visit http://example.com/https_policy.html
スプラッシュテキストに代入変数を追加するには、[Edit] をクリックして
リストから選択します。
証明書の拡張としてエミュレー
d. [Splash URL]：スプラッシュテキストは、
ト済み証明書に追加されます。
ブラウザが未知のCAが署名したサーバー証明書を受け取っ
SSLのスプラッシュは、
たり、
ホストのミスマッチが発生することなどによって生じる可能性があります。
注意 : すべてのブラウザがスプラッシュテキストやスプラッシュURL を正しく表
示するとは限りません。
Enable HTTPS Interception on Exception
証明書エラーやポリシーの拒否
HTTP Interception on Exception オブジェクトは、
などの例外が発生した場合に、SSL トラフィックをインターセプトするのに使用
されます。これは HTTPS インターセプトオブジェクトと異なり、あらゆる HTTPS
トラフィックをインターセプトします。
HTTPS Interception on Exception オブ
ジェクトの設定の詳細については、
「Enable HTTPS Interception」
（ 116 ページ）を
参照してください。
Disable SSL Interception
これは静的オブジェクトです。このオブジェクトを選択すると、HTTPS のイン
ターセプトが無効になります。
Send IM Alert
IM ユーザーに送信されるメッセージを ProxySG で定義します。メッセージは、ポ
リシーで定義される IM パラメータによりトリガされます（たとえば、クライアン
トのログイン、送受信メッセージ、バディ通知など）。
『 SGOS 管理ガイド』では、
ProxySG による IM の制御について VPM の例と共に詳述しています。
例
メッセージング処理がログ記録されることを知らせるメッセージ
IM ユーザーに、
です。
117
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Modify Access Logging
アクセスログ動作を定義します。
S
[Disable all access logging]：ルールにマッチする要求のログ動作は記録されま
せん。
S
[Reset to default logging]：ProxySG の設定により指定されるデフォルトのログが
ある場合、
要求のログ記録をデフォルトのログへとリセットします。
S
[Enable logging to]：このルールにマッチする要求の指定されたログへの記録を
有効にします。
S
[Disable logging to]：このルールにマッチする要求の指定されたログへの記録を
無効にします。
例:
このルールでの P2P のログ記録が有効になります。
118
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Override Access Log Field
アクセスログのエントリを操作することができます。どの特定ログの値でも、隠
したり、Base64 でエンコードしたり、書き換えたりすることができます。
アクセスログフィールドを無効にするには、次の手順を実行します。
1
2
3
4
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. [Log Name] ドロップダウンリストからログを選択します（ProxySG 上に設定
済み）
。
3. [Field Name] ドロップダウンリストからアクセスログフィールドを選択します。
4. 次のうち 1 つを選択します。
•
[Log original value]：未変更値をアクセスログに記録します。
•
[Suppress value]：値がアクセスログに表示されないようにします。
•
[Base64 encode value]：エンコードした値をアクセスログに記録します。
•
値と置き換える文字列を入力します。
[Rewrite value]：フィールドに、
[Edit] を
クリックすると、
代
[Select The Rewrite String] ダイアログが呼び出されます。
入変数が、
特定の情報をオブジェクトに追加するよう ProxySG に指示しま
す。
変数がプレフィックスに従ってアルファベット順に分類されます。
注意 : 一部の変数にはプレフィックスがないので、
その場合は、
別の種類
のフィールドで定義済みの情報で値を置き換えることができます。
5. [OK] をクリックします。
上記の例では、ログエントリを表示しない CEOLogRewrite という名前のオブジェ
クトが作成されるので、サポート担当者のような人は、誤った知識を得るような経
済的に重要な情報は表示できません。
119
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Rewrite Host
URL のホストコンポーネントを書き換えて、
Windows Media、
Real Media、すべ
てのプロトコルのいずれかを指定します。これを使って要求を別のホストにリダ
イレクトします。たとえば、www.traning1.com を www.training2.com に書き換えま
す。複数の書き換え内容を作成し、名前を付けることはできますが、指定できるの
は 1 ルールにつき 1 つだけです。
書き換え内容を指定するには、次の手順を実行します。
1
2
3
4
1. [Name] フィールドに名前を入力するか、そのままにしてデフォルトを承認し
ます。
[Windows Media]、[Real Media]、また
2. [Scheme] ドロップダウンリストから、
は、プロトコルを問わずすべての URL を書き換える [All] を選択します。
ホスト名を入力します。
3. [Pattern] フィールドに、
4. [Replacement] フィールドに、パターンを書き換える名前を入力します。
5. [OK] をクリックします。
120
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Reflect IP
アップストリームホストへの接続時に使用される IP アドレスを設定します。
Reflect IP オブジェクトを作成するには、
1
2
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
次のいずれかを選択します。
2. [In outgoing client IP, reflect] エリアで、
•
[Do not reflect IP]：IPアドレスを反映する機能を無効にします。ProxySGは、
要求の送信元であるインターフェースの IP アドレスを使用します。
•
[Incoming client IP [IP reflection]]：クライアントの IP アドレスを反映します。
•
[Incoming proxy IP]：要求の送信先となる IP アドレスを反映します。
•
[Proxy IP]：ProxySG の特定の IP アドレスを反映します。IPv4/IPv6 アドレ
スをフィールドに入力します。
•
[Use global configuration]：Reflect IPをシステム全体のすべてのサービスに
使用するかどうかを設定します。
デフォルトではこのチェックボックスは
オンになっています。
注意 :一部を除くすべてのサービスに対して IP アドレスの反映をオンにし
たい場合は、
最初にこのオプションをオンにしてから、除外するサービス
について Reflect IP を無効にします。
3. [OK] をクリックします。
例
上記の例では、ProxySG 上で設定された別の IP アドレスが反映されます。
121
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Set Server URL DNS Lookup
サーバーURLのホスト名を解決するために、IP接続タイプの優先度を設定します。
たとえば、IPｖ6 ネットワーク上の既知のサーバーリストがある場合、これらの
IPv6 DNS サーバーのみのホスト名を参照するポリシーを作成することにより、タ
イムアウトや不要なクエリが発生しないようにすることができます。
Server URL DNS Lookup オブジェクトを作成するには、次の手順を実行します。
1. 次のいずれかを選択します。
•
[Look up only IPv4 addresses]：指定されたサーバーでのすべての DNS 参照
に、設定済みの IPv4 DNS サーバーを使用します。
•
[Look up only IPv6 addresses]：指定されたサーバーでのすべての DNS 参照
に、設定済みの IPv6 DNS サーバーを使用します。
•
[Prefer IPv4 over IPv6 addresses]：最初に設定済みの IPv4 DNS サーバーを
使用し、そのクエリが失敗した場合は、設定済みの IPv6 DNS サーバーを使
用します。この設定はグローバルデフォルトです。
•
[Prefer IPv6 over IPv4 addresses]：最初に設定済みの IPv6 DNS サーバーを
使用し、そのクエリが失敗した場合は、設定済みの IPv4 DNS サーバーを使
用します。
2. [OK] をクリックします。
122
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Suppress Header
送信要求、送信応答、
またはその両方で抑制する
（送信しない）
1 つ以上の標準ヘッ
ダーを指定します。
Suppress Header オブジェクトを作成するには、次の手順を実行します。
1
2
3
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
有効なヘッダーは要求や
2. [Request]、[Response]、または [Both] を選択します。
応答に応じて異なります。
[Both] は、要求と応答に有効なヘッダーからなる少
数のサブセットを表示します。
3. リストから１つまたは複数のヘッダータイプを選択します。
4. [OK] をクリックします。
上記の例では、
ヘッダーを抑制するルールで使用される EconomicConfidentialAccess
という名前のオブジェクトが作成されるので、
指定されたユーザーは、
送信元の情
報を入手できるサポート担当者のような人がいなくても、経済的に重要な情報に
アクセスできます。
123
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Control Request Header/Control Response Header
次の方法により、要求ヘッダーと応答ヘッダーを制御したり修正することができ
ます。
S
特定の値を持つヘッダーを挿入します。
S
特定のヘッダーの値を書き換えます。
S
特定のヘッダーを抑制します。
Request Header または Control Response Header オブジェクトを作成するには、
次の手順を実行します。
1
2
3
4
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
必要に応じて [All] から [Standard] のいず
2. [Show] ドロップダウンリストから、
れか、または [Custom] の表示フィールドを選択します。[Standard] は、デフォ
ルトの標準ヘッダーのみを表示します。[Custom] は、
管理者定義ヘッダーがあ
れば表示します。
（定義済み）を選択し、標準ヘッダーが
3. [Header Name] リストから標準ヘッダー
拒否された場合はカスタムヘッダーを選択します。
4. 以下からアクションを選択します。
•
抑制：ヘッダーは表示されません。
•
値を設定：ヘッダーを文字列または値で置き換えます。
•
値に追加：既存のヘッダーに文字列または値を追加します。
5. [OK] をクリックします。
124
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Notify User
この機能は、
ユーザーのWebブラウザに通知ページを表示します。ユーザーはその
通知を読み、[Accept] ボタンをクリックして初めて Web コンテンツにアクセスす
ることができます。
以下はカスタマイズ可能です。
S
ページタイトル、
通知メッセージ、
および [Accept] ボタン。
S
通知を再度表示させる条件。デフォルトでは、ユーザーが新しい Web ブラウ
ズセッションを開始するたびに通知が表示されます
（再起動、
ログアウト、
また
は、
すべてのWebブラウザウィンドウを閉じる）
。
ユーザーは、
ホストやWebサイ
トに新しい訪問があるたびに、
または一定の間隔を置いて、
再通知を実行するよ
うに設定できます。
注意 : HTTP のアクセスログが有効であれば、
[Accept] ボタンのクリック動作
がログに記録されます。次の文字列を含む URL はログに記録されます。
accepted-NotifyName、
ここで NotifyName は Notify User オブジェクトの名前
です。
これは、次の機能の提供を目的としています。
S
インターネットにア
Web 利用のコンプライアンス：コンプライアンスページは、
クセスしようとするとユーザーの Web ブラウザに表示される、
ユーザー設定の
通知ページです。
このページにより、
従業員は企業の利用規約を確実に読んで理
解した上でインターネットの利用を許可されることになります。
通常、
コンプラ
イアンス通知はブラウザを開くたびに表示されますが、
そのページを一定の間
隔で、
または毎日、
毎週、
毎月の決まった時間帯に表示するための時間条件を設
定することができます。
S
ユーザーの指導：指導ページは、
コンテンツのフィルタリング方針によりブロッ
クされる Web サイトをユーザーが訪問すると表示されます。
このページでは、
サ
イトのブロック理由、
非認可アクセスにより生じる結果、
ビジネス目的のためア
クセスが認可される場合のサイトへのリンク、
に関する説明が行われます。
指導
ページは、
コンテンツのフィルタリング方針により禁止される新しいWebページ
をユーザーが訪問するたびに表示するよう設定されます。
ただし、
このページは
異なる時間間隔で表示されるように設定することも可能です。
125
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
HTML 通知を設定するには、次の手順を実行します。
1
2
3
4
5
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
ページのタイトルとなる名前を入力します
（テキストの
2. [Title] フィールドで、
み。HTML は不可）。
3. [Body] フィールドで、ユーザーへのメッセージを表示する HTML のブロック
内容を作成します。
[Accept] のリンクまたはボタンのテキストもカスタマイズ
可能です。HTMLの本文には[Accept]ボタンまたはリンクを挿入する必要があ
ります。デフォルトは次のとおりです。
<body><a href="$(exception.details)" onclick="Accept();">Accept</
a></body>
ボタンの画像を使用することもできます
（次の例にあるように、
画像は外部の
Web サーバーに存在）。
<body><a href="$(exception.details)" onclick="Accept();">
<img src=”http://server.com/images/accept.png”> </a> </body>
HTML エディタを使用してコードを作成する場合は、それを VPM にペースト
可能です。ただし、<body> タグから </body> タグまでの HTML のみをコピーし
ます。
126
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
4. [Notify mode]では、新しいWebサイト訪問時の通知を決めるオプションを以下
から選択します。
•
これを使ってコ
[Notify once for all hosts]：通知ページを 1 回だけ表示します。
ンプライアンスページが構成されます。
このオプションは Virtual Notify
URL を使用します。URL をデフォルト値から変更する必要がある場合は、
この手順の後の制限に関するセクションを読んでください。
注意 : このオプションにより、
Webのブラウジング速度が著しく低下する
場合があります。
•
[Notify only once for related domains]：ユーザーが新しい Web サイトを訪問
するたびに通知ページが繰り返し現れます。これを使って指導ページが構
成されます。
注意 : このオプションは、
一部の Web 広告のバナー表示を妨げます。場合
によっては、
通知ページがバナーの中に表示されます。また、
バナー広告
が JavaScript エラーにより無効になる場合もあります。これらの問題を
解決するために、Web Advertising、Advertising、または Web Ads のカテゴ
リに属する URL に通知ページを表示しないようにします。このカテゴリ
の実際の名前はコンテンツフィルタリング業者により異なり、業者に
よってはこれに相当するカテゴリを持たない場合があります。
•
[Notify on every host]：ユーザーが新しい Web ホストを訪問するたびに通知
ページが繰り返し現れます。Blue Coat は、経験豊富な管理者だけがこのオ
プションを利用することをお勧めします。
前のオプションで説明したよう
に、このオプションはバナー広告を壊すだけでなく、インターネットの一
部の Web サイト上で JavaScript エラーを生じ、サイトの機能を損なう恐れ
があります。
5. [Notify users again] で、通知が期限切れで再通知が必要な場合に設定するオプ
ションを選択します。
•
[At next browser session]：通知ページはブラウザの次のセッションまで再
表示されません。ユーザーが再起動、
ログアウト、または、
すべての Web ブ
ラウザウィンドウを閉じる操作を行うと、
このオプションによりブラウザ
のセッションが終了します。
•
：定義済みの経過時間（分または時間）後、通知が再度行
[After（一定時間後）
]
われます。これが指導ページに役立ちます。
•
：１日のうちの特定時刻に通知が再度行われます。
時間の間
[After（特定時刻）
]
隔を数日間に設定できます。
これがコンプライアンスページに役立ちます。
注意 : この時間はローカルワークステーションから参照されます。
コン
プライアンスページを構成するときは、ワークステーションと ProxySG
のクロックが同期することを確認します。
127
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
毎日１回午前7時を過ぎると表示す
上記の例では、[Notify Object] オブジェクトが、
るように設定されたカスタムメッセージと共に作成されます。
双方向性と回避策
デフォルトのVirtual Notify URLを変更する必要がある場合、以下について考慮し
ます。
S
（http://）
で構成されま
Virtual Notify URLはHTTPドメイン名またはIPアドレス
す。
ポート番号はオプションです。
S
信頼さ
Windows XP サービスパック 2 のインターネットエクスプローラ 6 では、
れたサイトとして明示的に定義されたホスト名を使用しないようにします。
ま
た、
ドットを含むドメイン名のみを使用します。
ドットを含まないドメイン名を
使用すると、
通知動作で生成された HTTP のリダイレクトにより、
ユーザーが信
頼されていないサイトから信頼されたサイトに、
あるいはその逆にリダイレク
トされるたびに、
インターネットエクスプローラが誤った警告メッセージを表
示します。
S
透過プロキシ展開では、
ProxySGを経由する送信先IPアドレスの範囲内にあるIP
アドレスに対し、
ドメイン名は DNS で解決可能であることが必要です。
ポリシーの相互作用
このアクションでは、他のポリシーを妨げたり不要な動作を招いたりする可能性
のある CPL が作成されます。
将来の SGOS のリリースでは改善される見込みです。
本リリースでは、以下のガイドラインについて考慮します。
S
Cookie の要求ヘッダーを変更するVPMのポリシーを作成しないようにします。
S
および P3P 応答ヘッダーを変更する VPM のポリシーを作成しない
ようにします。
S
通知ページはブラウザの履歴に存在しています。
このため、
[Accept] をクリッ
クして要求されたページに進んだら、
「戻る」
ボタンをクリックすれば再度通知
ページに戻ります。
S
そのシリーズの各アプライアンスで構成された別々
ProxySG シリーズがあり、
の通知ページが存在する場合、
各通知ページは別々のオブジェクト名を持つ必
要があります。
Set-Cookie
Strip Active Content
指定されたアクティブコンテンツの HTML ページから HTTP タグを除去します。
除去対象に選択したアイテムごとに、ユーザーに表示されるカスタムメッセージ
を作成することも可能です。
そ
注意 : HTTPS のトンネル接続を介して提供されるページは暗号化されるので、
のコンテンツは変更できません。
128
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
様々な種類のアクティブコンテンツの詳細については、
「4 章：高度なポリシー」の
セクション C:「アクティブコンテンツをストリップまたは交換する」
（ 203 ペー
ジ）を参照してください。
Strip Active Content オブジェクトを作成するには、次の手順を実行します。
1
2
3
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. [the active content to be stripped] を選択します。
3. [Replacement Text] カラム内のデフォルトのメッセージは [Active Content
デフォルトのメッセージを置き換えるには、
そのフィールドを
Removed]です。
ダブルクリックしてメッセージを入力し、
スクリーン
[Enter] を押します。
ショット内の例で、
Java アプレットが除去されたことを確認します。
ProxySG の適用除外
アクティブコンテンツの除去は、
イントラネット上に展開される Web アプリケー
ションを妨げる場合があります。たとえば、Java アプレットを除去するポリシー
ルールを作成し、
そのルールで定義された送信先に、プロキシとして機能する
ProxySG の IP アドレスが含まれる場合、
Management Console 自体が Java アプ
レットで構成されているため、このポリシールールは実際には Management
Console を無効にします。
このようになるのを防ぐには、
プロキシとして機能する ProxySG ごとに、
ProxySG
の IP アドレスを除去の適用から除外するルールを作成します。
1. [Add Rule] をクリックします。
アクティブコン
2. [Move Up] をクリックします。
ProxySG を除外するルールは、
テンツを除去するルールに優先しなければなりません。
129
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
3. [Destination] フィールドに ProxySG の IP アドレスを入力します。
4. IP アドレスを入力したら、[Destination] フィールドでそれを右クリックし、ド
ロップダウンリストから [Negate] を選択します。
5. [Action] フィールドに、Java Apps 動作である Remove Active Contents を入力
します。
図 3–10 ProxySG の IP アドレスの適用除外
HTTP Compression Level
圧縮のレベルを低、
中、
高に設定することができます。
構成する際は、圧縮レベルを
上げると CPU リソースの消費量が増えることを考慮します。
注意 : VPM で HTTP 圧縮を有効にしても、
VPM のポリシーで HTTP 圧縮のレベル
を設定しなければ、
このレベルはデフォルトで [Low] となります。
HTTP 圧縮レベルを設定するには、
1. 次の圧縮レベルのオプションを 1 つ選択します。
•
[Low]：圧縮レベル 1 に相当します。
•
[Medium]：圧縮レベル 6 に相当します。
•
[High]：圧縮レベル 9 に相当します。
2. [OK] をクリックします。
オブジェクトには、
Compression Level Low、Medium、High のいずれかの名前が自
動的に付けられます。
Set Client HTTP Compression
クライアントがキャッシュ内のコンテンツと異なる圧縮形式のコンテンツを希望
する場合の動作を設定します。
圧縮動作を設定するには、次の手順を実行します。
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. このオブジェクトには、次の 2 つの指示があります。
•
130
クライアントは圧縮されたコンテンツを要求していますが、圧縮されてい
ないコンテンツしか用意できません。コンテンツを圧縮してから提供する
か、圧縮されていないコンテンツを提供するかを選択します。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
•
クライアントは圧縮されていないコンテンツを要求していますが、
圧縮さ
れたコンテンツしか用意できません。コンテンツを解凍してから提供する
か、圧縮されたコンテンツを提供するかを選択します。
デフォルトは、コンテンツをそれぞれ圧縮または解凍してから提供すること
です。
3. [OK] をクリックします。
推奨する圧縮設定については、
『SGOS 管理ガイド』を参照してください。
Set Server HTTP Compression
HTTP 圧縮を有効または無効にします。
圧縮オプションを設定するには、次の手順を実行します。
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. 次の圧縮オプションを 1 つ選択します。
•
オブジェクトは圧縮されません。
[Disable HTTP compression]：デフォルト。
•
[Use client HTTP compression options]：デフォルトは、クライアントが要求
するコンテンツの圧縮タイプにすることです。
•
[Always request HTTP compression]：クライアントに対し、常に圧縮された
コンテンツを要求するよう強制します。
3. [OK] をクリックします。
推奨する圧縮設定については、
『SGOS 管理ガイド』を参照してください。
Set HTTP Request Max Body Size
を設定します。
この上
HTTP 要求の主要コンテンツのサイズの上限（バイト単位）
限を超えると、要求は拒否されます。
131
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Manage Bandwidth
受信および送信の両方のトラフィックにおけるすべてのプロトコルまたは特定の
プロトコルの帯域幅を管理することができます。
Manage Bandwidth オブジェクトを作成するには、
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. Client side または Server side のどちらかで帯域幅を制限することを選択します。
•
[Client side]：クライアントと ProxySG 間を流れるトラフィック。
•
[Server side]：サーバーと ProxySG 間を流れるトラフィック。
3. Inbound または Outbound トラフィックの帯域幅を制限することを選択します。
•
インバウンドトラ
[Inbound]：ProxySG に流れ込むネットワークパケット。
フィックは、主に配信元コンテンツサーバー（OCS）から発信されて
ProxySG に送信されるパケットで構成されており、Web 要求に応じてクラ
イアントから発信されて ProxySG に送信される Web オブジェクトとパ
ケットをロードします。
•
[Outbound]：ProxySG から流れ出すネットワークパケット。アウトバウン
ドトラフィックは、主に Web 要求に応じてクライアントに送信されるパ
ケットと、
OCS またはあるサービスを要求するために他のサービス（ウイ
ルススキャナなど）に送信されるパケットで構成されています。
4. ドロップダウンリストから Bandwidth Class を選択します。
5. [OK] をクリックして [Save Changes] をクリックします。
帯域幅管理の詳細については、SGOS 管理ガイドを参照してください。
ADN Server Optimization
バイトキャッシングを ADN（アプリケーション配信ネットワーク）接続の片側
（ブランチまたはコア）
または両側
（ルール内で指定されたIPアドレス）
で採用する
かどうかを設定します。バイトキャッシングは WAN のレイテンシを低減します。
132
S
[Optimize traffic in both directions]：サーバーの送受信トラフィックにバイト
キャッシングを適用します。
S
[Optimize only inbound traffic]：サーバーへの受信トラフィックにのみバイト
キャッシングを適用します。
S
[Optimize only outbound traffic]：サーバーからの送信トラフィックにのみバイト
キャッシングを適用します。
S
[Do not optimize traffic]：特定の接続でのバイトキャッシングを許可しません。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Modify IM Message
IMクライアントでは、ProxySGを介してログインするクライアントのIMメッセー
ジに対し、
表示される所定のテキストを置き換えまたは追加します。たとえば、
企業ネットワークの外から送信されたイン
Time オブジェクトと一緒に使用して、
スタントメッセージを勤務時間中は見られないことをユーザーに知らせます。
IM メッセージ変更オブジェクトを作成するには、次の手順を実行します。
1
3
2
1. [Name] フィールドにオブジェクト名を入力するか、デフォルトを承認します。
テキストフィールドに IM クライアント上に表示さ
2. ルールが適用される場合、
れるメッセージを入力します。
3. 次のうち 1 つを選択します。
•
[Set message text]：IM クライアントに対して表示されるメッセージを置き
換えます。スクリーンショットの例を参照してください。
•
[Append to message text]：指定されたテキストがIMメッセージに追加され
ます。
『Blue Coat SGOS 6.x 管理ガイド』のインスタントメッセージの章では、
ProxySG
を介した IM 制御の詳細を、VPM の例と共に述べています。
133
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Return ICAP Feedback
ICAPスキャンが所定の時間を超えると、クライアントに対するお詫びページを表
示するか、データのトリックル機能を使用するかを設定します。
ICAP のフィードバックを返すには、次の手順を実行します。
1
2a
2b
2c
3a
3b
3
デフォルトを承認します。
1. オブジェクトに名前を付けるか、
2. 以下のインタラクティブトラフィック（Web ブラウザベースの要求）のオプ
ションを選択します。
a. [Do not provide feedback...]：ICAP スキャンの時間超過に関するユーザー
へのフィードバックはありません。
b. [Provide feedback after <value> seconds]：スキャンに関してクライアン
トへのフィードバック（お詫びページまたはデータのトリックル）が行
われるまでの時間を指定します。
•
お詫びページの方法をとる場合の範囲は 5 ～ 65535 です。
•
トリックルの方法をとる場合の範囲は 0 ～ 65535 です。
c. フィードバック方法を以下から選択します。
•
134
[Return patience page]：ProxySG が Web ブラウザのクライアントに対
する
（カスタマイズ可能な）ページを表示し、そのユーザーにコンテン
ツのスキャンが実行中であることを知らせます。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
•
[Trickle object data from start]：クライアントがオブジェクトデータを
ほとんど受け取っておらず、
コンテンツスキャンの結果が保留状態の
ため、より安全な方法です。
ただし、
ユーザーが待ちきれなくなり、要求
を終了して接続を再実行する可能性があります。
•
[Trickle object data at end]：クライアントがほとんどのオブジェクトデー
タを受け取っており、コンテンツスキャンの結果が保留状態のため、
安全性の低い方法です。
ユーザーはこの接続がほぼ完了したと認識して
いるので、
この方法は優れたユーザーエクスペリエンスを提供します。
3. 非インタラクティブなトラフィック（Flash プレーヤーやオートアップデータ
などの非 Webブラウザベースのクライアント）のオプションを選択します。手
順 2 の説明を参照してください。
4. [OK] をクリックします。
ICAP スキャンが実行中であることをユーザーに知らせるページが表示される前
に、配信元コンテンツサーバーからコンテンツが提供されるまでの ProxySG の待
ち時間を秒単位で入力します。
注意 : ポップアップブロックが有効なポリシーがあるかどうかにかかわらず、
お
詫びページが表示されます。
お詫びページの管理と制限事項については、
『SGOS 管理ガイド』の「ICAP フィー
ドバックの設定」に記載されています。
Set Dynamic Categorization
動的分類は、
従来のコンテンツのフィルタリン
URL の分類プロセスを拡張します。
グでは膨大な URL 形式のデータベースを検索する必要がありますが、
このデータ
ベースはベンダーが発行し、規定の間隔で ProxySG にダウンロードされます。新
しいコンテンツは常にWebに接続されているので、制限事項として、その存在が検
出され、追加、アップロードが行われるまでフィルタリングはできません。動的分
類は、新しい Web ページをスキャンして、その内容の判定を試み、
その結果リアル
タイムで分類することにより、コンテンツのフィルタリングの幅を広げます。
まず、
未分類のページが見つかったら、
ProxySG は分類要求を受けて外部サービス
を呼び出します。
コンテンツのスキャンが終わると、
カテゴリが割り当てられます
（時間の大部分）
。
関連情報については、
『SGOS 管理ガイド』のコンテンツのフィルタリングに関す
る章を参照してください。
動的分類を設定するには、次の手順を実行します。
1. 次のいずれかのモードを選択します。
•
[Do not categorize dynamically]：ロードしたデータベースでカテゴリ情報を調
べます。
データベースにない URL は、カテゴリ「none」と表示されます。
135
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
•
[Categorize dynamically in the background]：データベースで分類されない
オブジェクトを時間の許す限り動的に分類します。DRTRを受けている間、
プロキシ要求はブロックされません。
データベースで見つからないオブ
ジェクトはカテゴリが
「pending」と表示され、DRTR が要求されたものの、
DRTR の応答が得られる前にオブジェクトが提供されたことを示します。
•
データベースで分類されない
[Categorize dynamically in realtime]：デフォルト。
オブジェクトは、最初のアクセスで動的に分類されます。
この分類に DRTR
サービスの利用が必要な場合、
DRTR が応答するまでプロキシ要求はブ
ロックされます。
•
[Use dynamic categorizing setting from configuration]：ProxySG の設定のデ
フォルトです
（[Content Filtering]>Blue Coat>[Dynamic Categorization]）。
2. [OK] をクリックします。
Set External Filter Service
コンテンツ要求に、
インストールされたどのコンテンツフィルタリングサービス
またはサービスグループを適用するか、あるいはバイパスさせるかを指し、
ProxySG と外部サービス間に通信エラーが発生した場合の動作を設定します。
外部のフィルタサーﾋﾞｽ要求の動作を決めるには、次の手順を実行します。
1
2
3
ルール内で定義される
どの種類の要求も、
外部
のフィルタサービス経
由でコンテンツのフィ
ルタリングを受けない
ようにする
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. ルール内で定義されるすべての要求に特定の外部フィルタサービス受けさせ
るには、[Use External Filter Service] を選択します。ドロップダウンリストか
ら、外部フィルタサービスまたはサービスグループ（ProxySG に既に搭載済
み（[Configuration] > [External Services]）
）を選択します。
136
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
3. [Error handling] フィールドで、次のオプションのいずれかをオンにします。
•
通信エラーが発生した場合にすべての要求を拒否するには、
[Deny the client
を選択します。
]
request
•
コンテンツのフィルタリングを受けずに要求の処理を進めるには、
[Continue without further external service processing] をオンにします。
4. [OK] をクリックします。
Set ICAP Request Service
コンテンツ要求に、インストールされたどの ICAP サービスまたはサービスグ
ループを適用するか、
あるいはバイパスさせるかを指定します。また、
ProxySG と
ICAP サーバー間に通信エラーが発生した場合の動作も指定します。
ICAP 要求の動作を決めるには、次の手順を実行します。
1
2
3
4
5
ルール内で定義される
すべての種類の要求
が、ICAP要求サービス
経由で AV スキャンを
受けないようにする
137
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
デフォルトを承認します。
1. 名前を編集するか、
2. [Use ICAP request service]をオンにします。[Add ICAP Request Service Object]
ダイアログが表示されます。
3. ICAP のモードを選択します。
•
HTTP および FTP トラフィックにプレーン ICAP を使用し、HTTPS トラ
フィックにセキュア ICAP を使用するには、[If available use secure ICAP
これはデフォルトの
connections for encrypted responses] を選択します。
モードです。
•
すべてのトラフィック（HTTP、HTTPS、
FTP）にセキュア ICAP を使用する
には、
[Always use secure ICAP connections] オプションを使用します。
•
すべてのトラフィック（HTTP、HTTPS、
FTP）にプレーン ICAP を使用する
には、
[Always use plain ICAP connection] オプションを使用します。
[Add]
4. [Available services] フィールドから直前に名前を付けたサービスを選択し、
をクリックします。これにより、そのサービス名が [Selected failover sequence]
フィールドに移動します。
5. エラー処理を設定するには、次のオプションのいずれかを選択します。
•
通信エラーが発生した場合にすべての要求または応答を拒否するに
は、[Deny the client request] をオンにします。これはデフォルトで、Blue
Coat はこのオプションをお勧めします。
•
ICAP スキャンを行わずに要求または応答の処理を進めるには、
[Continue
これにより、
without further ICAP request processing] をオンにします。
コンテンツの整合性にリスクが生じることに注意してください。
オブジェクトをルールに追加するには、
再度 [OK] をク
6. [OK] をクリックします。
リックします。
注意 : オブジェクトが再度要求された場合、
これ
ICAP サービスが復元したら、
らのオブジェクトがスキャンされ、キャッシュから提供されます。
Set ICAP Response Service
「Set ICAP Request Service」
（ 137 ページ）と同じですが、HTTP や FTP などの他の
プロトコル応答に適用されます。
ProxySG で作成される ICAP 応答修正サービス
が必要です（[Configuration] > [External Services] > [ICAP]。
138
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Set Malware Scanning
この操作は Web 応答に対するマルウェアスキャンのレベルを指定するもので、
Blue Coat の ProxyAV を ICAP スキャン用に構成した場合にのみ適用できます。こ
のオプションにより、VPM 内でルールを作成して、
構成時に設定されるマルウェ
アスキャンオプションを補完することができます ([Configuration] > [Threat
たとえば、構成時に定義したデフォルトと異な
protection] > [Malware Scanning])。
る特定の送信先やサブネットのマルウェアスキャンレベルを微調整するのにこ
の操作を使うことができます。
以下のオプションが利用可能です。
すなわち、
構成時に設定した保護レベルを使
い、保護機能が最大のマルウェアスキャンを実行し（最高セキュリティ）
、ハイパ
フォーマンスなマルウェアスキャンを実行します
（ハイパフォーマンス）
。
ProxyAV アプライアンスは、最高セキュリティへの設定時にすべての Web 応答を
スキャンしながら、マルウェア感染のリスクの小さいハイパフォーマンスなバイ
パスコンテンツへの設定時に Web 応答のスキャンを選択的に実行します。
Set FTP Connection
FTP で送信要求をする場合、可能であれば、
FTP の接続を直ちに行うか延期するか
を設定します。接続を延期する利点は、
以前キャッシュされたコンテンツの要求
に、配信元サーバーに接触しなくても応えることができます。これにより、その
サーバーでの FTP の負荷が小さくなります。
Set SOCKS Acceleration
SOCKS 要求を加速するかどうかを指定し、転送方法を定義します。
SOCKS の加速化を設定するには、次の手順を実行します。
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
2. 次のいずれかを選択します。
•
[Automatically]：接続を受信する送信先ポートに基づいて、SOCKS要求を自
動的に加速します。
•
[Do Not Accelerate]：このルールにマッチする SOCKS 要求を加速しません。
•
[Accelerate via [HTTP | AOL IM | MSN IM | Yahoo IM]]：このルールにマッチ
する要求に適用する加速の種類を指定します。
3. [OK] をクリックします。
139
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Disable SSL Detection
重要 : このオブジェクトは、
SGOS 4.2.x には存在したが、
SGOS 5.3.x で使用できな
いユーザーが選択可能な SSL 検出オプションを保存する目的にのみ必要です。
またはすべてで SSL を検出するか
SGOS 4.2.x では、
HTTP、
SOCKS、
TCP のいずれか、
どうかを選択できました。
SGSO 5.3.x ではこれらのオプションをユーザーは選択で
きませんが、
このオブジェクトを使って以前の動作を保存することができます。
4.2.x での SSL の検出動作を保存するには、
1
2
1. 次のいずれかを選択します。
•
SGOS 4.2.x で SSL を検出しないようにすべてのプロキシを構成した場合、
[All Tunneled Traffic] を選択して手順 3 に進みます。
•
SGOS 4.2.x で SSL を検出するように 1 つか 2 つのプロキシを構成した場合、
[Traffic Tunneled Over] を選択して手順 2 に進みます。
2. プロキシを 1 つ以上選択します。
3. [OK] をクリックします。
この機能の詳細については、
『Blue Coat SGOS アップグレード / ダウングレード
ガイド』を参照してください。
Set Streaming Max Bitrate
要求されたストリーミングメディアの最大ビットレート（ビット/秒）
を設定しま
す。要求がこのルールを超える場合は、要求が拒否されます。
140
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Set Client Connection DSCP Value
送信用の DSCP
（DiffServe コードポイント）
値または Source カラムの DSCP 値に
マッチする（サーバーからの）
プライマリクライアント接続動作を設定します。
サーバーからクライアント DSCP 値または動作を設定するには、次の手順を実行します。
1
2a
2b
2c
2d
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。この例では、
DSCP 値を CS1] (IP 優先度 1）に設定します。
2. 次のいずれかの動作を選択します。
（基準点、
a. [Echo the inbound packet’s DSCP value]：同じ送信
ProxySG）パ
ケットの DSCP 値を受信値として使用します。
（クライアントから）
b. [Preserve the incoming DSCP value]：受信した
DSCP
ビットを primary サーバーの接続上で追跡し、
パケットをサーバーへ
の送信パケットとして送信する際に同じ値を使用します。これは、複数
のクライアント / サーバー接続を持つプロトコルにとって有用です。
たとえば、
FTP の制御とデータ接続について考えます。値は接続ごとに
独立した状態を維持します。
c. [DSCP name]：受信する DSCP の代わりに、ドロップダウンリストから
選択した DSCP 値を使用します。
d. [DSCP value]：受信する DSCP の代わりに、この未分類の DSCP 値（範囲
は 0 to 63）を使用します。
3. [OK] をクリックします。
ProxySG を、サービスの種類を基にトラフィックを操作するように設定する場合
の概念的情報については、
『Visual Policy Manager リファレンス』
の
「4 章　高度なポ
リシー」の「QoS と各種サービスを管理する」のセクションを参照してください。
141
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Set Server Connection DSCP Value
このオブジェクトは「Set Client Connection DSCP Value」
（ 141 ページ）と同じで
すが、
クライアント接続からサーバー接続にDSCP値またはDSCPビットを使用す
る場合に適用されます。
Set ADN Connection DSCP
このオブジェクトは、アプリケーション配信ネットワーク（ADN）
のトンネル接続
用に DSCP の設定を指定します。これにより、WAN トラフィックを管理する上で
より細かい制御が可能です。たとえば、
OCS から送信されるパケットとダウンス
トリームのトンネルパケットで、DSCP 値を同じ値にしたくない場合があります。
ADN 接続の DSCP 値を設定するには、
1a
1b
1. 次のオプションの内 1 つを選択します。
a. [Preserving the incoming DSCP value]：他のポリシーが指定されなけれ
ば、これがデフォルト動作になります。ADN プロキシ
（ブランチとコン
セントレータ）は、次の受信パケットの DSCP 値の状態を維持します。
•
クライアントの受信パケットとアップストリームのトンネル
トの DSCP 値は同じです。
パケッ
•
コンセントレータに向けたサーバーの受信パケットとダウンストリー
ムのトンネルパケットの DSCP 値は同じです。
b. [DSCP name] ドロップダウンリストから、標準のDSCP値の1つを選択
します。これは次のように動作します。
142
•
アップストリームのトンネルパケットの DSCP 値は、中継デバイスに
リセットされるまでは選択した値です。
•
ダウンストリームのトンネルパケットの DSCP 値は、中継デバイスが
アップストリームのトンネルパケットの DSCP 値を変更した場合で
も、中継デバイスにリセットされるまでは選択した値です。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
また、使用するネットワークが数字の DSCP 値システムを使用している場
合は、
[DSCP value (0-63)] を選択して値を入力します。
注意 : DSCP 値の詳細については、
『Visual Policy Manager リファレン
ス』の「4 章　高度なポリシー」
の「QoS と各種サービスを管理する」のセ
クションを参照してください。
2. [OK] をクリックします。
Set Authorization Refresh Time
認可と認証を別々にサポートするレルムは、認可リフレッシュ時間値を使って認
可サーバー上の負荷を管理します。
このようなレルムには、
ローカル、LDAP、
証明書、XML およびポリシー代替があります。
これら
Windows SSO、
Novell SSO、
では、
認可データ ( グループメンバシップおよび属性値 ) が認証とは別に決定さ
れ、認可データが信頼される時間を増加または削減することができます。
ユーザーを認証して認可データを決定する必要があるレルムの場合、
認可データ
はユーザー資格情報が認証サーバーで確認される場合のみ更新されます。
Set Credential Refresh Time
資格情報のリフレッシュ時間値によって、
キャッシュユーザー名とパスワードが信
頼される時間の長さが決定されます。
その期限が切れると、
資格情報の認証が必要
な次のトランザクションによって要求が認証サーバーに送信されます。
キャッシュ
されたパスワードとは異なるパスワードも認証サーバーへの要求を発生させます。
この値は、
次に挙げるユーザー名とパスワードをプロキシ上でキャッシュするレ
ルムと、ユーザー名とパスワードの基本的な資格情報を使用するレルムにのみ有
効です：LDAP、RADIUS、XML、IWA（基本的資格情報を含む b）
、SiteMinder、お
よび COREid。
Set Surrogate Refresh Time
特定のレルムで代替資格情報を信頼する時間の長さを指定します。
Send DNS/RDNS Response Code
デフォルトの応答コードまたは選択可能なエラー応答コードの送信を設定しま
す。次のいずれかの手順を実行します。
S
オプションで TTL
（time to live）
値を入力
[Send Default DNS Response] を選択し、
します。
S
ドロップダウンリストからいずれかの
[Send Error Response Code] を選択し、
コードを選択します。
Send DNS Response
特定のホストに返す IP アドレスを設定します。
143
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
DNS 応答を設定するには、次の手順を実行します。
1
2
3
4a
4b
5
1. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
返すホスト名を入力します。
2. [Host] フィールドに、
3. 要求を転送するプロキシの IP アドレスを使って応答するには、
[Respond with
proxy IP] を選択します。
4. 1 つまたは複数の IP アドレスを使って応答するには、
a. [Respond with listed IPs] を選択します。
b. [Add] をクリックします。[Add DNS Response IP] ダイアログが表示さ
れます。
c. IP アドレスを入力し、[Add] をクリックします。
d. 必要に応じてこれらの手順を繰り返し、
[Close] をクリックします。
5. （オプション）[TTL] フィールドに Time-to-Live 値（応答がキャッシュされる時
間の長さ）を入力します。
6. [OK] をクリックします。
Send Reverse DNS Response
オプション：Time-toDNS 逆引き応答に対してどのホストを返すか指定します。
Live 値を定義します。
144
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Do Not Cache
これは静的オブジェクトです。
オブジェクトをキャッシュしないことを指定します。
Set Force Cache Reasons
これは動的オブジェクトです。オブジェクトを強制的にキャッシュする
（そうでな
ければキャッシュしない）理由を 1 つ以上設定します。
たとえば、応答ヘッダーに
プライベートが
つでも含まれる場合に、
オブジェクトを強
set-cookie、no-store、
1
制的にキャッシュすることができます。
Use Default Caching
これは静的オブジェクトです。[Do Not Cache] および [Set Force Cache Reasons]
の動作を無効にして、コンテンツのキャッシュの有無に関するデフォルトの決定
を使用するよう ProxySG に指示します。
Mark/Do Not Mark As Advertisement
これらは静的オブジェクトです。広告として識別するコンテンツを設定します。
（ある場合）
。ただし、コ
ProxySG はコンテンツをキャッシュからフェッチします
ンテンツはクライアントに提供された直後に広告サーバーから再フェッチされる
ので、
ヒットカウンタが更新されます。
Enable/Disable Pipelining
これらは静的オブジェクトです。ProxySG のパイプライン機能を有効または無効
にします。有効な場合、Web ページに組み込まれたオブジェクトがあるかを調べ、
クライアント要求が出されることを見込んでそのオブジェクトを配信元サーバー
に要求します。
Set TTL
オブジェクトを ProxySG に格納する Time-to-Live
（TTL）を設定します。[Name]
フィールドにオブジェクト名を入力し（または、
そのままにしてデフォルトを承
認）、[TTL] フィールドに時間を秒単位で入力します。
Send Direct
これは静的オブジェクトです。ホストの転送、SOCKS ゲートウェイ、または ICP の
設定を無効にして、
配信元サーバーにコンテンツを直接要求するよう ProxySG
に指示します。
145
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Integrate/Do Not Integrate New Hosts
これは静的オブジェクトです。
サーバーがアクセラレータを展開する際に使用さ
れます。
有効な場合、対応するアクセス対象のホストが、ProxySG がヘルスチェッ
クを行うホストのリストに追加されます。そのホスト名が様々なサーバーに対応
する複数の IP アドレスに解決されると、
ProxySG は利用可能なサーバーからコン
テンツをフェッチし、ヘルスチェックに不合格のサーバーを無視します。
Allow Content From Origin Server
これは静的オブジェクトです。コンテンツがキャッシュされない場合、
コンテンツ
へのアクセスを配信元サーバーに要求することができます。
Serve Content Only From Cache
これは静的オブジェクトです。
キャッシュされないコンテンツへのアクセス要求
は拒否されます。コンテンツがキャッシュされた場合は、
そのコンテンツが提供さ
れます。
Select SOCKS Gateway
SOCKS ゲートウェイがある場合、どれを使用するかを設定します。また、SOCKS
ゲートウェイと ProxySG 間の通信がダウンした場合の動作を定義します。
S
SOCKS サービスを介さずにルールを直接接続させるには、
[Do not use SOCKS
gateway] を選択します。
S
SOCKSゲートウェイを介してルールを接続させるには、[Use SOCKS Gateway]
をオンにし、
ドロップダウンリストからインストール済みの SOCKS サービスを
選択します。
[If no SOCKS gateway is available] フィールドで [Deny the request] または
SOCKS サービスのバイパスを要求することが
[Connect directly] を選択すると、
できます。
Select Forwarding
転送用のホストまたはグループがある場合、
どれを使用するか指定します。また、
その転送元と ProxySG 間の通信がダウンした場合の動作を定義します。
S
転送用のホストまたはグループにリダイレクトせずにルールを直接接続させる
には、
[Do not forward] を選択します。
S
ルールを転送用ホストにリダイレクトさせるには、
[Use Forwarding] をオンにし、
ドロップダウンリストからインストール済みの転送用ホストを選択します。
[If no forwarding is available] フィールドで [Deny the request (fail closed)] また
は [Connect directly (fail open)] を選択すると、転送用ホストのバイパスを要求
することができます。
S
146
ICP の設定を使ってルールを転送するには、
[Forward using ICP] を選択します。
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Server Byte Caching
バイトキャッシングを ADN（アプリケーション配信ネットワーク）接続の片側
（ブランチまたはコア）
または両側
（ルール内で指定されたIPアドレス）
で採用する
かどうかを設定します。バイトキャッシングは WAN のレイテンシを低減します。
S
[Optimize traffic in both directions]：サーバーの送受信トラフィックにバイト
キャッシングを適用します。
S
[Optimize only inbound traffic]：サーバーへの受信トラフィックにのみバイト
キャッシングを適用します。
S
[Optimize only outbound traffic]：サーバーからの送信トラフィックにのみバイ
トキャッシングを適用します。
S
[Do not optimize traffic]：特定の接続でのバイトキャッシングを許可しません。
Set IM Transport
IM トラフィックに使用するトランスポート方式を設定します。
S
[Auto]：クライアントが使用しているトランスポート方式で接続します。
S
[HTTP]：IM 要求を HTTP でトンネルします。
S
[Native]：サービスで使用されるネイティブトランスポートを使って接続します。
Set Streaming Transport
ルールが使用するストリーミングトランスポート方式を設定します。
S
[Auto]：クライアントが使用しているトランスポート方式で接続します。
S
[HTTP]：HTTP でストリーミングします。
S
[TCP]：TCP でストリーミングします。
Authentication Charset
ユーザー名やグループ名、
「Notify User」
（ 125
VCP では、多数のオブジェクトで、
ページ）オブジェクトで入力するテキストなどの非ASCII入力が可能です。このオ
ブジェクトでは、ローカライズされたポリシーと一緒に使用する文字セットを設
定できます。ドロップダウンリストから、
文字セットを選択して [OK] をクリック
します。
Set IP Address For Authentication
プロキシチェーン展開では、一部のアプリケーション配信ネットワーク (ADN)
の設定で、要求の送信元の IP アドレスがマスクされます。Windows のシングルサ
インオン（SSO）、NovellのSSO、ポリシー代替の各レルムがユーザーを認証できる
ように、認証用の IP アドレスを設定するポリシーが必要です。
この種類の認証の詳細については、SGOS 管理ガイドを参照してください。
147
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
認証用の IP アドレスを設定するには、
1. オブジェクト名を定義するか、デフォルトを承認します。
2. [Edit] をクリックすると、[Set Substitution] ダイアログが表示されます。
3a
3. 代入文字列を定義するには、
a. 1 つまたは複数の文字列を選択して [Insert] をクリックします。この例
では、
ブランチのユーザーヘッダーに HTTP ヘッダーの
request.header.ClientIP が挿入されます。
b. [OK] をクリックします。
4. [IP Address] ドロップダウンリストから、代入文字列を選択します。たとえば、
認証用アドレスがHTTPの Client-IP
$(request.header.Client-IP) を選択すると、
ヘッダーから受け取るアドレスに設定されます。
5. [OK] をクリックします。
148
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Permit Authentication Error
認証エラーが発生すると、
認証エラーはポリシーで許可の指定がされているエ
ラーの一覧とチェックされます。
S
エラーが一覧にない場合、
トランザクションは終了します。
S
エラーが一覧に含まれる場合は、
トランザクションが続行されます。
ただし、
ユーザーは認証されません。
トランザクションは認証済みとみなされないた
ユーザーには
め、
authenticated=yes のポリシー条件はエラーとして評価され、
ユーザー名、
グループ情報、
または代替資格情報がありません。
ユーザー、
グルー
プ、
ドメイン、
または属性情報を使用するポリシーはマッチしません。
認証エラーを許可するには、次の手順を実行します。
1
2
1. 次のいずれかを選択します。
•
[Any errors]：あらゆる種類の認証エラーを許可します。
•
[Selected errors]：エラーが指定されたエラーにマッチする場合のみ許可さ
れます。
2. [Selected errors] を選択した場合：
認証エラーの全リ
a. [Show: All errors] を選択します。このオプションで、
ストが表示されます。
b. 1 つ以上のエラータイプを選択します。
デフォルト名を承認します。
c. オブジェクトに名前を付けるか、
3. [OK] をクリックします。
149
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Permit Authorization Error
承認エラーが発生すると、
承認エラーはポリシーで許可の指定がされているエ
ラーの一覧に対してチェックされます。
S
エラーが一覧にない場合、
トランザクションは終了します。
S
エラーが一覧に含まれる場合は、
トランザクションの続行が許可され、
ユーザー
は承認データなしとしてマークされます。
S
ユーザーの認証が成功しても承認データがない場合は authenticated=yes 条件
が true に評価され、
ユーザーには有効な認証資格情報があります。
S
ユーザー承認でエラーが発生し、ユーザーオブジェクトにユーザー名とドメイ
ン情報は含まれるがグループまたは属性情報が含まれない場合は、
その結果、
ユーザーま
user.authorization_error=any が true に評価されます。
たはドメインアクションを使用するポリシーは依然としてマッチしますが、
グ
ループまたは属性条件を使用するポリシーはマッチしません。
Kerberos Constrained Delegation
アクションオブジェクトでは、
特定の送信で KCD
Kerberos 制約付き委任（KCD）
の処理に使用するIWAレルムを選択することができます。ProxySG 上でKCDを有
効にするには、IWA レルムが必要です。
Kerberos Constrained Delegationオブジェクトを作成および追加するには、次の手順
を実行します。
1a
1b
1c
1d
1. [Add Kerberos Constrained Delegation Object] ダイアログでは、
KCD の実装を
設定することができます。
a. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデ
フォルトを承認します。
[origin] または [proxy]
b. [Authentication Type] ドロップダウンリストから、
を選択します。アップストリームの配信元サーバーの認証を行う場合
は、[origin] を選択します。プロキシサーバーの認証を行う場合は、
[proxy] を選択します。
150
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
c. [IWA Realm] フィールドに、
Kerberos 認証への使用に有効な IWA レルムを
入力します。
この
d. （オプション）
OCS に使用するサービスプリンシパル名を入力します。
サービスのデフォルトの SPN は http/hostname に設定されます。
サー
ビスに非標準ポートを使用する場合は、http/hostname:port を使用し
ます。
2. [OK] をクリックします。
3. [OK] をクリックして VPM に戻ります。
4. ポリシーの追加が終了したら [Install Policy] ボタンをクリックします。
Do Not Use Kerberos Constrained Delegation
これは静的オブジェクトです。このオブジェクトを追加すると、
Kerberos制約付き
委任が特定の伝送に対して無効になります。
Send Credentials Upstream
Send Credentials Upstream オブジェクトは、基本の資格情報のアップストリーム
サーバーまたはプロキシへの送信を有効にします。ユーザー資格情報（ProxySG
の認証による）
または値の代入により得られるカスタム資格情報を指定する必要
があります。
基本の資格情報を転送するには、次の手順を実行します。
1a
1b
1c
1. [Add Send Credentials Upstream Object] ダイアログで送信する基本の資格情報
を設定することができます。
a. 認識しやすい名前をフィールドに入力します。
b. [Authentication Type] ドロップダウンリストから認証方式を選択します。
アップストリームの配信元サー
[origin] または [proxy] を選択します。
バーの認証を行う場合は、[origin] を選択します。プロキシサーバーの
認証を行う場合は、
[proxy] を選択します。
151
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
c. 特定の OCS に必要な資格情報を選択します。
•
ユーザー資格情報をOCSに送信するには[Send user credentials] ラジオ
ボタンをオンにします。
•
固定のユーザー名とパスワードをOCSに転送するには、[Send custom
このオプションを選択する
credentials] ラジオボタンをオンにします。
と、[UserName] および [Password] フィールドに該当する値を入力する
必要があります。
2. [OK] をクリックします。
3. [OK] をクリックして VPM に戻ります。
4. ポリシーの追加が終了したら [Install Policy] ボタンをクリックします。
注意 : Send Credentials Upstream Object にマッチするトランザクションはすべて、
受信側のサーバーに必要のない場合でも、資格情報が送信されます。
Do Not Send Credentials Upstream
これは静的オブジェクトです。このオブジェクトを追加すると、
資格情報の送信が
特定の伝送に対して無効になります。
Combined Action Objects
複数の動作を起動する Action オブジェクトを組み合わせることができます。
「Combined Objects の使用」
（ 160 ページ）
を参照してください。
Do not Preserve Untrusted Issuer
これは静的オブジェクトです。OCS が、信頼された認証局
（CA）による署名のない
証明書を ProxySG アプライアンスに提示した場合、
ProxySG アプライアンスはエ
ラーメッセージをブラウザに送るか、Server Certificate Validation オブジェクト
の設定に基づいて、
そのエラーを無視して要求を処理します。
Preserve Untrusted Issuer
これは静的オブジェクトです。OCS が、信頼された認証局
（CA）による署名のない
証明書を ProxySG アプライアンスに提示した場合、ProxySG アプライアンスは
CA として機能して、信頼されていない証明書をブラウザに提示します。警告メッ
セージがユーザーに表示され、
ユーザーは警告を無視して Web サイトを訪問する
か、要求を取り消すことを選択できます。
Use Default Setting for Preserve Untrusted Issuer
これは静的オブジェクトです。
ProxySG の Management Console で行う Preserve
信頼されていない証明書の発行
untrusted certificate issuer の構成設定を使用して、
元を接続のために維持するかどうかを決定します。
これはデフォルトの動作です。
152
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Action カラム / ポリシーレイヤのマトリックス
それら
次のマトリックスに、すべての Action カラムオブジェクトを一覧で示し、
がどのポリシーレイヤに適用されるかを示します。
オブジェクト
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int
Acc Auth Acc Cont
Allow
Deny (static)
x
x
x
Allow Read-Only Access
x
Allow Read-Write Access
x
Do Not Authenticate
x
x
x
x
x
x
Do Not Authenticate
(Forward Credentials)
x
Authenticate
x
x
x
Force Authenticate
x
x
x
Bypass Cache
x
Do Not Bypass Cache
x
Check Authorization
x
x
Do Not Check Authorization
x
x
Always Verify
x
x
Use Default Verification
x
x
Block Up Ads
x
Do Not Block PopUp Ads
x
Disable Fast-Caching in
Windows Media Client
x
Do Not Disable Fast-Caching
in Windows Media Client
x
Force IWA For Server Auth
x
Do Not Force IWA For Server
Auth
x
Require Client Certificate
x
Do Not Require Client
Certificate
x
Reflect IM Messages
x
Do Not Reflect IM Messages
x
153
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
オブジェクト
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int
Acc Auth Acc Cont
Tunnel IM Traffic
x
Do Not Tunnel IM Traffic
x
Block IM Encryption
x
Do Not Block IM Encryption
x
Trust Destination IP
x
Not Trust Destination IP
x
[Deny]
x
x
Return Exception
x
x
Return Redirect
x
Set Client Certificate
Validation
x
Set Server Certificate
Validation
x
Set HTTPS Intercept
x
Set HTTPS Intercept on
Exception
x
Send IM Alert
x
Modify Access Logging
x
x
Override Access Log Field
x
x
Rewrite Host
x
Reflect IP
Set Server URL DNS Lookup
154
x
x
x
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
オブジェクト
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int
Acc Auth Acc Cont
Suppress Header
x
Control Request Header
x
Control Response Header
x
Notify User
x
Strip Active Content
x
Set HTTP Request Max Body
Size
x
Set Client HTTP
Compression
x
ADN Server Optimization
x
Set Server HTTP
Compression
x
Modify IM Message
x
Return ICAP Feedback
x
Set Dynamic Categorization
x
Set External Filter Service
x
Set ICAP Request Service
x
x
Set ICAP Response Service
x
Use Default Caching
x
Set FTP Connection
x
Set SOCKS Acceleration
x
Set Streaming Max Bitrate
x
Client Connection DSCP
Value
x
x
Server Connection DSCP
Value
x
x
Send DNS/RDNS Response
Code
x
Send DNS Response
x
Send Reverse DNS
Response
x
x
Do Not Cache
x
Set Force Cache Reasons
x
x
155
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth Acc
Acc Auth
Int
Acc Auth Acc Cont
オブジェクト
Mark As Advertisement
x
Do Not Mark as
Advertisement
x
Enable Pipelining
x
Disable Pipelining
x
Set TTL
x
Send Direct
x
Integrate New Hosts
x
Do Not Integrate New Hosts
x
Allow Content From Origin
Server
x
Serve Content Only From
Cache
x
Select SOCKS Gateway
x
Select Forwarding
x
Reflect IP
x
Set IM Transport
x
Set Streaming Transport
x
Authentication Charset
Combined Objects
x
x
x
x
x
Kerberos Constrained
Delegation
x
Do Not Use Kerberos
Constrained Delegation
x
Send Credentials Upstream
x
Do Not Send Credentials
Upstream
x
x
x
Track オブジェクトカラムリファレンス
track オブジェクトは、トラフィックの追跡およびトレース用のパラメータを定義
します。
すべてのポリシーレイヤには同じトレースオブジェクトが含まれます
が、トラッキングパラメータはレイヤ固有です。
注意 : 作成されたCPLが要求する文字制限のため、
Actionオブジェクト名の定義に
使用できる文字は、
英数字、下線、
ダッシュだけです。
156
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
Event Log, E-mail, および SNMP
トリガでカスタマイズ可能です。
これら
Event Log、Email 通知、および SNMP は、
のトリガは 3 つのオブジェクトタイプすべてで同じです。
Event Log、Email、または SNMP をカスタマイズするには、
1. ポリシーレイヤ内で[Tracking] セルを右クリックして[Set] を選択します。[Set
Track Object] ダイアログが表示されます。
[Event Log]、[Email] または [SNMP] を選択します。対応す
2. [New] をクリックし、
る追加オブジェクトダイアログが表示されます。
3
4
5a
5b
5c
3. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
注意 : Email オブジェクトには [Subject] フィールドも含まれています。
各エントリと共に表示されるユーザー設定のメッ
4. [Message Text] フィールドに、
セージを入力します。
157
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
5. オプション：代入変数を追加します。この代入変数は、特定の情報をトラッキ
ングオブジェクトに追加するよう ProxySG に指示します。変数がプレフィッ
クスに従ってアルファベット順に分類されます。
注意 : 変数によってはプレフィックスのないものがあります。
[Substitution Variables] フィールドで、次の手順を実行します。
表示内容を変
a. [Category] ドロップダウンリストからカテゴリを選択し、
数のサブセットに絞り込みます。
または
b. [Display Option] オプションで、
ELFF（拡張ログファイル形式）
（Content
によって変数をさらに集約します。
Policy Language）
CPL
c. 変数を選択して [Insert] をクリックします。変数にマウスを重ね合せる
と、その変数の簡単な説明が表示されます。
必要に応じて手順を繰り返
します。
Tracing オブジェクト
このオブジェクトはルールと Web トラフィックのトレースを設定します。
次のトレースオプションのいずれかを選択します。
[Trace Level] をクリックして、
S
[No Tracing]：デフォルト。
S
トレース出
[Request Tracing]：現在の要求に対するトレース出力を生成します。
力には、
要求パラメータ
（URL やクライアントのアドレスなど）
、
プロパティ設定
の最終的な値、
および実行するすべての動作の説明が含まれます。
S
[Rule and Request]：トレース出力を生成し、実行された個々のルールを表示
します。
S
[Verbose Tracing]：[Rule and Request]と同じ出力を生成しますが、
1つ以上の条件
がエラーであったためスキップされたルールの一覧と、
そのエラーとなった具
体的条件も示します。
さらに、
現在のトランザクションが作成するトレースがあれば、
その送信先を設定す
るトレース先を入力することができます。
送信先のパスを設定するには、
[Trace File]
を選択してフィールドにパスを入力します。たとえば、abc.html と入力します。
トレース先を複数のレイヤで設定する場合、表示される実際のトレース先の値は、
評価対象のルールを含む最後のレイヤ（構成済みの送信先プロパティを含む）
で設
定された値です。作成済み CPL で示される複数の Web Access Layer の例について
考えます。
<Proxy>
url.domain=aol.com trace.request(yes) trace.rules(all)
trace.destination("aol_tracing.html")
url.domain=msn.com trace.request(yes)
trace.rules(all)trace.destination("msn_tracing.html")
<Proxy>
client.address=10.10.10.1 trace.request(yes) trace.rules(all)
158
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
この結果、次の動作が発生します。
S
aol.com ドメインへの要求が aol_tracing.html にログ記録されます。
S
msn.com ドメインへの要求が msn_tracing.htmll にログ記録されます。
S
デフォルト
クライアントからの要求が 10.10.10.1 の IP と共にログ記録されて、
の場所 default.html にログ記録されます。
注意 : トレースを使って問題を解決したら、
ログスペースを節約するために
このトレースを削除します。
また別々でも使用
[Trace File] オプションは、[Trace Level] オプションと一緒でも、
することができます。
トレースファイルのデフォルトのパスには、
以下の URL のいずれかを介してアク
セス可能です。
Management Console のセキュアモードが有効な場合（新しいまたはアップグ
レードされたシステムのデフォルト）
：
https://ProxySG_IP_address:8082/Policy/Trace/default_trace.html
Management Console が非セキュアモードで使用されている場合：
http://Proxy_appliance_address:8081/Policy/Trace/default_trace.html
Combined Track Object
「Combined Objects の使用」
Trackオブジェクトを1つにまとめることができます。
（ 160 ページ）
を参照してください。
Track オブジェクト / ポリシーレイヤのマトリックス
それ
次のマトリックスに、すべての Track and カラムオブジェクトを一覧で示し、
らがどのポリシーレイヤに適用されるかを示します。
Admin Admin DNS SOCKS SSL SSL Web Web Web Fwding
Auth
Acc
Acc Auth
Int
Acc Auth Acc Cont
オブジェクト
Event Log
x
x
x
x
x
x
Email Log
x
x
x
x
x
x
SNMP Objects
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Trace
x
Combined Objects
x
x
x
Comment オブジェクトリファレンス
ポリシーレイヤのラベル作成に役立つテキストを
Comment オブジェクトにより、
書くことができます。
このフィールド内のテキストはポリシーには影響しません。
159
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
Combined Objects の使用
上述したように、所定のルールに必要な数のオブジェクトタイプに対応する 1 つ
のオブジェクトを選択することができます。
ほとんどのオブジェクトタイプに
は、組み合わせオブジェクトを使用するオプションも用意されています。この機能
により、複数のオブジェクトを特定のタイプのオブジェクトとして選択できるの
で、より複雑なツールが作成可能です。
組み合わせ条件の使い方には、リストと複
数のオブジェクトタイプの 2 つがあります。また、
リスト内のオブジェクトへの適
用を除外する [Negate] オプションについても考えてみます。
例1
次の例について考えてみます。コンテンツのスキャンのために、
1 つのアクション
として強制的に承認を行い、かつ応答を ICAP サービスに送る Web コンテンツポ
リシーレイヤが必要です。
1. [Set Action Object] ダイアログで、[New] > [Combined Action Object] の順に選
択します。
160
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
2
3
4
5
[Shift] を
押したまま
複数のオブ
ジェクトを
選択。
このダイアログで新規オブジェクトを
作成するには [New] をクリック。
6
2. [Name] フィールドにオブジェクト名を入力するか、そのままにしてデフォル
トを承認します。
3. [Description] フィールドに、このオブジェクトの目的を説明する短いテキス
トを入力します（参考用）。
4. [Show] ドロップダウンリストで、表示されるオブジェクトの範囲を絞ること
ができます。
5. [Shift] キーを押したまま [Check Authorization] と [Branch_AV_Req] を選択し
ます。
6. [Add] をクリックします。選択したオブジェクトが [Selected Action Objects]
フィールドに表示されます。
7. [OK] をクリックします。選択可能な単独のオブジェクトとして
[CombinedAction1] オブジェクトが表示されます。
これで、このオブジェ
8. [CombinedAction1] を選択して [OK] をクリックします。
クトがルールの一部になりました。
ルール内で設定された他のパラメータに基づいて、
すべての要求が承認のた
め強制的にアップストリームのサーバーに送られ、Web 応答は ICAP サービス
によってコンテンツのスキャンを受けます。
161
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
例2
次の例では、
ルールがいずれかの Proxy IP Address/Port オブジェクトといずれか
のストリーミングクライアントサーバーエージェントを探しています。
「」も参照してください。
注
組み合わせオブジェクトを無効にするオブジェクトを追加しようとする
VPM は、
と、様々な警告メッセージを表示します。ただし、組み合わせオブジェクトを別の
組み合わせオブジェクトに追加することは可能です。
たとえ単純なオブジェクト
の定義を繰り返し使うことになっても、
検証時の警告は受けません。たとえば、子
の組み合わせオブジェクトのコンテンツが、既に親の組み合わせオブジェクトに
直接、または別の子の組み合わせオブジェクトの中に間接的に含まれていたとし
ます。
組み合わせオブジェクトやポリシーには非常に複雑になるものがあるので、
これについては認められます。
一元化したオブジェクトの表示と管理
このセクションでは、[All Objects] ダイアログを使ってすべての VPM オブジェク
トを表示および管理する方法について説明します。
オブジェクトの表示
All Object の機能を使うと、全レイヤとカラムにわたって現時点で存在する静的オ
ブジェクトとユーザー定義オブジェクト両方のすべてのオブジェクトを表示する
ことができます。設定済みのすべての VPM オブジェクトを表示するには、[View] >
[All Objects] を選択します。
162
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
オブジェクトは、ポリシーレイヤの順序（メニューバーで [Policy] をクリック）と
カラムの順序
（「ポリシーレイヤとルールオブジェクトのリファレンス」
（ 43 ペー
ジ）に記載）
にしたがって表示されます。
表示するオブジェクトの範囲を絞るに
は、一番上の [Show] ドロップダウンリストから次のオプションを選択します。
S
[All (sort by object name)]：すべてのオブジェクトをアルファベット順に表示し
ます。
S
[All (sort by object type)]：オブジェクトタイプをグループ化します。
S
および [Action] の各カラムでは、
静的
（あらか
[Source]、[Destination]、[Service]、
じめ定義された）
オブジェクトのみ表示するよう選択できます。
S
いずれか 1 つのオブジェクトタイプを表示するよう選択できます。たとえば、
リストを
ユーザー定義の [P2P Client] オブジェクトのみを表示したいとします。
下方にスクロールして [P2P Client Objects] を選択します。
163
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
未使用オブジェクトの表示
[Show only unused objects] をオンにすると、静的およびユーザー定義オブジェク
トのうち、現在どのポリシーレイヤでも使用されていないものがすべて表示され
ます。
オブジェクトの管理
このセクションでは、[All Objects] ダイアログ内のオブジェクトの管理方法につ
いて説明します。
オブジェクトの作成
[All Objects] ダイアログでは、オブジェクトを作成することもできます。オブジェ
クトを作成すると、
それがリストに表示されます。ポリシーレイヤを作成または
編集すると、
オブジェクトをルールに追加できるようになります。
オブジェクトを作成するには、
使用できるカラムと関連オブジェクトがカスケードス
1. [New] を選択します。
タイルで表示されます。
2. [Column] > [Object] の順に選択します。そのオブジェクトの [Add] ダイアログ
が表示されます。
3. 必要に応じてオブジェクトを定義します。
4. [OK] をクリックします。
左側のカラムに表示されるすべ
注意 : Combined Objects を作成した場合は、
てのオブジェクトが複数のポリシーレイヤタイプで有効であるとは限りま
せん。
たとえば、
IM User オブジェクトは [Web Access Layer] > [Source] カラム
でのみ有効です。有効でないオブジェクトを追加しようとすると、それを知ら
せるダイアログが表示されます。
164
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
オブジェクトの編集
ユーザー定義オブジェクトはすべて変更可能です対象のオブジェクトをハイライ
ト表示して [Edit] をクリックします。オブジェクトを編集したら、変更したオブ
ジェクトをそれが含まれるすべてのポリシーレイヤに適用するために、ポリシー
を再インストールします。
オブジェクトの削除
インストール済みのポリシーや組み合わせオブジェクトに現在含まれているオ
ブジェクトは、削除できません。オブジェクトを削除する前に、[View] > [Object
Occurrences] 機能を使ってそのオブジェクトを含むポリシーレイヤを確認する
ことができます。
カテゴリの作成
この機能では、
カテゴリオブジェクトで使用可能なコンテンツフィルタの URL カ
テゴリを作成できます。[DNS Access]、[Web Access]、[Web Authentication]、およ
び [Web Content] の各ポリシーレイヤの [Destination] カラムに [Category] オブ
ジェクトが含まれています。
同様に、[Category] オブジェクトで作成されるカテゴ
リ（
「Request URL Category」
（ 78 ページ）
参照）はこのダイアログに表示され、編
集することができます。
カテゴリを作成
1. VPM で、
[Configuration] > [Edit Categories] の順に選択します。
[Edit Categories]
ダイアログが表示されます。
2
[Add] をクリックします。[Object Name] ダイアログが表示さ
2. [Policy] を選択し、
れます。
165
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
3. カテゴリに名前を付け、[OK] をクリックします。
4
作成されたカテゴリを選択して[Edit URLs]
4. [Policy]リストを下方にスクロールし、
をクリックします。
[Edit Locally Defined Category Object] ダイアログが表示
されます。
URL のカテゴリを
作成するために
URL を追加
166
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
5. 作成中のコンテンツフィルタカテゴリに該当する URL を入力します。
[OK] をクリックします。
6. [Edit Categories] ダイアログで [OK] をクリックして、カテゴリの作成を終了
します。
注意 : 他の管理者が別のワークステーションを介して ProxySG にアクセス
し、VPM または inline コマンドを使ってカテゴリを作成している場合、新規
作成または編集されたカテゴリは、
ポリシーがインストールされるまで同期
がとられないことに注意してください。
VPM によりポリシーがインストール
されると、カテゴリはリフレッシュされます。
あまりに多くのカテゴリを一度
に作成して混乱が生じた場合は、
[File] > [Revert to Existing Policy on ProxySG]
オプションを選択してポリシーを直前の状態に戻し、カテゴリを設定し直し
ます。
ポリシーのリフレッシュ
VPM を閉じてから再度開いたり、[Install Policies] を起動した場合、その間に
ProxySG 上で作成され VPM が管理するポリシーに別の方法で変更が加えられて
も、VPM は認識しません。
たとえば、
次のような場合です。
S
他の管理者が別の VPM を開いて変更を加える。
S
他の管理者が、
シリアルコンソールでローカルまたは中央ポリシーファイルを
編集する。
S
他の管理者がローカルまたは中央ポリシーファイルを編集する。
S
新しいコンテンツフィルタデータベースが自動的にダウンロードされ、
新規
アップデートにカテゴリの変更が含まれる。
S
新しいコンテンツフィルタデータベースが管理者により手動でダウンロードさ
れる。
DNS 参照の制限
このセクションでは、
DNS 参照上の制限事項とリストの作成方法について説明し
ます。
DNS 参照上の制限について
DNS 参照制限リストは、ポリシーレイヤの定義に関係なく、グローバルに適用さ
れるドメイン名の一覧です。ドメイン名をこのリストに追加すると、ポリシーの評
価中、
そのドメイン名に関しては DNS 参照は要求されません。DNS 参照の使い方
の詳細については、
『Blue Coat Systems Content Policy Language リファレンス』
を参照してください。
167
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: オブジェクトカラムの詳細リファレンス
DNS 参照制限リストの作成
このリストは VPM のメニューバーから作成します。
DNS 参照制限リストを作成するには、
1. [Configuration] > [Set DNS Lookup Restrictions] の順に選択します。[Set DNS
lookup restrictions] ダイアログが表示されます。
デフォルトは
「制限なし」です。
どのドメイン名も制限されません。
2. すべてのドメイン名を制限するには、[All] を選択します。
3. 特定のドメイン名を追加するには、以下の手順を実行します。
a. [Listed Host Patterns] を選択します。これにより、[Host Patterns] フィー
ルドが有効になります。
[Add Host Pattern] ダイアログが表示されます。
b. [Add] をクリックします。
c. ドメイン名を入力して [OK] をクリックします。
手順を繰り返します。
d. 他のドメイン名を追加するには、
e. [OK] をクリックします。
DNS 逆引き参照の制限
このセクションでは、
DNS 逆引き参照上の制限事項とリストの作成方法について
説明します。
DNS 逆引き参照上の制限について
DNS 逆引き参照の制限リストは、ポリシーレイヤの定義に関係なく、グローバル
に適用されるサブネットの一覧です。
サブネットをこのリストに追加すると、
ProxySG ポリシーの評価中、そのサブネット上のアドレスの逆引き参照は行われ
ません。DNS逆引き参照の使い方の詳細については、
『Blue Coat Systems Content
Policy Language リファレンス』を参照してください。
DNS 逆引き参照制限リストの作成
このリストは VPM のメニューバーから作成します。
これにより、ポリシー評価中
は、リスト内のアドレスに対してProxySG がDNS逆引き参照を実行できなくなり
ます。
DNS 逆引き参照制限リストを作成するには、
1. [Configuration] > [Set Reverse DNS Lookup Restrictions] の順に選択します。[Set
DNS lookup restrictions] ダイアログが表示されます。
どのサブネットも制限されません。
デフォルトは [None] です。
2. すべてのサブネットを制限するには、[All] を選択します。
168
第 3 章 :Visual Policy Manager
セクション C: オブジェクトカラムの詳細リファレンス
3. 特定のサブネットを追加するには、以下の手順を実行します。
a. [Listed Subnets] を選択します。
これにより、
[Subnets] フィールドが有効になります。
b. [Add] をクリックします。[Add Subnet] ダイアログが表示されます。
c. サブネットを入力して [OK] をクリックします。
手順を繰り返します。
d. 他のサブネットを追加するには、
e. [OK] をクリックします。
グループのログ順序の設定
このセクションでは、
グループのログ順序とリストの作成方法について説明します。
グループのログ順序について
アクセスログに表示されるグループデータ
Group Log Order オブジェクトにより、
の順序を決めることができます。
グループのログ順序の決め方の詳細については、
「Blue Coat Systems Content Policy Language リファレンス」
を参照してください。
グループのログ順序リストの作成
このリストは VPM のメニューバーから作成します。
グループのログ順序リストを作成するには、
1. [Configuration] > [Set Group Log Order] の順に選択します。
[Set Group Log Order]
ダイアログが表示されます。
2. [Add] をクリックします。[Add Group Object] ダイアログが表示されます。
3. [Group Name] フィールドにグループ名を入力します。
グループは ProxySG 上で既に設定済みです。
4. [Authentication Realm] ドロップダウンリストからレルムを選択します。
5. [OK] をクリックします。
6. グループを増やすには、必要に応じて手順を繰り返します。
7. リストに順序付けするには、グループを選択し、希望する順番になるまで
[Move Up] または [Move Down] をクリックします。
8. [OK] をクリックします。
169
SGOS 6.3 Visual Policy Manager リファレンス
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
このセクションでは、次のトピックについて説明します。
S
「ポリシーレイヤ、
ルール、
ファイルの相互作用」
：ポリシーレイヤ、
ルール、
ファ
イルの順序の重要性について説明します。
S
「ポリシーの管理」
：ポリシーを ProxySG に保存およびインストールする方法を
説明します。
S
「VPM で作成したポリシーファイルをインストールする」
：1 台ので作成された
ポリシーファイルを他の ProxySG に伝達する方法について説明します。
S
「ポリシー/作成済みのCPLを表示する」
：VPMで作成される基本的なCPLの表示
方法について説明します。
ポリシーレイヤ、ルール、ファイルの相互作用
以下の重要なポイントでは、ポリシーレイヤ、
ルール、およびファイルの動作と優
先順について説明します。
S
同じ種類の異なるポリシーレイヤのルールは連動しますが、
ポリシーレイヤの
順序が重要です。
S
種類の異なるポリシーレイヤの順序は重要です。
S
ポリシーレイヤ内のルールの順序は重要です。
S
VPM で作成されたポリシーは ProxySG 上のファイルに保存されます。
VPM の
ユーザーインターフェースの状態も ProxySG に XML ファイルとして格納され
ます。
注意 : これらのファイルは、
ポリシーがエラーなしでインストールされた場合
にのみ格納されます。
S
アプライアンスが、
そのルールを、
中央およびローカルのポリシーファイル内に
存在するポリシーレイヤと関連付けて評価する方法が重要です。
詳細は、
第 2 章:
「ポリシーファイルの管理」
（ 17 ページ）
を参照してください。
VPM レイヤを CPL Layer と関連付ける
VPM は様々なレイヤで CPL を作成しますが、
VPM 内に存在するレイヤのコンセ
プトは多少異なります。
VPM はポリシーレイヤを特別な目的で備えています。た
とえば、Web認証とWeb承認はいずれもCPLの <Proxy> レイヤを作成します。
この
ため、
レイヤの条件とプロパティを、
Web認証とWeb承認の互換性のあるタイミン
グ要件に合わせて選択することにより、タイミングの競合状態が最小限に抑えら
れます。次表に、
VPM レイヤの使い方と CPL Layer の種類をまとめます。
170
第 3 章 :Visual Policy Manager
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
表 3–4 VPM が生成する CPL Layer
ポリシーの目的
VPM レイヤ
CPL Layer
管理者のアイデンティテイの確立
Admin Authentication
<Admin>
管理者アクセスの制御
Admin Authentication
<Admin>
DNS アクセスの制御
DNS Access
<DNS>
SOCKS ユーザーのアイデンティテ
イの確立
SOCKS Authentication
<Proxy>
HTTPS インターセプトの許可
SSL Intercept
<SSLIntercept>
HTTPS トラフィックの制御
SSL Access
<SSL>
ユーザーアイデンティテイの確立
Web Authentication
<Proxy>
ユーザーアクセスの制御
Web Access
<Proxy>
ユーザーと無関係なコンテンツの
制御
Web Content
<Cache>
転送の制御
Forwarding
<Forward>
注意 : VPM は現時点で <Exception> レイヤをサポートしていません。
セクション F:「VPM で直接 CPL を作成する」
（ 201 ページ）も参照してください。
ポリシーレイヤ内のルールの順序付け
ProxySG は、ポリシーレイヤ内でリスト化される順番でルールを評価します。状
況に適合するルールが見つかれば、ポリシーレイヤ内の残りのルールをスキップ
して次のポリシーレイヤに進みます。
次の単純な例について検討します。ある企業が、すべての人にWebへのアクセスを
禁止するポリシーを持っているとします。これは、
Web Access Layer ルールを使え
ば容易に作成できるポリシーです。
ただし、このように範囲の広いポリシーには例外が生じる可能性があります。
たと
えば、購買部のマネージャーにはサプライヤの Web サイトにアクセスしてもらう
必要があります。営業部員は顧客のWebサイトにアクセスする必要があります。両
方の状況に対して Web Access Layer ルールを作成することも簡単にわかります。
しかし、これらのルールをすべて 1 つのポリシーレイヤに入れると、すべての人に
アクセスを禁止するルールの順番を最後にしなければならないか、
他の2つのルー
ルを適用しないかのどちらかになります。
原則的作成ルール：
常に、
具体的なものから一般的なものへと進みます。
171
SGOS 6.3 Visual Policy Manager リファレンス
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
同一タイプのポリシーレイヤの使用
条件に適合するルールが見つかるとすぐにポリシーレイヤ内の残り
ProxySG は、
のルールをスキップするので、タスクの遂行には複数のポリシーレイヤとルール
を組み合わせたものが必要な場合があります。
次の例について考えてみます。企業は、社員のWebへのアクセスを禁止したいとは
思っていませんが、特権の乱用は望んでいません。このため、
会社は Web にアクセ
スする従業員を、
アクセス時に認証したいと思っています。つまり、ユーザー名と
パスワードを入力します。
したがって、会社は次の内容を明記したルールを使って
Web Authentication Layer を作成します。
会社内のどこかから誰かが Web 上のある URL に要求を送信した場合は、その
クライアントにアクセスを許可する前に認証を行います。
会社はグループ
「営業」のメンバーにも、勤務時間外にのみ各種スポーツの Web サ
イトにアクセスすることを許可します。上記の Web Authentication Layer を適用す
ると考えると、
これらの人々は Web サイトへのアクセス時に認証を受けなければ
なりません。
しかし会社は、勤務時間後にこれらのサイトを訪問する人々にとって
認証は重要ではないと考えています。そこで、会社は次のような Web Access Layer
ルールを作成します。
S
営業担当者に午後5時から午前0時までスポーツのWebサイトにアクセスするこ
とを認める。
ただし、追加の問題がある。一部の営業部員は、長い時間録画ビデオで試合の
ハイライトを見ており、仕事に回せる余力を奪っている。同時に、多数の顧客
が当社の Web サイトに夜
（勤務時間外に）
アクセスするので、社内の時間的な
余力を管理可能にしておきたい。したがって、会社は、次のアクション以外は
すべて上記と同様の Web Access Layer ルールを使って営業部員の余力の消費
量を制限します。
S
営業担当者に午後5時から午前0時までスポーツのWebサイトにアクセスするこ
とを認める。
ただし、
最大ストリーミングビットレートを1秒あたり300キロビッ
トに制限する。
これらの両方のルールを機能させるには、別々のポリシーレイヤに含まれていな
ければなりません。
同じポリシーレイヤに含まれる場合は、2 番目にリストされる
ルールは決して適用されません。
ポリシーレイヤの順序付け
ポリシーレイヤの順序も重要です。ProxySG は、VPM 内でリスト化される順番で
ポリシーレイヤを評価します。
特定の
ProxySG がポリシーレイヤを通過する際、
状況に適合するルールが見つかると同時に、与えられたルールを実行しません。さ
らに、条件に適合するすべてのルールをリストにまとめます。すべてのポリシー
レイヤを通過し終えると、
リストを評価し、
あきらかな競合状態があれば解決して
必要なアクションを実行します。別々のポリシーレイヤ内のルール間に競合があ
る場合、最後に評価されたポリシーレイヤのマッチングルールが優先されます。
172
第 3 章 :Visual Policy Manager
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
上記の例では、2 つの Web Access Layer があります。
1 つは、営業部員が認証なしに
一定のWebサイトにアクセスできることを明記したルールを含んでおり、もう1つ
は、これらのWebサイトにアクセスする際、
仕事の余力の消費量を制限することを
明記しています。これらのポリシーレイヤの順序は重要ではありません。
順序が
重要でないのは、レイヤ内のルール間に競合がないからです。
次に、
ポリシーレイヤの順序が重要となる例を示します。購買部員からのすべて
の URL 要求が 1 つのプロキシサーバーに向けて送信されるとします。
従業員によ
る勤務時間中の過度の Web サーフィンを阻止するために、
会社は次の内容を明記
した Web Authentication Layer を作成します。
クライアント要求がプロキシサーバーに入ると、
その都度クライアントは認
証を求められます。
ただし、
購買部員は仕事上の理由で特定の Web サイトにアクセスする必要がある
ので、
会社はそのアクセスの都度認証を求めるつもりはありません。そこで、
次の
内容を明記した Web Access Layer ルールを作成します。
購買部員が組み合わせオブジェクトリストに含まれる特定の URL に要求を
送信した場合、アクセスを許可する。
最初のルールを含むポリシーレイヤを、評価順序の先頭に置く必要があります。
それが、後続のポリシーレイヤ内の 2 番目のルールによって無効にされます。
ポリシーレイヤの原則的作成ルール
常に、
一般的なものから具体的なものへと進みます。つまり、先頭に近いポリシー
レイヤでは一般的なルールを作成し、後半のポリシーレイヤで例外ルールを作成
します。
レイヤガードルールについて
レイヤ全体の評価の有無により条件を設定すること
VPM のレイヤガード機能は、
ができます。
これにより、特に多数のルールを含むレイヤがある場合は、システム
のリソースを節約できます。この機能を加えた場合、レイヤガードは選択したレイ
ヤ上に表示される 1 つのルール表です。このレイヤガードルールには、Action およ
レイヤで使用可能なすべてのカラムが含まれます。
上記の
び Track カラムを除く、
2つのカラムが不要なのは、ルール自体が、レイヤ全体のポリシー評価を許可する、
しない以外は何らアクションを必要としないためです。使用できるカラムで有効
なオブジェクトはすべて、
レイヤ内にある場合と同様に、
レイヤガードルールで選
択および設定可能です。
他のポリシーレイヤのルールを作成し終わるまで、レイヤガードルールは追加で
きません。
173
SGOS 6.3 Visual Policy Manager リファレンス
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
レイヤ保護を追加するには、次の手順を実行します。
1
2
1. メニューバーから [Edit] をクリックします。
レイヤガードルールが評価ルールの上に表示
2. [Add Layer Guard]を選択します。
されます。
3. レイヤガードルール内のいずれかのカラムを右クリックし、
[Set] を選択します。
4. ポリシレイヤ内にいるときと同様に、
1 つまたは複数のオブジェクトを定義し
ます。
これらのオブジェクトは、レイヤ内の残りのルールを評価するかどうか
決定します。
たとえば、
レイヤガードルールで送信先 IP アドレスを設定する場
合、ProxySG がその IP アドレス向けのトランザクションを検出した場合のみ、
レイヤ内の他のルールが評価されます。
注意 :「Notify User」
オブジェクトを作成およびインストールした場合、次のレイ
ヤガードCPLがWebアクセス、
Webコンテンツ、SSLアクセスの各レイヤに自動的
に追加されます。"condition=!__is_notify_internal"。これは、
ユーザーの操作ま
たはタスクを要求しない互換性のために必要です。
174
第 3 章 :Visual Policy Manager
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
レイヤガードルールの無効化または削除
デフォルトでは、
レイヤガードルールは有効です。
ルールを無効にしたり（ルール
は保持）
、VPM から削除することができます。[Guard] を右クリックしてから選択
します。
図 3–11 レイヤガードルールを無効化
注意 : また、
レイヤガードルールを追加、無効化、削除するには、レイヤタブを右ク
リックします。
ポリシーのインストール
ポリシーレイヤとルールを追加すると、その作業内容は ProxySG 上のファイル
に保存されます。ただし、
ポリシーは、インストール後、
作成された XML の検証が
済んで初めて有効になります。その後、
がポリシーを
ProxySG
CPL 形式にコンパ
イルし、
コンパイルされたポリシーを vpm.cpl ファイルに保存します。これによ
り、以前 VPM を使って作成したポリシーがすべて無効になります。アプライアン
スは VPM で生成されたポリシーを 1 個のファイルに保存し、同時にそのファイル
をロードします。ローカルまたは中央ポリシーファイルのように、ポリシーを別
にロードする必要はありません。
ポリシーをインストールするには、次の手順を実行します。
S
[File] > [Install Policies] の順に選択します。
S
Rule バーにある [Install Policies] をクリックします。
レイヤがないなど何らかの問題があれば、
作成された XML を検証し
VPM は、
ます。
検証に合格した場合、CPL が作成され、ポリシーがロードされます。
以下の操作を許可するダイアログが表示されます。
XML が検証に不合格の場合、
•
ProxySG に現在インストールされているポリシーに戻します。または
•
引き続きポリシーを編集し、別のインストールを試みます。
さらに、不合格の XML ファイルをユーザーのハードディスクに書き込み、
不
合格の XML ファイルの問題を解決するよう、このファイルを表示します。
こ
のファイルのデフォルトの位置を以下に示します。
C:\Documents and Settings\user.name\bluecoat\vpm_err.xml
175
SGOS 6.3 Visual Policy Manager リファレンス
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
メモ
ならびに DNS Lookup Restrictions、
Category および Notify User オブジェクト、
および Group Log Order の各設定用オブジェク
Reverse DNS Lookup Restrictions、
トは、
ルールに含まれているかどうかに関係なく、CPL を生成します。これらの特
定のオブジェクトと機能により、
ユーザーは、現在のポリシーで使用される可能性
のあるカテゴリとリストを編集することができます。
ポリシーの管理
このセクションでは、VPM ポリシーの管理方法について説明します。
ポリシーのリフレッシュ
VPM を閉じてから再度開いたり、
[Install Policies] を起動したりする合間に、
ProxySG 上で別の方法で作成され VPM が管理するポリシーに変更が加えられて
も、VPM は認識しません。
例を示します。
S
他の管理者が別の VPM を開いて変更を加える。
S
他の管理者が、
シリアルコンソールでローカルまたは中央ポリシーファイルを
編集する。
S
他の管理者がローカルまたは中央ポリシーファイルを編集する。
S
新しいコンテンツフィルタデータベースが自動的にダウンロードされ、
新規
アップデートにカテゴリの変更が含まれる。
S
新しいコンテンツフィルタデータベースが管理者により手動でダウンロード
される。
以前のポリシーに戻す
新しいポリシーの作成または既存ポリシーの編集後、その処理を中止したり、
ProxySG にインストールされた既存ポリシーを使い続けることにした場合は、そ
のバージョンに戻ることができます。最新の変更をすべて削除します
（VPM は確
認のプロンプトを出します）。
インストール済みの既存ポリシーに戻るには、
ProxySG 上で、[File] > [Revert to Existing Policy on] の順に選択します。
ポリシーの変更
ポリシーレイヤとルールを使って作
VPM で作成されたポリシーは、VPM に戻り、
成時と同様に作業することにより、いつでも変更、編集、削除、
追加、あるいは管理
を行うことができます。
ポリシーレイヤの管理
このセクションでは、ポリシーレイヤの編集方法について説明します。
176
第 3 章 :Visual Policy Manager
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
ポリシーレイヤ名の変更
ポリシーレイヤの名前を変更したり、
レイヤを有効 / 無効にすること
VPM では、
ができます。
ポリシーレイヤ名を変更するには、次の手順を実行します。
1. ポリシーレイヤのタブを右クリックし、
[Rename] を選択します。
[Rename New
Layer] ダイアログが表示されます。
2. レイヤ名を変更し、
[OK] をクリックします。
ポリシーレイヤの無効化
ポリシーレイヤを無効にすると、そのレイヤに含まれるポリシーの一部を削除で
きますが、ルールは失われず、新しいポリシーを作成する必要もありません。
ポリ
シーレイヤを無効にすると、そのレイヤ内のポリシーは無視されます。無効にし
たレイヤは、
いつでも再び有効にすることができます。
ポリシーレイヤを無効または有効にするには、次の手順を実行します。
ポリシーレイヤのタブを右クリックし、
[Disable Layer] を選択します。レイヤ名の
テキストが赤に変わり、そのレイヤのルールがグレー表示になります。
レイヤを再び有効にするには、
この手順を繰り返して [Enable Layer] を選択します。
ポリシーレイヤを削除する
ポリシーレイヤは完全に削除することができます。
重要 : 削除後は、
レイヤを復元できません。
ポリシーレイヤを削除するには、次の手順を実行します。
1. 削除するポリシーレイヤのタブを右クリックします。
2. ドロップダウンリストから [Delete Policy] を選択します。
注意 : 上記の手順はすべて [Menu Bar]>[Edit] ドロップダウンリストで実行できます。
ポリシールールの管理
時々、
ポリシーレイヤ内のルールを一時的に無効にすることが必要な場合があり
ます。たとえば、
コンパイルエラーや警告を解決する場合です。
無効にすること
で、ProxySG が残りのポリシーのコンパイルに成功することを確認できる可能性
があります。
ルールを無効にした後は、
オブジェクトを編集したり、ルールを再び
有効にすることができます。
ルールを無効または有効にするには、次の手順を実行します。
1. 該当するポリシーレイヤのタブをクリックします。
2. [No.] カラム内で右クリックします。
177
SGOS 6.3 Visual Policy Manager リファレンス
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
3. [shortcut] メニュー上で[Disable Rule] をクリックします。ポリシーエディタに
より、
ルールのテキストカラーが赤に変わります。
手順3を繰り返します。
無効にしたルールを有効にす
4. ルールを有効にするには、
ると、
ポリシーエディタによりルールのテキストカラーが黒に変わります。
VPM で作成したポリシーファイルをインストールする
それらが作成された特定の ProxySG に保存
VPM を使って作成したポリシーは、
されます。VPMで作成されたポリシーが保存されると、SGOSは次のファイルを自
動的に作成します。
config_policy_source.xml
config_policy_source.txt
別の ProxySG で作成された VPM ポリシーをインストールできます。それには、次
の手順を実行する必要があります。
それらが存在する ProxySG から Web サー
1. 共有する 2 つの VPM ファイルを、
バーにコピーします。詳細は、
「VPMファイルをWebサーバーにコピーする」を
参照してください。
2. VPM ファイルを別の ProxySG にロードするには、Management Console また
は CLI を使用します。詳細は、
「VPM ファイルを ProxySG にロードする」
（ 179
ページ）を参照してください。
VPM ファイルを Web サーバーにコピーする
VPM ファイルを ProxySG から Web サーバーにコピーするには、次の手順を実行します。
1. [Statistics] > [Advanced] の順に選択します。
2. 下方にスクロールして [Policy] をクリックします。
ページが Policy ファイルのリンク項目にジャンプします。
図 3–12 カスタム URL 内の Policy ファイル
3. リンク項目の [Show VPM CPL policy] を右クリックします。
ファイル名の前に Web サーバー上のディレクトリへ
4. [Save As] ダイアログで、
のフルパスを入力し、
[OK] をクリックします。
178
第 3 章 :Visual Policy Manager
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
該当するデフォルトのファイル名が表示
重要 : [Save As] ダイアログには、
されます
（config_policy_source.xml or config_policy_source.txt）。この名
前は拡張子を含めて変更可能です。
これは、ある企業が様々な共有 VPM ファイル
セットを使用している場合に役立ちます。たとえば、
ファイルが作成された
またはある部門が VPM 固有のポリシーセットを複数
ProxySG を示すため、
の場所で使用できるように
（sales_vpm.cpl および「 sales_vpm.xml）
、ファイル
名を変更することができます。
5. 2 つめの VPM ファイルに対してこれまでの手順を繰り返します。
VPM ファイルを ProxySG にロードする
VPM ファイルを ProxySG にロードするには、次の手順を実行します。
1. [Configuration] > [Policy] > [Policy Files] > [Visual Policy Files] の順に選択します。
2b
2a
2. [Install Visual Policy] フィールドで、
a. [Install VPM-CPL from] ドロップダウンリストから [Remote URL] を選
択します。
b. [Install] をクリックします。[Install VPM-CPL] ダイアログが表示され
ます。
c. [Installation URL] フィールドに、
Web サーバーにコピーする VPM の CPL
ファイルへの URL を入力し（これは、デフォルトの拡張子が .txt の
ファイルです）、
[Install] をクリックします。
179
SGOS 6.3 Visual Policy Manager リファレンス
セクション D: ポリシーレイヤ、ルール、およびファイルの管理
d. a ～ c の手順を繰り返し、Web サーバーにコピーする 2 つめの VPM の
XML ファイルへの URL を入力して（これは、デフォルトの拡張子が
.xml のファイルです）
、[Install] をクリックします。
3. [Apply] をクリックします。
メモ
S
そのファイルへの URL は
VPM ファイルが ProxySG 上に既に存在している場合、
つのフィールドに表示されます。
その
を置き換えるには、
削除して新しい
2
URL
新しいファイルをインストールすると、
既存のファイルが上
URL を入力します。
書きされます。
S
VPM が生成するポリシーをインストールする前に表示するには、
Web サーバー
上の CPL ファイルへの URL を入力します。
S
新しい VPM ファイルをインストールするかどうかにかかわらず、
現在 ProxySG
上にあるポリシーを含む CPL ファイルまたは XML ファイルをレビューできま
す。
ダイアログ下部の [View Visual Policy Files] ボックス内の [VPM-CPL] および
[VPM-XML] をクリックします。
S
どちらのVPMファイルも直接編集しないでください。
ファイルを変更するには、
必ず VPM 内のポリシーを使用し、
変更内容を VPM に保存します。
VPM ファイルを ProxySG にロードするには、
最初の手順では、2 つのコマンドを使って一方の VPM ポリシーファイルをロード
します。2つめの手順で、コマンドによりもう一方のファイルをロードします。
いず
れの場合も、
ファイル名を含め、url が Web サーバー上の該当するファイルへの完
全なパスです。
1. config コマンドのプロンプトが現れたら、次のコマンドを入力します。
SGOS#(config) policy vpm-cpl-path url
SGOS#(config) load policy vpm-cpl
2. config コマンドのプロンプトが現れたら、次のコマンドを入力します。
SGOS#(config) policy vpm-xml-path url
SGOS#(config) load policy vpm-xml
ポリシー/ 作成済みの CPL を表示する
VPM で作成されたポリシーを VPM または Management Console からインストー
ルして、作成済みの CPL を表示します。
作成された CPL を VPM を介して表示するには、
[View] > [Generated CPL] の順に選択します。
VPM ポリシーファイルを表示するには、
[View] > [Current ProxySG VPM Policy Files] の順に選択します。
作成済みの CPL で作業することにより、
重要 : VPM ポリシーファイルを開き、
VPM で作成されたファイルを編集または変更しないようにします。VPM ポリ
シーを編集、
変更、
または追加するには、
ポリシーレイヤを編集し、
ポリシーを
再インストールします。
180
第 3 章 :Visual Policy Manager
セクション E: チュートリアル
セクション E: チュートリアル
このセクションでは、次のトピックについて説明します。
S
「チュートリアル —Web 認証ポリシーを作成する」
（ 181 ページ）
S
「チュートリアル－ Web アクセスポリシーを作成する」
（ 187 ページ）
チュートリアル —Web 認証ポリシーを作成する
このセクションは、ポリシーの作成方法と Web 認証のルールを示すチュートリア
ルです。
Web 認証ポリシーを使って、要求を作成するたびにユーザー名とパスワードの入
力による認証を求めるかどうかを設定します。
この例では、会社がPACファイルを
使用して、ほとんどの従業員のブラウザを ProxySG 上の特定の IP アドレスに接続
するように設定しています。この会社は、このユーザーのブラウザがプロキシに要
求を送信すると認証を求めます。
ポリシーレイヤを作成するには、次の手順を実行します。
1. Management Console で、[Configuration] > [Policy] > [Visual Policy Manager] の
順に選択して VPM を起動します。
2. [Policy] > [Add Web Authentication Layer] を選択します。
3. レイヤの種類と数字からなるデフォルト名を示すダイアログが表示されま
す。レイヤ名を変更するか、デフォルトを承認して [OK] をクリックします。
空白のルールを加えます。
VPM は新しいレイヤタブを作成し、
181
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: チュートリアル
例 1: 認証ルールを作成する
デフォルトでは、ブラウザが特定のIPアドレスに接続するすべての人に、未修正の
ルールが適用されます。
1
2
3
1. [Source] セルを右クリックしてメニューを下がります。[Set] を選択すると[Set
Source Object] ダイアログが開きます。
必要があれば、[New] を選択
2. プロキシ IP アドレスまたはポートを選択します。
して新しいアドレスを作成します。この例では、
PAC ファイルによりほとんど
の従業員ブラウザが送信される ProxySG 上の IP アドレスが選択されます。
3. [OK] をクリックして IP アドレスを [Source] セルに入力します。
182
第 3 章 :Visual Policy Manager
セクション E: チュートリアル
4
5
4. 認証用 Action オブジェクトを作成します。[Action] セルを右クリックしてメ
ニューを下がり、[Set] を選択します。[Set Action Object] ダイアログが表示さ
れます。
新しい
5. 使用できるオブジェクトはすべて既存の静的オブジェクトなので、
Authenticate オブジェクトを作成する必要があります。[New] をクリックして
[Authenticate] を選択します。
[Add Authenticate Object] ダイアログが表示さ
れます。
183
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: チュートリアル
次のフィールドがあります。
6. この例には、
•
[Name]：あらゆる構成可能なオブジェクトに名前があります。デフォルト
名は [Authenticate1] です。[Add Object] ウィンドウでのリスト方法を示す
[Authenticate_Example_Corp] に変更します。
•
[Realm]：LDAP レルムを設定します。
•
[Mode]：認証レルムモードである [Proxy IP] を設定します。
7. [OK] をクリックして [Add Action Object] ウィンドウを閉じると、新しい
Authenticate オブジェクトがリストに追加されます。
8. [OK] をクリックします。
図 3–13 完成した Action オブジェクト
9. すべての認証アクティビティをログに記録するには、
Trace オブジェクトを作
成します。
[Track] セルを右クリックしてメニューを下がり、[Set] を選択しま
す。[Set Track Object] ダイアログが表示されます。
10. 新しい Trace オブジェクトを作成する必要があります。[New] をクリックして
[Trace] を選択します。
[Add Trace Object] が表示されます。
184
第 3 章 :Visual Policy Manager
1
1
1
2
11. [Name] フィールドに [AuthTrace] を入力します。
12. [Trace Level] および [Verbose] をクリックし、Verbose トレースを有効にしま
す。これにより、
1 つ以上の条件がエラーであったためスキップされたルール
の一覧と、そのエラーとなった具体的条件を示します。
13. [OK] をクリックします。
ルールが完成しました。
14. [OK] を再度クリックしてオブジェクトを追加します。
図 3–14 完成したルール
例 2: 特定のユーザーの認証を免除する
特定の個人とグループを上記の制約から免除します。
個々の購買部員は、サプライ
ヤのWebサイトからオンラインで発注するために頻繁にWebにアクセスする必要
があり、会社は部員に認証を求めていません。
1. このポリシーレイヤに新しいルールを追加するために、
[Add Rule] をクリック
します。
185
SGOS 6.4 Visual Policy Manager リファレンス
2. 購買部員は同じ PAC ファイルを使用するので、それらのブラウザが同じ IP ア
ドレス
（10.1.1.1）
を指すようにします。
186
第 3 章 :Visual Policy Manager
3. Action オブジェクトを [Do Not Authenticate] に変更し、
[OK] をクリックします。
ポリシーレイヤ内の新しいルールは、デフォルトの Action オブジェクトから
非認証への変更を受け入れ、Trace オブジェクトを要求しません。
図 3–15 更新された 2 番目のルール
ただし、
問題があります。
最初のルールはプロキシを通過するすべての人に影響
を与えるので、
ルールはリバース不要です。
2 番目のルールは評価できません。
ルールの順序を変更します。
4. 2番目のルールを選択して [Move Up] をクリックし、
5. [Install policy] をクリックします。
チュートリアル－ Web アクセスポリシーを作成する
このセクションは、Web アクセス用のポリシーとルールの作成方法を示すチュー
トリアルです。
ProxySG のポリシーを使用してエンドユーザーの Web リソースへのアクセスを定
義します。Web アクセスポリシーの詳細については、
『SGOS 管理者ガイド』の「ア
クセスログの設定」の章を参照してください。
このセクションに例を示します。
例 1: 特定の Web サイトへのアクセスを制限する
この例は、特定の仕事検索用 Web サイトにすべての人がアクセスするのを拒否す
るシンプルなルールを表しています。このルールには、オプションを 1 つだけ設定
する必要があります。他のすべてのオプションにはデフォルトを使用します。
1. ポリシーエディタを起動して、[Policy] > [Add Web Access Layer] の順に選択
します。VPMは、新しいポリシーの名前を入れたタブを表示します。その下に、
新しいルールに固有の行があります。
187
SGOS 6.4 Visual Policy Manager リファレンス
デフォルト
default Deny
2. [Destination] を右クリックして [Set] を選択します。[Set Destination Object] ダ
イアログが表示されます。
3. [New] をクリックし、
[Combined Destination Object] を選択します。
[Add Combined
Destination Object] ダイアログが表示されます。
188
第 3 章 :Visual Policy Manager
4. [New] > [Request URL] の順に選択します。
189
SGOS 6.4 Visual Policy Manager リファレンス
5
6
8
5. Click[Simple Match] をクリックします。URL フィールドに hotjobs.com を入力
します。
6. [Add] をクリックします。
7. 手順 5 を繰り返し、monster.com および bajobs.com を追加します。
8. [Close] をクリックします。
190
第 3 章 :Visual Policy Manager
9
9. 新しく追加された URL をそれぞれ選択して、1 つめの [Add] ボタンをクリック
します。
10. [OK] をクリックします。これで、
[Set Destination Object] ダイアログに個別の
URL オブジェクトと組み合わせオブジェクトが入力されました。
11. 組み合わせオブジェクトの [JobSearchURLs] を選択して [OK] をクリックしま
す。これでオブジェクトがルールに含まれました。
図 3–16 完成したルール
デフォルトのアクションは Deny なので、
このルールは完成です。ここに示す
Web サイトには誰もアクセスできません。
12. ルールを有効にするには、
[Install Policies] をクリックします。
191
SGOS 6.4 Visual Policy Manager リファレンス
例 2: 特定のユーザーに特定の Web サイトへのアクセスを許可する
勤務時間後のITシフトは、
簡単な問題を処理するために待機しているが、大きいプ
ロジェクトには関与していないパートタイムのカレッジインターンで構成され
ています。したがって、すべてが問題ないときは、一定のスポーツと娯楽の Web サ
イトをブラウズすることを許可しています。2つのワークステーションからのアク
セスを認めていますが、やはり彼らのブラウジング行為を追跡したいと思ってい
ます。
Source オブジェクトを設定するには、次の手順を実行します。
1
2
3
1. ポリシーに新しいルールを追加し、ポインタを [Source] セルに置きます。
2. [Source] セルを右クリックし、
[Set] を選択して [Add Source Object] ダイアロ
グを表示させます。
3. [New] を選択し、
[Combined Source Object] を選択します。
[Add Combined Source
Object] が現れます。
192
第 3 章 :Visual Policy Manager
4
5
4. オブジェクトに IT_PM_Shift と名前を付けます。
5. 選択可能なオブジェクトのリストで、[New] をクリックして [Client IP Address/
[Add Client IP Address/Subnet Object] ダイアログが
Subnet] を選択します。
表示されます。
6. 最初のワークステーションの IPv4 または IPv6 アドレスを入力して [Add] をク
リックします。2 番目のワークステーションについて同じ手順を繰り返しま
す。[Close] をクリックします。
193
SGOS 6.4 Visual Policy Manager リファレンス
7. IP アドレスをそれぞれ選択して、1 つめの [Add] をクリックします。
8. [OK] をクリックします。[OK] を再度クリックすると、
Source オイブジェクト
がルールに追加されます。
194
第 3 章 :Visual Policy Manager
Destination オブジェクトを設定するには、次の手順を実行します。
1
2
1. [Destination] フィールドを右クリックして [Set] を選択します。
[Set Destination
Object] ダイアログが表示されます。
2. [New] をクリックして [Request URL Category] を選択します。[Add Request
Category Object] ダイアログが表示されます。
195
SGOS 6.4 Visual Policy Manager リファレンス
3
4
3. [Policy] を選択して [Add] をクリックします。
[Enter Name for New Category]
ダイアログが表示されます。
4. オブジェクトに Allowable_Sports と名前を付け、[OK] をクリックします。
5
5. スポーツの URL を選択します。[Edit URLs] をクリックします。[Edit Locally
Defined Category Object] ダイアログが表示されます。
196
第 3 章 :Visual Policy Manager
6. アクセス可能なスポーツのWebサイトのURLを入力し、
[OK] をクリックします。
7. [Policy] で [Allowable_Sports] を選択し、[OK] をクリックします。
8. 手順 3 ～ 7 を繰り返して Allowable_Entertainment という名前のカテゴリを作
成し、
および variety.com を入力します。
URL には ew.com、rollingstone.com、
9. オブジェクトに Allowable PM IT Websites と名前を付けます。
[OK] を 2 回ク
リックしてオブジェクトをルールに追加します。
図 3–17 完成したレイヤで 2 番目のルール
Time オブジェクトを設定するには、次の手順を実行します。
この例では、
特定のユーザーが、勤務時間後にスポーツと娯楽のWebサイトにアク
セスすることができます。
197
SGOS 6.4 Visual Policy Manager リファレンス
1
2
1. 2番目のルールで、[Time] フィールドを右クリックして [Set]を選択します。[Set
Time Object] ダイアログが表示されます。
2. [New] をクリックして [Time Object] を選択します。
[Add Time Object] ダイア
ログが表示されます。
198
第 3 章 :Visual Policy Manager
3
4
5
3. オブジェクトに After Hours と名前を付けます。
時間を 18:00
4. [Specific Time of Day Restriction] フィールドで [Enable] をオンにし、
～ 05:59 と設定します。
これにより、
勤務時間後の時間が 6:00 PM ～ 6:00 AM と定義されます。
5. [Specific Weekday Restriction] フィールドで、[Enable] をオンにし、
[Monday]、
[Tuesday]、[Wednesday]、[Thursday]、および [Friday] を選択します。
これにより、
このルールを適用する曜日が定義されます。
6. [OK] を 2 回クリックして Time オブジェクトをルールに追加します。
199
SGOS 6.4 Visual Policy Manager リファレンス
Action オブジェクトを設定するには、次の手順を実行します。
1. 2 番目のルールで、[Action] を右クリックして [Allow] を選択します。
2. [Install policy] をクリックします。
200
第 3 章 :Visual Policy Manager
セクション F: VPM で直接 CPL を作成する
CPL 言語をテキストファイルで作成してからインス
CPL Layer を使用すると、
トールしなくても、
上級の CPL ユーザーが VPM 内に直接書き込むことができま
す。CPL Layer は他のレイヤの場合と同様に追加し、管理しますが、オブジェクト
は使用しません。レイヤ自体が実質的にテキストエディタとなります。
CPL Layer
を追加する利点は、
このレイヤのポリシー評価順を変更できることです。複数のポ
リシーレイヤがある場合に、CPL Layer の順序を 2 番目に変更してポリシーをイン
ストールすると、CPL Layer から作成された CPL は 2 番目の位置に表示されます。
VPM は検証を全く実行しません。CPL エラーが生じると、ポリシーのインストー
ルは失敗するので、ユーザーはそのテキストを CPL Layer で編集して、
手動でエ
ラーを修正する必要があります。
注意 : CPL Layer は、
レイヤガード機能をサポートしていません。
CPL Layer を追加するには、次の手順を実行します。
ユースケース：ProxySG によるあるサイトのキャッシングを一時的に阻止する必
要のある状況が発生します。
1. VPM で、[Policy] > [Add CPL Layer] の順に選択します。
2. 空白の作業領域をクリックし、CPL を入力します。
3. [Install policy] をクリックします。この例では、入力された CPL が次のように表
示されます（[View] > [Generated CPL]）。
;; Tab:[SanJoseWeb]
<Proxy>
Deny; Rule 1
;; Tab:[SJAdminAccess]
<Admin>
Deny; Rule 1
;; Tab:[CPL Layer (1)]
<Cache>
url.domain="www.abc123.com" cache(no); Rule 1
4. レイヤの目的に応じて順序を変更し、このアクションの優先順位を確定しま
す。[Edit] > [Reorder Layers] の順に選択し、評価順序を設定します。
201
SGOS 6.4 Visual Policy Manager リファレンス
202
第 4 章 : 高度なポリシータスク
この章では、ProxySG アプライアンスの高度なポリシー機能に関する概念的情
報と手続き的情報を示します。ProxySG の機能の多くはポリシーコンポーネン
トを持ちますが、
一部の機能には、設定コンポーネント外部ポリシーがありま
せん。高度なポリシーは Visual Policy Manager (VPM) でルールを定義するか、
Content Policy Language (CPL) を書いて設定します。この章ではいくつか例を
示しながら、
各セクションごとに関連の VPM の章の内容についてふれます。
この章のトピック
この章は、次のトピックに関する情報で構成されています。
S
セクション A:「ポップアップウィンドウをブロックする」
（ 200 ページ）
S
セクション B:「不連続 IP アドレスの除外」
（ 202 ページ）
S
セクション C:「アクティブコンテンツをストリップまたは交換する」
（ 203
ページ）
S
セクション D:「ヘッダを修正する」
（ 206 ページ）
S
セクション E:「例外を定義する」
（ 207 ページ）
S
セクション F:「ピアツーピアサービスを管理する」
（ 223 ページ）
S
セクション G:「QoS と各種サービスを管理する」
（ 230 ページ）
S
セクション H: 「Management Console で読み取り専用アクセスを提供す
る」
（ 239 ページ）
S
セクション I:「コンテンツおよびコンテンツタイプフィルタリングのポリ
シーを設定する」
（ 243 ページ）
例外を除いて、
これらの機能を実装するには、ポリシーを使用しなければなり
ません。
( 例外については、システムにインストールするリストをポリシーの外
部で作成することができます。)
199
SGOS 6.3 Visual Policy Manager リファレンス
セクション A: ポップアップウィンドウをブロックする
セクション A: ポップアップウィンドウをブロックする
このセクションでは、不要なポップアップウィンドウをブロックするための Blue
Coat ソリューションについて説明します。
ポップアップのブロッキングについて
ProxySG では、未承諾広告という形をとることが多いポップアップウィンドウを
ブロックすることができます。ポップアップウィンドウは各 HTML Web ページ
に Javascript のコードを挿入してブロックします。Web ページが新しいウィンド
ウを開こうとするごとに、ユーザーがクリックしたため開いたウィンドウかどう
かをコードが判定します。ユーザーがボタンやリンクをクリックしたと ProxySG
が判定するとウィンドウが開きますが、
そうでなければ開きません。
双方向性に関する注意
Web は動的な性格をもつので、ポップアップウィンドウをブロックするだけでは
完璧なソリューションとはいえません。
この機能を設定する前に、次のような事項
に留意してください。
S
望ましい情報や有益な情報を含むウィンドウを、広告などの望ましくないコ
ンテンツと区別することはできません。
S
ブロッキングポリシーをインストールする前に、ポップアップウィンドウを
表示するページを Web ブラウザがキャッシュに格納すると、
現在のポリシー
と無関係にそのページでポップアップ広告が表示され続けます。
S
スクロール
Web ページに含まれるアニメーション広告はブロックされません。
やドロップダウン形式で表示されるのが一般的なこのような広告は、ポップ
アップウィンドウではなく、ページの一部です。ユーザーがこのような広告を
目にすると、ポップアップウィンドウのブロック機能が実装されていないの
ではと考えるかも知れません。
S
HTTPS を通じて表示されるポップアップウィンドウはブロックされません。
S
ProxySG 要求ヘッダは Web ブラウザに対して圧縮を使用しないように指示
しますが、Web サーバーが圧縮した応答を送信するように設定される可能性
が(高くはありませんが)あります。
圧縮された HTML ページでは、
ポップアッ
プブロック機能が働きません。
S
管理者とユーザーはポップアップブロッキングをオーバーライドして、
制限
機能を補うことができます。
推奨設定
•
200
管理者 — VPM を使用して、特定の Web サイトや一定範囲の IP アドレス
にポップアップブロッキングを適用しないポリシールールを作成しま
す。
たとえば、
Blue Coat はイントラネットは一定範囲の IP アドレスに常駐
するので、
ポップアップブロッキングを無効にすることをお勧めします。
第 4 章 : 高度なポリシータスク
セクション A: ポップアップウィンドウをブロックする
図 4–1
•
企業のサイトでポップアップブロッキングを無効にする
ユーザー — ポップアップウィンドウがブロックされると、
ステータスバー
に次のようなメッセージを表示します。
blocked popup window -- use CTRL Refresh to see all popups.
Control キーを押しながら、Web ブラウザ [Refresh] ボタンを押します。そ
のアクションのポップアップブロッキングが無効になり、ページを再読み
込みします。
S
ポップアップブロッキングアクション用に、
別の Web アクセスポリシーを
作成します。これでポップアップウィンドウを必要とするイントラネットに
展開している Web アプリケーションに対する干渉を減らします。
S
キャッシュに格納された Web ページがポップアップウィンドウを表示する
のを防ぐには、ブラウザのキャッシュをクリアして、CTRL キーを押さずにペー
ジを再読み込みします。
ポップアップウィンドウのブロックは Visual Policy Manager を通じて実行しま
す。ポリシーレイヤでブロッキングアクションを作成する方法については、
「Block/Do Not Block PopUp Ads」
（107 ページ）を参照してください。
201
SGOS 6.3 Visual Policy Manager リファレンス
セクション B: 不連続 IP アドレスの除外
セクション B: 不連続 IP アドレスの除外
現在のトランザクションの値を IP アドレスと照合し
ProxySG ポリシー言語には、
てテストするトリガがいくつかあります。このようなトリガはすべて個別 IP また
はサブネットを許容しますが、
不連続 IP では問題となる可能性があります。
各 IP /
サブネットに一致させるためにルールを二度以上繰り返すよりは、すべてのトリ
ガ条件に有効な一つのオブジェクトにこの情報をグループ化する方が効果的です。
CPL の例 :
define subnet internal_ranges
10.0.0.0/16
192.168.1.0/24
終了
<proxy>
client.address=internal_ranges ALLOW
VPM の例 :
1. [Web Access Layer] に、
[Rule] を追加します。
2. [Source] カラムで [Combined Object] を作成し、
[Internal_IP_Ranges] オブジェ
クトに名前を付けます。
3. 社内 IP アドレスの範囲とサブネットを結合オブジェクトに追加し、このオブ
ジェクトを [Source] カラムに追加します。
4. [Action] を許可に設定します。
202
第 4 章 : 高度なポリシータスク
セクション C: アクティブコンテンツをストリップまたは交換する
セクション C: アクティブコンテンツをストリップまたは交換する
このセクションでは、不要なアクティブコンテンツをストリップまたは交換する
Blue Coat ソリューションを説明します。
アクティブコンテンツについて
Web ページ内でアクティブになったスクリプトはセキュリティの問題を引き起
こす可能性があります。ProxySG ポリシーを設定して、Java アプレットやスクリ
プトなどのアクティブコンテンツを表示する HTML タグを検出、削除すること
で Web コンテンツの標準のウィルススキャンを補うことができます。さらに、削
除したコンテンツをあらかじめ定義した内容に置き換えることができます。この
プロセスをアクティブコンテンツ変換といいます。
アクティブコンテンツ変換を実行するように ProxySG を設定すると、クライア
ントが要求した Web ページは表示する前にスキャンして、指定したタグやこれら
が定義するコンテンツはすべて削除するか置き換えます。変換したコンテンツは
キャッシュに格納しないので、変換プロセスは時刻、クライアントの ID 、
URL な
どさまざまな条件により変わります。
注意 :HTTPS トンネルされた接続で提供されるページは暗号化されるので、コン
テンツを修正することができません。
次のタグと関連コンテンツは削除または置き換えることができます。
— HTML <applet> 要素で定義する Java アプレット。
S
<APPLET>
S
HTML <embed> 要素で定義する Netscape Navigator プラグインを
使用して表示する埋め込まれたマルチメディアオブジェクト。
S
<OBJECT>
S
<SCRIPT>
<EMBED> —
— HTML <object> 要素で定義する Internet Explorer Active-X コン
トロールその他のマルチメディア要素を使用して表示する埋め込まれたマル
チメディアオブジェクト。
— HTML <script> 要素、
Javascript エンティティ、Javascript URL、
またはイベントハンドラ属性として表わされる埋め込まれた Javascript および
VBScript プログラム。
<noscript> タグはこの機能による影響を受けません。
アクティブコンテンツのストリップは Visual Policy Manager または CPL を書い
て実行します。
S
[Web Access Layer] で [Strip Active Content] アクションオブジェクトを作成する
方法については、
「Strip Active Content」
（128 ページ）を参照してください。
S
Content Policy Language リファレンスを参照してください。
203
SGOS 6.3 Visual Policy Manager リファレンス
セクション C: アクティブコンテンツをストリップまたは交換する
アクティブコンテンツのタイプについて
以下のセクションでは、
削除または置き換えが可能なアクティブコンテンツのタ
イプについて詳しく説明します。
スクリプトタグ
スクリプトは一般に開始タグと終了タグ（<SCRIPT> と </SCRIPT>）との間に置
かれます。使用するスクリプトのタイプは <SCRIPT LANGUAGE=”JavaScript 1.0”>)
のような LANGUAGE 属性で定義します。
ブラウザは
LANGUAGE 属性が未定義の場合、
JavaScript であると想定します。
スクリプトを削除するように transform active_content が設定されている場合、
言語の種類にかかわらず <SCRIPT> と </SCRIPT> を含めこれらの間にあるすべて
のコンテンツを削除して、定義済みの置換テキストをすべて置き換えるのが基本
的な操作です。スクリプトが HTML 文書のヘッダ部分で定義されているとき (
この場合には、スクリプトは削
<HEAD> タグで定義 ) 注目すべき例外が起こります。
除されるだけです。
これはイメージ、
オブジェクト、テキストが HTML 文書のヘッ
ダでは許可されないためです。文書に終了スクリプトタグ </SCRIPT> がないとき
開始 <SCRIPT> タグから文書の最後 ( 文書の最後とは </BODY> または </HTML> タ
グまで、または文書の最後の文字まです ) までのすべてのコンテンツが削除され
ます。
JavaScript エンティティ
JavaScript エンティティのフォーマットは、&{javascript code} で属性の値部分
のどこにも見られます ( つまり <IMG SRC=”&{images.logo};”)。属性の値部分には、
複数のエンティティを定義することができます。スクリプトを削除するように
すべての JavaScript エンティティの属
transform active_content を設定すると、
性 / 値の組が削除されます。
ここには置換テキストは置かれません。
JavaScript 文字列
JavaScript 文字列のフォーマットは、javascript: javascript code で属性の値部
分のどこにも見られますが、通常、
1 つの属性に定義できるのは 1 つだけです。最
近のブラウザは大半が JavaScript 文字列をサポートします。スクリプトを削除す
るように transform active_content を設定すると、
すべての JavaScript 文字列の
属性 / 値のペアが削除されます。ここには置換テキストは置かれません。
JavaScript イベント
JavaScript イベントとはキーワード on で始まる属性です。
<A HREF=”index.html
HTML 4.01 仕様では 21 種類の
onMouseOver=”javascript code”> がその例です。
JavaScript イベントを定義しています。
204
第 4 章 : 高度なポリシータスク
セクション C: アクティブコンテンツをストリップまたは交換する
onBlur、onChange、onClick、onDblClick、onDragDrop、onFocus、onKeyDown、
onKeyPress、onKeyUp、onLoad、onMouseDown、 onMouseMove、onMouseOut、
onMouseOver、 onMouseUp、onMove、 onReset、OnResize、onSelect、 onSubmit、
onUnload
Microsoft Internet Explorer と Netscape のどちらもこれらのイベントの変種や新
しい多数のイベントを定義しています。
JavaScript イベントをすべてキャッチす
るため、アクティブコンテンツトランスフォーマは on 自体を含むのではなく、
キーワード on で始まる属性を識別します。たとえば、タグ <A HREF=”index.html”
ブラウザで onDonner が有効な JavaScript
onDONNER=”DONNER”> の属性 onDonner は、
イベントとして存在していないときにも削除されます。この場合、変換後のファイ
ルは <A HREF=”index.html”> となります。
埋め込みタグ
HTML <EMBED> タグには、</EMBED> 終了タグは必要ありません。ただし、多くの
埋め込みタグを
Web ブラウザは <EMBED> </EMBED> タグペアをサポートします。
サポートしていないか、
埋め込まれたオブジェクトの MIME タイプをサポートし
ていない場合、タグ間のテキストはブラウザが提供することになります。したがっ
て transform active_content が埋め込みタグを変換するよう設定されている場合、
置換テキストに置き換わります。
終了タグ </EMBED>
<EMBED> タグだけが削除され、
は単に削除され、
開始タグと終了タグの間のテキストは影響を受けません。
オブジェクトタグ
オブジェクトタグには開始 <OBJECT> および終了 </OBJECT> タグのペアがあり、
オブジェクトタグ
CODETYPE と TYPE 属性でオブジェクトのタイプが決まります。
がサポートとされていない場合、タグ間のテキストはブラウザが提供するので、
transform active_content がオブジェクトタグを変換するように設定されてい
る場合、<OBJECT> と </OBJECT> タグだけが削除され置換テキストに置き換わりま
す。タグの間のテキストは残ります。CODETYPE または TYPE 属性は変換に影響を及
変換は影響を受けません。
ぼしません。
また終了 </OBJECT> タグがない場合でも、
205
SGOS 6.3 Visual Policy Manager リファレンス
セクション D: ヘッダを修正する
セクション D: ヘッダを修正する
リクエストヘッダは、ユーザーが多くの情報を含む Web オブジェクトにアクセ
スすると送信されます。このような詳細情報によって、企業やユーザーのプライバ
シーやセキュリティが損なわれる可能性があります。
ユーザーがリンクをクリックすると、Web ブラウザはそのリンクを含む Web
ページの URL に要求のリファラヘッダを設定します。
( その URL がお気に入り
やブックマークリストから入力または選択されたときは、
このヘッダは設定され
ません。) 社内 Web ページに外部 Web サイトへのリンクが張ってある場合、
ユー
ザーがこれらのリンクをクリックすると、
社内ページの URL が送信され、外部サ
イトの Web ログにログ記録されます。
これは通常は問題になりませんが、その外
部 Web サイトが競合企業の Web サイトなどユーザーの企業の詳細情報に関心が
あるサイトである場合、問題となる可能性があります。
たとえば、イントラネットの構成から、会社の現在または今後の方向性について示
唆が得られる可能性があります。プロジェクト名やコード名がディレクトリや
ファイル名に含まれる可能性があります。イントラネットの構造が暴露されると、
ハッカーはネットワークを攻撃しやすくなります。
一部の Web サイトでは Referer ヘッダがその Web サイトの参照ページに設定さ
れていない限り、Web サイトはイメージその他のリンクされたオブジェクトを提
供しないので、
すべての要求からリファラヘッダを削除するという幅広いソ
リューションは問題を生じます。
Blue Coat が実装するソリューションは対象
ページがイントラネットに常駐し、
参照ページが社内ホストにある場合に限
Web
り、Referer ヘッダをストリップします。
ヘッダの抑制は Visual Policy Manager または CPL を書いて実行します。
S
S
206
[Web Access Layer] で [Suppress Header] アクションオブジェクトを作成する
方法については、
「Suppress Header」
（123 ページ）を参照してください。
『コンテンツポリシー言語リファレンス』を参照してください。
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
セクション E: 例外を定義する
例外はポリシーによる拒否、要求のハンドルの失敗、認証失敗など、一定の
ProxySG クライアント要求に応答して送信されます。例外は ProxySG 管理者が定
義したポリシールールに基づいてユーザーに返されます。
たとえば、
許容されな
いコンテンツに対する要求をクライアントが送信すると、例外 HTML ページ
(HTTP 接続の場合 ) または例外文字列 ( 非 HTTP 接続の場合 ) を返して、アクセス
が拒否されたことをクライアントに通知します。
例外には、組み込み例外とユーザー定義例外の 2 種類があります。
組み込み例外
組み込み例外とは、ProxySG であらかじめ定義された例外のセットです。組み込
み例外は policy_denied や invalid_request のように、発生することが既知の運
用コンテキストでユーザーに情報を送り返します。
組み込み例外は常に使用でき、コンテンツをカスタマイズすることもできますが、
削除したり、
新たに組み込み例外を作成したりすることはできません。
次の表に組み込み例外と、
これらが発行されるコンテキストのリストを示します。
表 4–1
例外
例外のタイプと HTTP レスポンス
コード
発行される場合
authentication_failed
(HTTP Response Code:401)
通常、
資格情報が誤っているため、トランザクショ
ンを認証できません。
authentication_failed
は deny.unauthorized の同義語です。
authentication_failed_
password_expired
(HTTP Response Code:403)
認証サーバーが提供された資格情報の有効期間
を経過したため、新しいパスワードを取得しなけ
ればならないことをレポートします。
authentication_log_out
ログアウトしました。
(HTTP Response Code:200)
authentication_mode_not_
supported
(HTTP Response Code:403)
設定した認証モードは現在の要求をサポートし
ません。
authentication_redirect_
from_virtual_host
(HTTP Response Code:302)
透過リダイレクト認証を使用しています。この例
外は、トランザクションを仮想認証ホストからオ
リジナルの要求にリダイレクトします。
authentication_redirect_off_
box
(HTTP Response Code:302)
要求は別のデバイスの認証サービスにリダイレ
クトされています。
authentication_redirect_to_
virtual_host
(HTTP Response Code:302)
透過リダイレクト認証を使用しています。この例
外は、トランザクションを仮想認証ホストにリダ
イレクトします。
207
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
表 4–1
208
例外（続き）
例外のタイプと HTTP レスポンス
コード
発行される場合
authentication_success
(HTTP Response Code:302)
Cookie を使用する透過リダイレクト認証を使用
しています。この例外はトランザクションをオリ
ジナルの要求にリダイレクトしますが、要求 URL
から認証 Cookie を削除します。
authorization_failed
(HTTP Response Code:401)
deny.unauthorized ポリシーアクションが一致
bad_credentials
(HTTP Response Code:400)
ユーザー名またはパスワードが無効 / 認識されな
いフォーマットで送信されました。
次のような 2
つの原因が考えられます。
します。この例外は現在認証されている ID では
要求された操作の実行が許可されませんが、要求
を許可できるほかの資格情報を持っている可能
性があること ( たとえば、新しい資格情報を入力
できる ) をユーザーに通知します。
•
ユーザー名またはパスワードが非 ASCII 文字
を含み、ProxySG が現在 Web ブラウザが使用
している認証文字符号化方式を使用するよう
に設定されていません。
•
ユーザー名かパスワードが長すぎます。( ユー
ザー名とパスワードの制限は UTF-8 変換後
でそれぞれ 64 バイトです。)
client_failure_limit_
exceeded
(HTTP Response Code:503)
IP アドレス ($(client.address)) からの失敗し
た要求が多すぎます。
configuration_error
(HTTP Response Code:403)
そのエラーの
ProxySG で設定エラーが検出され、
ため要求された操作を扱うことができませんで
した。
この例外は問題を解決するために ProxySG
管理者が介入しなければならない可能性を示す
例外です。
connect_method_denied
(HTTP Response Code:403)
ユーザーが非透過的にプロキシされたときに、非
標準ポートに CONNECT メソッドを試みまし
た。Blue Coat はセキュリティ上リスクがあると
考えられるので、非標準ポートには CONNECT
メソッドを許可しません。
content_encoding_error
(HTTP Response Code:502)
Web サイトがあるタイプのコンテンツ符号化
ヘッダを表示しましたが、それと異なる方式で
データを符号化しました。
content_filter_denied
(HTTP Response Code:403)
コンテンツ分類が理由で特定の要求が許可され
ません。
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
表 4–1
例外（続き）
例外のタイプと HTTP レスポンス
コード
発行される場合
content_filter_unavailable
(HTTP Response Code:403)
外部コンテンツフィルタリングサービスにアク
セスできず、この状態で ProxySG を閉じることが
できません。
dns_server_failure
(HTTP Response Code:503)
要求の宛先アドレスを変換するために、ProxySG
がDNS サーバーと通信できなかったため、要求を
処理できませんでした。
dns_unresolved_hostname
(HTTP Response Code:404)
ProxySG が要求中のホスト名を DNS で変換でき
なかったため、要求を処理できませんでした。
dynamic_bypass_reload
(HTTP Response Code:200)
dynamic_bypass ポリシーアクションが一致し
gateway_error
上流ゲートウェイと通信しようとしているとき
に、
ネットワークエラーが発生しました。
(HTTP Response Code:504)
ます。
icap_communication_error
(HTTP Response Code:504)
ProxySG が外部 ICAP サーバーとの通信しよう
としているときに、ネットワークエラーが発生し
ました。
icap_error
(HTTP Response Code:504)
ネットワーク上の問題が発生したか、ICAP サー
ビスが正しく設定されていないか、ICAP サー
バーがエラーをレポートした可能性があります。
internal_error
(HTTP Response Code:500)
現在のトラ
ProxySG が予想外のエラーが発生し、
ンザクションを扱うことができなくなりました。
invalid_auth_form
(HTTP Response Code:403)
提出された認証フォームが無効です。フォーム
データはユーザー名、パスワード、有効なオリジ
ナル要求情報を含まなければなりません。
invalid_request
(HTTP Response Code:400)
ProxySG が受信した要求は構文に基本的な誤り
を検出したため、扱うことができませんでした。
invalid_response
無効なレスポンスか誤設定のため、サーバーのレ
スポンスを処理できませんでした。
(HTTP Response Code:502)
(HTTP Response Code:403)
プロキシでライセンスを超過したためアクセス
が拒否され、要求が許可されません。
license_expired
(HTTP Response Code:403)
要求された操作はライセンスされていない機能
を必要とするため、先に進むことができません。
method_denied
(HTTP Response Code:403)
要求された操作は、関連付けられているサービス
特性のため、非透過的に拒否されているメソッド
を使用します。
not_implemented
(HTTP Response Code:501)
要求された操作は、
現在実装されていない機能を使
用するので、
プロトコルが扱うことができません。
license_exceeded
209
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
表 4–1
例外（続き）
例外のタイプと HTTP レスポンス
コード
発行される場合
notify
(HTTP Response Code:200)
VPM が内部的に使用します。この場合は、HTML
レスポンス全体を VPM が生成し、
例外定義から
とられるわけではないので、この例外のテキスト
をカスタマイズする必要はありません。
notify_missing_cookie
(HTTP Response Code:403)
この例外はユーザーへの通知に VPM [Notify User]
アクションが使用され、ユーザーが Web ブラウザ
で Cookie を使用禁止したときに返されます。
policy_denied
(HTTP Response Code:403)
policy_denied は deny. の同義語です。
policy_redirect
(HTTP Response Code:302)
redirect アクションはポリシーで一致してい
radius_splash_page
ユーザーが認証されました。要求されたサイトに
進むには、ブラウザの更新ボタンをクリックして
ください。ユーザー/ セッション ID は $(x-radiussplash-username)/$(x-radius-splash-session-id)
です。
(HTTP Response Code:200)
redirected_stored_requests_
not_supported
(HTTP Response Code:403)
これは POST 要求での認証フォームにのみ適用
します )：オリジンサーバーが要求のリダイレク
トを返しました。
ProxySG はストアされた要求の
リダイレクトを許容しないように設定されてい
ます。
refresh
(HTTP Response Code:200)
更新 (HTTP Refresh: header を使用 ) が必要で
す。更新例外 (デフォルト) は当初要求された URL
を ( 場合により post-imputed フォームで ) 更新し
ます。
server_request_limit_
exceeded
(HTTP Response Code:503)
$(url.host) に対して同時に送信される要求が
silent_denied
(HTTP Response Code:403)
exception(silent_denied) がポリシーで一致
server_authentication_error
(HTTP Response Code:500)
210
ます。
多すぎます。
しています。この例外は事前設定によりボディテ
キストがなく、クライアントにステータスコード
のみ送信する点でサイレントです。
内部エラーです。ProxySG が上流にユーザー名 /
パスワードを送信する準備をしている間に、内部
エラーが発生しました。このエラーは ProxySG の
「サーバー認証」機能が有効になっているときに
だけ発生する可能性があります。
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
表 4–1
例外（続き）
例外のタイプと HTTP レスポンス
コード
発行される場合
ssl_client_cert_expired:
Expired SSL Client
Certificate
Web サイトが不正または無効な証明書を提供し
たか設定エラーが発生しました。
(HTTP Response Code:503)
ssl_client_cert_ocsp_check_
失敗
OCSP Error On Client
Certificate
(HTTP Response Code:503)
証明書の取り消しステータスの確認中にエラー
が発生しました。
ssl_client_cert_ocsp_status_
unknown:
Unknown OCSP Status of Client
Certificate
(HTTP Response Code:503)
OCSP チェックの結果、クライアントの証明書に
ついて不明ステータスが返されました。
ssl_client_cert_revoked:
Revoked SSL Client
Certificate
クライアントが取り消された証明書を提示する
か、
設定エラーが発生しました。
(HTTP Response Code:503)
ssl_client_cert_untrusted_
issuer
Untrusted SSL Client
Certificate
Web サイトが不正または無効な証明書を提供し
たか、設定エラーが発生しました。
(HTTP Response Code:503)
ssl_domain_invalid:
SSL Certificate Host Mismatch
(HTTP Response Code:409)
証明書が Web サイトのドメイン名と一致しない
ありふれた名前を含むため、HTTPS を通じた
Web サイトへのコンタクトに失敗しました。
ssl_failed:
SSL Certificate Verification
Error
(HTTP Response Code:503)
Web サイトに、保護された SSL セッションを確立
できませんでした。これは一般に、Web サイトが
SSL 接続を受け入れるよう設定されていない場合
に発生します。
ssl_server_cert_expired:
Expired SSL Server
Certificate
Web サイトが不正または無効な証明書を提供し
たか、設定エラーが発生しました。
(HTTP Response Code:503)
ssl_server_cert_ocsp_check_
失敗
OCSP Error On Server
Certificate
(HTTP Response Code:503)
証明書の取り消しステータスの確認中にエラー
が発生しました。
211
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
表 4–1
例外（続き）
例外のタイプと HTTP レスポンス
コード
発行される場合
ssl_server_cert_ocsp_status_
unknown
Unknown OCSP Status of Server
Certificate
(HTTP Response Code:503)
サーバーの証明書取り消しステータスが不明で
す。
これは証明書取り消しチェックについて、
サーバーがステータスを把握していないことが
原因です。
ssl_server_cert_revoked:
Revoked SSL Server
Certificate
Web サイトが取り消された証明書を提示するか、
設定エラーが発生しました。
(HTTP Response Code:503)
ssl_server_cert_untrusted_
issuer:
Untrusted SSL Server
Certificate
Web サイトが不正または無効な証明書を提供し
たか、設定エラーが発生しました。
(HTTP Response Code:503)
tcp_error
(HTTP Response Code:503)
上流ホストと通信しようとしているときに、エ
ラーが発生しました。
transformation_error
(HTTP Response Code:403)
サーバーが不明な符号化方式を送信しましたが、
ProxySG はコンテンツの返還を行うように設定
されています。
unsupported_encoding
(HTTP Response Code:406)
クライアントが Accept-Encoding:Identity;q=0,
圧縮されて
… ヘッダを含む要求を行っています。
いないコンテンツしかキャッシュにないか、
ProxySG がコンテンツを圧縮するよう設定され
ていないか、圧縮ライセンスの有効期間が経過し
ている、
要求と設定されているポリシーとの組み
合わせにより、クライアントの要求が AcceptEncoding:Identity;q=0 となりました。
unsupported_protocol
(HTTP Response Code:406)
要求で使用されているプロトコルが理解できま
せん。
virus_detected
コンテンツにウィルスが検出されました。
(HTTP Response Code:200)
上記の例外の大部分はポリシー例外プロパティを通じて、直接開始することがで
きます。ただし、
問題が発生したため、またはコンテキストから開始するという追
加条件を必要とする例外があります。
212
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
例外プロパティを通して開始できない例外を次に示します。
S
authentication_failed
S
authentication_failed_password_expired
S
authentication_redirect_from_virtual_host
S
authentication_redirect_to_virtual_host
S
authentication_success
S
dynamic_bypass_reload
S
license_expired
S
ssl_domain_invalid
S
ssl_failed
組み込み例外のコンテンツを表示するには、(config) プロンプトに対して、次の
コマンドを入力します。
SGOS#(config) exceptions
SGOS#(config exceptions) show exceptions configuration_error
configuration_error exception:
all protocols:
summary text:
SG configuration error
details text:
Your request could not be processed because of a configuration
error:$(exception.last_error)
help text:
The problem is most likely because of a configuration error,
$(exception.contact) and provide them with any pertinent information
from this message.
http protocol:
code:403
ユーザー定義例外
ユーザー定義例外は管理者が作成および削除します。
ユーザー定義例外をポリ
シーが参照した場合は、削除することができません。ユーザー定義例外のデフォル
トの HTTP レスポンスコードは 403 です。
注意 :非透過的にプロキシされ、Internet Explorer を使用して HTTPS URL を要求
するユーザーの場合、900 文字を超える例外本文は切り詰められることがありま
す。例外本文を短くするとこれを避けることができます。
例外本文が 512 文字未満の場合、
「ページが存在しません 404」エラーの原因にな
ることがあります。
このような場合は、exception.autopad(yes|no) プロパティを
使用して、
本文が 513 文字を超えるようにしてください。
exception.autopad プロ
パティの詳細は、
『コンテンツポリシー言語リファレンス』参照してください。
213
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
例外の定義について
各例外定義 ( 組み込みかユーザー定義かを問いません ) は次のような要素を含み
ます。
S
「例外」
（ 207 ページ）組み
— 例外のタイプを識別します。表 4–1、
込み例外のタイプをリストします。ユーザー定義例外の場合は、作成時に指定
した名前が識別子になります。
S
— 例外の外見を定義します。HTTP 例外レスポンスでは、フォーマット
は HTML ファイルになります。このほかのプロトコルでは、ユーザーエー
ジェントは HTML を提供できないので、
フォーマットは一般に 1 行になります。
S
Summary
S
たとえ
Details — 例外を表示する理由を記述するデフォルトのテキストです。
ば、
デフォルトの policy_denied 例外 (HTTP プロトコルの場合 ) の詳細は次のよ
うになります。要求はシステムポリシーにより拒否されました。
S
Help — 一般的に考えられる原因とユーザーがとりうるソリューションの説明で
す。
たとえば、
表示した URL の分類を見直したい場合、
$(exception.help) 定義に
$(exception.category_review_url) と $(exception.category_review_message) 代
入値をアペンドすることができます。
この機能はまずコンテンツフィルタリ
ングの設定で有効にしなければなりません。分類を見直せるようにする方法
は、
『Blue Coat SGOS 6.x 管理ガイド』のコンテンツフィルタリングの章を
参照してください。
S
Contact — すべての例外で代入できるサイト固有のコンタクト情報を設定す
るのに使用します。例外単位でコンタクト情報をカスタマイズすることはで
きますが、
ほとんどの環境では最上位レベルのコンタクト情報がすべての例
外に使用されるので、これをカスタマイズすれべ十分です。
S
— 例外を発行するときに使用する HTTP レスポンスコードです。
たとえば、policy_denied 例外はデフォルトで 403 Forbidden HTTP レスポン
スコードを返します。
Identifier
Format
たとえば、
デフォルトの
— 例外の原因を示す簡単な説明です。
policy_denied 例外のサマリーは “Access Denied” です。
HTTP-Code
重要 : Format 以外のフィールドは、 8000 文字未満でなければなりません。
これを超えると表示されません。
上記のフィールドを定義する際には、所定の要求に固有の代入変数を使用するこ
とができます。上記のフィールドのうちいくつかは代入値としても使用できます。
214
S
$(exception.id)
S
$(exception.summary)
S
$(exception.details)
S
$(exception.help)
S
$(exception.contact)
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
さらに、Format、Summary、
Details、
Help および Contact の各フィールドは HTTP に
ついて個別に、またすべてのプロトコルを対象に共通に設定することができます。
代入値として使用することができませ
Format フィールドは例外の本文であり、
ん。ただし、
ほかの代入値を含みます。シンプルな
Format フィールドは通常、
HTML フォーマットの例を示します。
<html>
<title>$(exception.id):$(exception.summary)</title>
<body><pre>
Request:$(method) $(url)
Details:$(exception.details)
Help:$(exception.help)
Contact:$(exception.contact)
</pre></body></html>
このほかに例外に関わる有用な代入値を次に示します。
— 一部の要求については、
ProxySG が例外が発行さ
れた理由をさらに詳しく判定します。この代入値はこのような追加情報を含
みます。
S
$(exception.last_error)
S
— この代入値は ProxySG がトランザクションを終了して、終
了理由を表示するときに、
内部的に判定します。
たとえば、ポリシーの DENY ルールに
一致するトランザクションでは、
その $(exception.reason) は "Either 'deny'
or 'exception' was matched in policy" に設定されます。
$(exception.reason)
例外階層について
前の SGOS リリースのエラーページと異なり、例外のコンテンツ全体を定義され
ている必要はありません。例外は階層モデルに保存され、
親例外は子例外にデ
フォルト値を提供することができます。ほかの例外が派生する 2 つの親例外があ
ります。exception.all と exception.user-defined.all です。
組み込み例外とユーザー定義例外は、それぞれ all 例外からデフォルト値を導き
ます。たとえば、組み込み例外はデフォルトで、format フィールドを定義しませ
ん。逆に all 例外の format フィールドの定義に依存します。
すべての組み込み例
外とユーザー例外のフォーマットテキストを変更するには、all 例外の format
フィールドをカスタマイズします。
user-defined.all 例外はすべてのユーザー定義例外の親ですが、
all 例外の子で
もあります。
特定のフィールドをすべての
exception.user-defined.all の設定は、
ユーザー定義例外には共通にしたいが、組み込み例外については共通にしたくな
いときにだけ必要です。
次の例では、
すべての HTTP 例外の $(exception.contact) 代入値を設定する例外
インラインコマンドを使用しています。
#(config exceptions) inline http contact EOF
For assistance, contact <a
href="mailto:[email protected]">sysadmin</a>EOF
215
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
次に示すのは、各 HTTP 例外に異なる $(exception.contact) 代入値を設定する例
です。
#(config exceptions) user-defined inline http contact EOF
For assistance, contact <a
href="mailto:[email protected]">policyadmin</a>EOF
例外インストール対象リストについて
例外インストール対象リストは Structured Data Language (SDL) 形式を使用しま
す。この形式では、キー/ 値のペアの階層を効果的に表現する方法が提供されま
す。次の例は、カスタマイズ前の SDL ファイルです。
(exception.all
(format "This is an exception:$(exception.details)")
(details "")
(exception.policy_denied
(format "")
(details "your request has been denied by system policy")
)
この SDL ファイルは $(exception.details) 代入値を "Your request has been
denied by system policy" として定義する policy_denied と呼ばれる例外を定義し
ます。
この例外は format フィールドを定義しないので、
おの親例外 (exception.all)
からフォーマットフィールドを継承します。policy_denied 例外が発行されると、
次のようなテキストが表示されます。これは is an exception: your request has
been denied by system policy.
すべての HTTP 例外について、$(exception.contact) 代入値をカスタマイズしす
ると仮定します。exception.all コンポーネントを編集します。
注意 :例のためデフォルトの HTTP フォーマットと組み込み例外の定義を削除し
ています。
(exception.all
(contact "For assistance, contact your network support team.")
(details "")
(format "$(exception.id):$(exception.details)")
(help "")
(summary "")
(http
(code "200")
(contact "")
(details "")
(format <<EOF
<format removed>
EOF
)
(help "")
(summary "")
)
<built-in exceptions removed>
)
216
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
$(exception.contact)
情報を追加するには、http ノードで contact 代入値を変更
します。
(exception.all
(contact "For assistance, contact your network support team.")
(details "")
(format "$(exception.id):$(exception.details)")
(help "")
(summary "")
(http
(code "200")
(contact "For assistance, contact <a
href="mailto:[email protected]">sysadmin</a>")EOF
(details "")
(format <<EOF
<format removed>
EOF
)
(help "")
(summary "")
<built-in exceptions removed>
)
)
例外インストール対象リストを変更する際には、以下の条件を考慮してください。
S
すべての例外インストール対象リストは、exception.all の定義で開始しなけ
ればなりません。.
S
例外インストール対象リストでは、すべての定義は
つまり
exception.all との閉じ括弧、
(exception.all
(exception.policy_denied)
)
S
括弧で囲まれた定義文字列は短くし、できれば 1 行を超えないようにします。
S
Blue Coat は既存の例外インストール対象リストをダウンロードしてから変
更することを強くお勧めします。
217
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
例外の作成または編集
Management Console で CLI またはインストール対象リストを使用して例外を作
成または編集することができます。
注意 :お詫びページ用にユーザー定義例外を作成することはできません。
例外を作成または編集するには、次の手順を実行します。
1. (config) プロンプトで次のコマンドを入力します。
SGOS#(config) exceptions
SGOS#(config exceptions) create definition_name
SGOS#(config exceptions) edit definition_name
SGOS#(config exceptions user-defined.definition_name) http-code
numeric HTTP
response code
SGOS#(config exceptions user-defined.definition_name) inline ?
contact
Set the $(exceptions.contact) substitution
details
Set the $(exceptions.details) substitution
format
Set the format for this exception
help
Set the $(exceptions.help) substitution
http
Configure substitution fields for just HTTP exceptions
summary
Set the $(exception.summary) substitution
SGOS#(config exceptions user-defined.definition_name) inline contact
eof
string eof
SGOS#(config exceptions user-defined.definition_name) inline details
eof
string eof
SGOS#(config exceptions user-defined.definition_name) inline format
eof
string eof
SGOS#(config exceptions user-defined.definition_name) inline help eof
string eof
SGOS#(config exceptions user-defined definition_name) inline summary
eof
string eof
2. ( オプション ) 結果を表示します。
SGOS#(config exceptions user-defined.test) show exceptions userdefined.test
$(exception.id):
test
$(exception.summary):
Connection failed
$(exception.details):
Connection failed with stack error
$(exception.contact):
Tech Support
218
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
ユーザー定義例外を削除するには、次の手順を実行します。
(config)
プロンプトで次のコマンドを入力します。
SGOS#(config) exceptions
SGOS#(config exceptions) delete exception_name
ok
注意 :ポリシーが参照するユーザー定義例外を削除することはできませ
ん。このような例外を削除するには、ポリシーからの例外の参照を削
除しなければなりません。
例外リストの作成とインストール
Management Console では次のような方法で例外を作成およびインストールする
ことができます。
S
既存の例外ファイルをカスタマイズできる ProxySG Text Editorを使用する方法。
S
ProxySG はすでに作成されているファイルをブラウズしてインストールできるので、ローカ
ルシステムにローカルファイルを作成する方法。
S
ProxySG にダウンロードできるように、FTP または HTTP サーバーにすでに
作成されている例外リストを置くリモート URL を使用する方法。
注意 :ProxySG を使用してリストをインストールすると、イベントログにメッ
セージが書き込まれます。
例外ファイルをカスタマイズすると、すでに ProxySG にある例外が更新されま
す。再び更新して上書きされるまで設定は有効ですが、CLI コマンドを使用して修
正または上書きすることができます。
例外定義をインストールするには、次の手順を実行します。
1. [Configuration] > [Policy] > [Exceptions] を選択します。
3
2
2. [Install Exceptions Definitions From] ドロップダウンリストから、例外設定をイ
ンストールするのに使用するメソッドを選択します。
3. [Install] をクリックします。
219
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
•
[Remote URL] からインストールする
設定がある場所の完全修飾 URL ( ファイル名を含む ) を入力します。イン
ストール前にファイルを表示するには、[View] をクリックします。[Install]
をクリックします。
インストレーションのステータスを表示するには、
[OK] をクリックします。
•
[Local File] をブラウズしてインストールするには、
[Browse] をクリックし
て [Local File Browse] ウィンドウを開きます。
ローカルシステムにあるファイルを参照します。
ファイルを開き、[Install]
をクリックします。インストールが完了すると、結果ウィンドウが開きま
す。結果を表示して、ウィンドウを閉じて [Close] をクリックします。
220
第 4 章 : 高度なポリシータスク
セクション E: 例外を定義する
•
ProxySG Text Editor を使用してポリシーファイルをインストールする
インストールするカス
Structured Data Language (SDL) フォーマットで、
タムポリシーを作成します ( 既存の例外ファイルに追加します )。
4. [OK] をクリックします。
例外を表示する
定義した HTML がユーザーにどのように見えるかを含めて、定義した例外を
ProxySG で表示することができます。表示可能な定義した例外コンポーネントを
示します。
S
[Current Exceptions] — すべての例外を現在定義されている状態で表示します。
S
[Default Exceptions Source] — デフォルトの ProxySG 例外を表示します。
S
[Exceptions Configuration] — クリックすると HTML で例外がユーザーにどの
ように見えるかが表示されるリンクがあるページを表示します。
S
[Results of Exception Load] — エラーや対応が必要な警告を含めて、インス
トール対象リストを前回読み込んだときの結果を表示します。
221
SGOS 6.3 Visual Policy Manager リファレンス
セクション E: 例外を定義する
既存の例外を表示するには、次の手順を実行します。
1. [Configuration] > [Policy] > [Exceptions] を選択します。
3
2
表示
2. [View Exceptions ] フィールドの [View File] ドロップダウンリストから、
するページを選択します。
•
[Current Exceptions] — すべての例外を現在定義されている状態で表示し
ます。
•
[Default Exceptions Source] — デフォルトの ProxySG 例外を表示します。
•
[Exceptions Configuration] — クリックすると HTML で例外がユーザーに
どのように見えるかが表示されるリンクがあるページを表示します。
•
[Results of Exception Load] — エラーや対応が必要な警告を含めて、インス
トール対象リストを前回読み込んだときの結果を表示します。
3. [View] をクリックします。現在要求されている情報を示す新しいブラウザが現
れます。
4. [Apply] をクリックします。
222
第 4 章 : 高度なポリシータスク
セクション F: ピアツーピアサービスを管理する
セクション F: ピアツーピアサービスを管理する
この節では、ピアツーピアトラフィックを管理およびブロックするための Blue
Coat のソリューションについて説明します。
ピアツーピア通信について
ピアツーピア (P2P) 技術とサービスを使用すると、ブロードバンド ISP 帯域幅の
60% を消費すると推定されます。ほとんどの P2P サービスはポートにとらわれな
い設計なので、ファイアウォールでブロックするのは極めて困難です。
あるピアは
ファイルを共有しようとするほかの IP アドレスやポートを見つけますが、ピアが
異なれば使用するポートも異なります。さらに、P2P は何らかの規格に基づくもの
ではないので、ネットワーク管理者にとっては管理、また検知することすらほぼ不
可能といえます。
P2P は企業にとっては多少実用的な利用が可能ですが、
P2P のアクティビティを
管理しないのはリスクを伴います。
S
帯域幅の過度の使用はミッションクリティカルなアプリケーションに影響を
及ぼします。
S
ウィルス、
スパイウェアその他の悪意あるコンテンツに暴露されるセキュリ
ティリスクが急激に高まります。
S
著作権で保護されている音楽や映画の違法ダウンロードに関する訴訟の危険
性があります。
P2P の利用と企業側の必要性の両方を評価しなければならず、管理者にとって
P2P の管理は柔軟な対応を迫られる課題です。
Blue Coat のソリューションについて
ProxySG は P2P ファイル共有アプリケーションに関する P2P アクティビティを
認識します。ポリシーを構築すると、P2P アクティビティを制御、
ブロック、ログ記
録し、
P2P トラフィックが使用する帯域幅を制限することができます。
注意 :この機能では、キャッシュ格納や高速化は提供しません。
サポートされるサービス
SGOS のこのバージョンは次のような P2P サービスをサポートします。
S
FastTrack (Kazaa)
S
EDonkey
S
BitTorrent
S
Gnutella
注意 :ProxySG がサポートする最新の P2P サービスのリストとバージョンについては、リリース
ノートを参照してください。
223
SGOS 6.3 Visual Policy Manager リファレンス
セクション F: ピアツーピアサービスを管理する
展開
P2P アクティビティを効果的に管理するには、
ProxySG はアウトバウンドネット
ワークトラフィックをインターセプトするよう展開し、ファイアウォールは
ProxySG が開始したものではないアウトバウンド接続をブロックするように設
定しなければなりません。
メモ :
S
架橋モードで ProxySG
ProxySG は L4 スイッチを通してルーティングされるか、
をルーティングされるアウトバウンド TCP ネットワーク接続をインターセ
プトします。
S
モニタリングする送信先ポートについて、
SOCKS、
TCP　トンネ
ProxySG HTTP、
ルサービスを設定します。
S
ProxySG が開始するアウトバウンド接続のみ許可するファイアウォールルー
ルを作成します。
S
既知の P2P ポートをすべてブロックして、
HTTP を通して送信される P2P ト
ラフィックをストップするポリシーを定義できます。
.
注意 :この機能は UDP トラフィックをインターセプトまたはコントロールす
る追加設定はありません。
ポリシー制御
この節では、
P2P の管理に使用するポリシーのリストを示します。
VPM サポート
次のような VPM コンポーネントが P2P 制御に関係があります。
図 4–2 P2P オブジェクトを含む Web Access Layer ルール
224
S
「P2P Client」
（72 ペー
[Web Access Layer] > [Source column] > [P2P Client object]。
ジ）を参照してください。
S
[Web Access Layer] > [Service column] > [Client Protocols] オブジェクト。
「Client Protocol」
（91 ページ）を参照してください。
第 4 章 : 高度なポリシータスク
セクション F: ピアツーピアサービスを管理する
CPL サポート
CPL トリガ
S
http.connect={yes | no}
S
p2p.client={yes | no | bittorrent | edonkey | fasttrack | gnutella}
CPL プロパティ
S
force_protocol()
S
detect_protocol.protocol(yes | no)
S
detect_protocol.[protocol1, protocol2, ...](yes | no)
S
detect_protocol(all | none)
S
detect_protocol(protocol1, protocol2, ...)
ここでプロトコルは http、
bittorrent、 donkey、fasttrack、または gnutella
です。
デフォルトは detect_protocol(all) です。
サポート CPL
次のプロパティは P2P 向け CPL と連携して使用できます。
S
S
allow, deny, force_deny
access_server(yes | no)
— 値が「no」と判定されると、クライアントは切断
されます。
— 認証されていないクライアントは切断されます。
S
authenticate(realm)
S
socks_gateway(alias_list | no)
S
socks_gateway.fail_open(yes | no)
S
forward(alias_list) | no)
— TCP トンネルが現在サポートしている転送ホ
ストのみサポートします。
S
forward.fail_open(yes | no)
S
reflect_ip(auto | no | client | vip | ip_address)
詳しい CPL 参照は、
『Blue Coat Systems コンテンツポリシー言語リファレンス』
を参照してください。
ポリシーの例
次のポリシー例は、ProxySG が P2P として認識するネットワークトラフィック
を拒否する方法を示します。
<proxy>
p2p.client=yes deny
225
SGOS 6.3 Visual Policy Manager リファレンス
セクション F: ピアツーピアサービスを管理する
P2P 履歴統計情報
ピアツーピア (P2P) アクティビティを制御、ブロック、
ログ記録するポリシーを構
築して、P2P トラフィックが使用する帯域幅を制限することができます (P2P ポリ
シーの構築については、
Visual Policy Manager リファレンスを参照してください
次の節では、
)。
Management Console または CLI のどちらかを使用して P2P 統計
情報を表示する方法を説明します。
注意 :一部の P2P 統計情報 ( 一定時間に送受信された P2P クライアント接続およ
び総バイト数 ) は Management Console を使用しなければ表示できません ( 次の
「P2P クライアント」（228ページ）および「P2P バイト」（229ページ）を参照
してください )。
P2P Data
Management Console の [P2P Data] タブは一度にすべての P2P サービスまたは
1 つのサービスを対象として P2P 統計情報を表示します。
次の表に、Management Console の [P2P Data] タブまたは CLI を通じて提供され
る統計情報を詳しく示します。
表 4–2
226
P2P Data 統計情報
ステータス
説明
Current Tunneled Sessions
現在ネイティブトランスポートを使用する P2P ク
ライアント接続数。
Current HTTP Requests
P2P クライアントからの現在の HTTP 要求数。
Total Tunneled Sessions
前回 ProxySG リブートした後、
ネイティブトランス
ポートを使用した P2P クライアント接続の累積数。
Total HTTP Requests
前回 ProxySG リブートした後、P2P クライアントか
らの HTTP 要求の累積数。
Total Bytes Received
すべての P2P クライアントから受信したバイト数
の合計。
Total Bytes Sent
すべての P2P クライアントに送信されたバイト数
の合計。
第 4 章 : 高度なポリシータスク
セクション F: ピアツーピアサービスを管理する
P2P データ統計情報を表示するには、次の手順を実行します。
1. [Statistics] > [Protocol Details] > [P2P History] > [P2P Data] を選択します。
デフォルトはすべての P2P プロトコルを表示します。
2. (オプション) 特定の P2P プロトコルの統計情報を表示するには、[Protocol] ド
ロップダウンリストから選択します。
227
SGOS 6.3 Visual Policy Manager リファレンス
セクション F: ピアツーピアサービスを管理する
P2P クライアント
[P2P Clients] タブは過去 60 分、24 時間、または 30 日間に受信したクライアント
接続のダイナミックグラフィカル統計情報を表示します。
注意 :P2P クライアント統計情報は、Management Console を通じてのみ使用で
きます。
P2P クライアント統計情報を表示するには、次の手順を実行します。
1. [Statistics] > [Protocol Details] > [P2P History] > [P2P Clients] を選択します。
2. ( オプション ) グラフスケールを別の値に設定するには、[Graph scale should ]
ドロップダウンリストから値を選択します。
228
第 4 章 : 高度なポリシータスク
セクション F: ピアツーピアサービスを管理する
P2P バイト
または 30 日間に P2P クライアントが送受
[P2P Bytes] タブは過去 60 分、24 時間、
信した合計バイト数の代入値を設定するダイナミックグラフィカル統計情報を
表示します。
注意 :P2P バイト統計情報は、Management Console を通じてのみ使用できます。
P2P バイト統計情報を表示するには、次の手順を実行します。
1. [Statistics] > [Protocol Details] > [P2P History] > [P2P Bytes] を選択します。
2. ( オプション ) グラフスケールを別の値に設定するには、[Graph scale should ]
ドロップダウンリストから値を選択します。
Proxy 認証
P2P プロトコルはネイティブプロキシ認証をサポートしませんが、ほとんどの
P2P クライアントは SOCKS v5 および HTTP 1.1 プロキシをサポートします。
P2P
プロキシ認証は、これらのプロトコル ( プロキシ認証をサポートする設定 ) を使用
するクライアントに限りサポートしています。
プロキシ認証については、
『SGOS 管理ガイド』を参照してください。認証された
SOCKS v5 をサポートしていないと疑われる P2P クライアントのリストは、この
リリースを対象とした「リリースノート」を参照してください。
アクセスログ
「SGOS 管理ガイド」
P2P アクティビティをログ記録し、見直すことができます。
を参照してください。
229
SGOS 6.3 Visual Policy Manager リファレンス
セクション G: QoS と各種サービスを管理する
セクション G: QoS と各種サービスを管理する
このセクションでは、
Quality of Service (QoS) 情報を操作するポリシーの作成方
法を説明します。
Blue Coat のソリューションについて
ProxySG はネットワークレイヤトラフィックの制御ポイントとして主流になり
つつある QoS 検出をサポートします。以前はProxySG がクライアントの接続を終
了し、サーバーに対して新しい接続を発行すると、QoS 情報は失われたか、
検出さ
れませんでした。
QoS をサポートすることで、
IP ヘッダの Type of Service (ToS)
フィールドを検査して、該当ビットの QoS を判定するポリシーを作成することが
できます。
次にポリシーは ToS 情報を検査および一致させてアクションを実行す
るか、ルール中の別の基準 ( ユーザーグループなど）で ToS 情報を操作するアク
ションを実行します。
QoS ポリシーは ProxySG がサポートするすべてのプロトコルに適用することが
できます。
DSCP 値について
ポリシーの一致は、ネットワークデバイスが高いまたは低い優先順位でハンドル
するのが必要なトラフィックを識別する際に使用する Differentiated Services
Code Point (DSCP) 値に基づいて判断します。値を識別または一致させると、異な
る DSCP 値を設定するか、既存の DSCP 値を保存またはエコーしてアウトバウ
ンド接続に使用し、
異なるユーザークラスの QoS を制御します ( 以下のセクショ
ンの説明を参照 )。
注意 :ProxySG ポリシーは QoS レベルを要求します。あるレベルの QoS を達成で
きるかどうかは、ネットワーク / ルーターの設定により決まり、要求された
QoS のレベルも許容しなければなりません。
ToS は IP ヘッダの 8 ビットフィールドで、最初の 6 ビットを使用し、最後の 2
ビットはほかの TCP 仕様と制御用に予約済みです。最初の 6 ビットが DSCP 値で
す。ほとんどのネットワークでは、
DSCP 値は標準セットを使用します。次の表に
これらの値のリストを示します。
表 4–3
230
DSCP 値と説明
名前
DCSP 値
説明
Default
000000 (0)
ベストエフォート (Precedence 0)
CS1
001000 (8)
Precedence 1
AF11
001010 (10)
相対的優先転送クラス 1、低ドロップレート
AF12
001100 (12)
相対的優先転送クラス 1、中ドロップレート
第 4 章 : 高度なポリシータスク
セクション G: QoS と各種サービスを管理する
表 4–3
DSCP 値と説明（続き）
AF13
001110 (14)
相対的優先転送クラス 1、高ドロップレート
CS2
010000 (16)
Precedence 2
AF21
010010 (18)
相対的優先転送クラス 2、低ドロップレート
AF22
010100 (20)
相対的優先転送クラス 2、低ドロップレート
AF23
010110 (22)
相対的優先転送クラス 2、低ドロップレート
CS3
011000 (24)
Precedence 3
AF31
011010 (26)
相対的優先転送クラス 3、低ドロップレート
AF32
011100 (28)
相対的優先転送クラス 3、中ドロップレート
AF33
011110 (30)
相対的優先転送クラス 3、高ドロップレート
CS4
100000 (32)
Precedence 4
AF41
100010 (34)
相対的優先転送クラス 4、低ドロップレート
AF42
100100 (36)
相対的優先転送クラス 4、中ドロップレート
AF43
100110 (38)
相対的優先転送クラス 4、高ドロップレート
CS5
101000 (40)
Precedence 5
EF
101110 (46)
完全優先転送 - 低ドロップレート、低待機時間
CS6
110000 (48)
Precedence 6
CS7
111000 (56)
Precedence 7
注意 :ポリシーを作成する前に、ネットワークがこれらの値のままであるか検証
します。このほかの DSCP 値も使用可能です。数値は 0 から 63 までの範囲で指
定できます。ただし、ほとんどのアプリケーションがすでに上記のクラスと関
連付けられており、ポリシーを容易に定義できるので、Blue Coat はこれらの分
類を使用することをお勧めします。
各種クラスの概念的定義を次に示します。
S
Best Effort — これはアプリケーションがサービス品質を指定しない場合のデ
フォルト DSCP 値です。ネットワークは可能ならばこれらのパケットを提供
しますが、
優先順位は特に指定しません。このほかの DSCP 値を使用して、ベ
ストエフォートクラスよりも上または下の優先順位を指定することはできま
すが、
ほとんどの場合は、
ベストエフォートよりも上位の優先順位を指定する
DSCP を使用します。
231
SGOS 6.3 Visual Policy Manager リファレンス
セクション G: QoS と各種サービスを管理する
S
Class Selector — この値は RFC 2474 で定義され、RFC 791 で定義される
[Precedence] フィールドの旧バージョンと互換性があります。Precedence の
値が大きいパケットは、この値が小さいパケットよりも重要性が高いので、リ
ンクが輻輳すると値の小さなパケットは廃棄されます。もっとも一般的な構
成では、Precedence 7 はリンクレイヤとプロトコルキープアライブメッセー
ジ用に予約され、
Precedence 6 はほかの IP ルーティングパケット用に予約さ
れ、ネットワークが正常に機能するためには、
これら両方を通過しなければな
りません。
S
相対的優先転送 — これは RFC 2597 で定義しています。
相対的優先転送 (AF)
では、Precedence クラスによってトラフィックの相対的優先順位と廃棄感受
性の両方を指定することができます。たとえば、
AF31 では CS3 Precedence ク
ラスで低ドロップレートが指定されます。
S
完全優先転送 — これは RFC 2598 で定義しています。
完全優先転送 (EF) は通
常、プレミアムトラフィック、
または仮想リースラインを必要とするトラ
フィック用に予約されます。このトラフィックの優先順位は AF よりも高いの
ですが、
Precedence 6 および 7 のルーティングメッセージほど高くありません。
QoS ポリシータスクについて
このセクションでは、QoS ポリシーで何ができるかを説明し、基本的な例を示し
ます。
着信 QoS をテストする
ポリシーはクライアント要求の着信パケットまたはサーバーレスポンスのテス
トをトリガします。ProxySG が DSCP 値を識別した後で、ルールのほかのポリ
シーがアクションの要否、
アクションの内容を指示します。一般的なシナリオはい
くつかの帯域幅クラスを作成し ([Configure] > [Bandwidth Mgmt] > [BWM Classes])
トランザクションに適用する帯域幅を指示できるようにするものです。
DSCP 値で、
ポリシーの例
3 つの帯域幅管理レベルアクションオブジェクトと関連付けられた 3 つのクラ
イアント接続 DSCP ソースオブジェクト。
図 4–3 QoS をテストして BWM アクションを割り当てる VPM の例
上の VPM の例では、次の CPL が生成されます。
<Proxy>
client.connection.dscp=(ef) limit_bandwidth.client.outbound(High)
232
第 4 章 : 高度なポリシータスク
セクション G: QoS と各種サービスを管理する
client.connection.dscp=(cs3,af31,af32,af33)
limit_bandwidth.client.outbound(Medium)
client.connection.dscp=(cs1) limit_bandwidth.client.outbound(Low)
キャッシュ格納動作
キャッシュに格納したコンテンツでは、QoS を検出できません。
キャッシュヒッ
トの場合、サーバー接続が確立していないと、ポリシーチェックにサーバー接続
DSCP 値を使用できません。
複数の接続
一部のサービスはサーバー接続に複数のクライアントを使用します。
サービスが
複数の接続を使用する場合、インバウンド DSCP 値をテストするトリガが、
( 通常
は ) クライアントが最初にオープンする接続と、
サーバーに対してオープンされ
る対応する接続 ( ある場合 ) であるプライマリ制御接続に適用されます。例を示し
ます。
S
FTP 接続は制御接続とデータ接続で構成されます。
S
IM 接続では、チャット仲間やファイル共有ホストなどほかのホストへの接続
が行われます。
発信 QoS を設定する
DSCP 値を保持、エコーまたは設定するポリシーを作成できます。
DSCP 値を保持する
これはデフォルトの ProxySG ポリシーです。
Preserve プロパティは ProxySG を
枠組みとして使用し、ProxySG に対して、アウトバウンドサーバーに接続する際
にパケット単位で着信クライアント DSCP 値を保持し、
トラフィックをクライア
ントに返送する際にインバウンドサーバー値を保持するように指示します。
値を保持するのは、
複数の接続を含むプロトコルに有用です。たとえば、FTP 接続
はコントロールとデータ接続からなり、独立した接続では DSCP 値が異なる可能
性があります。FTP 接続を保持すると、ProxySG が接続を一方でも変更したり
FTP プロトコル転送を中断するのを防止できます。
QoS レベルを保持するデフォルトポリシーが、
QoS を一切調整することなくトラ
フィックを通過させますが、この動作は、ProxySG がトラフィックをインターセプトした
ポイントで QoS データが失われた SGOS 5.1.3 以前の動作とは異なります。
保持プロパティを
使用すると、
QoS 関連のネットワーク情報をモニタリングできます。
233
SGOS 6.3 Visual Policy Manager リファレンス
セクション G: QoS と各種サービスを管理する
図 4–4 ProxySG がクライアントからサーバーおよびサーバーからクライアントへの DSCP 値
を保持します ( デフォルト )。
ポリシーの例
<proxy>
client.connection.dscp(preserve) server.connection.dscp(preserve)
DSCP 値をエコーする
エコーはアウトバウンド DSCP 値がインバウンド接続と同様に残る点で、保持と
似ています。
相違点は参照ポイントが ProxySG であり、
クライアントから ProxySG
への接続に限定されないことです。ポリシーをエコーするように設定すると、
ProxySG
はクライアントのインバウンド DSCP をクライアントに返送するか、サーバーの
インバウンド DSCP をサーバーに返送します。
エコーが有用な展開はリバースプロキシで、クライアントは自分の要求の DSCP
値を選択すると、
プロキシに送信するパケットにサーバーが DSCP を設定しなく
ても、
同じ DSCP でクライアントに応答をエコーして返信できることです。
次の図にこれら 2 種類の接続方法を示します。青い矢印はポリシーがエコーに設
定されたクライアントが開始する接続を示します。
赤い矢印はやはりポリシーが
エコーに設定されたサーバーが開始する接続を示します。レスポンスの DCSP 値
に関わらず、発信側に返納された ProxySG の QoS は、
送信された値と同じまま変化
しません。
図 4–5 DSCP 値をエコーする
ポリシーの例
<proxy>
user=A client.connection.dscp(echo)
234
第 4 章 : 高度なポリシータスク
セクション G: QoS と各種サービスを管理する
DSCP 値を設定する
QoS ポリシープロパティでは、送信 (ProxySG が参照点 ) DSCP 値を設定できます。
現在、ProxySG ではトランザクションのすべての接続に 1 つの DSCP 値を設定す
ることが可能です ( 唯一の例外が保持プロパティです )。接続のタイプのどれかに
キャッシュヒットが発生して、サーバー接続の要件が否定されると、
デフォルト
値 ([Best Effort]) が割り当てられます。
次の図で、ProxySG はデフォルトの QoS レベルが Best Effort の要求をインター
セプトします。次に ProxySG は QoS レベル CS4 でサーバー要求を開始します。
図 4–6 ProxySG からサーバーへの接続の DSCP 値を設定する
実際のソリューション QoS ポリシーを結合する
ネットワークのさまざまな接続に QoS ポリシーを適用すると、
ネットワークのト
ラフィックフローを制御するに役立ちます。次の例を見てください。
S
ある販売支社は販売部副社長とさまざまな販売担当者で構成されています。
副社長はある程度高いレベルの QoS サーバー接続が必要です。
S
このオフィスは WAN プロキシとして、ProxySG 200-C を展開しています。
S
中核オフィスでは、
ProxySG 810 がデータベースサーバーファームが中心に
設置され、会社間の付帯設備がここに含まれます。
したがって、
ポリシーは ProxySG 200-C に対してクライアントとポリシーとの間
の接続をエコーするように指示するので、WAN で要求したものと同じ QoS レベ
ルを受信します。次に、
ポリシーは VP_Sales が識別された場合を除いて、
ProxySG
200-C に対して、CS2 の QoS レベルでサーバー接続を行うように指示します。副社
長はこの例では CS2 よりも高い QoS として定義される CS4 の QoS レベルが許可
されます。次の図にこの例を示します。
235
SGOS 6.3 Visual Policy Manager リファレンス
セクション G: QoS と各種サービスを管理する
図 4–7 ユーザーレベルに基づいた ProxySG アプライアンスからユーザーへの DSCP 値の設定
ポリシーの例
<proxy>
client.connection.dscp(echo)
user=vp_sales server.connection.dscp(CS4)
server.connection.dscp(cs2)
ADN トンネルの DSCP
ポリシーを通じて、
ADN トンネルを介したアップストリームとダウンストリー
ムのサーバー接続の DSCP 値を管理することができます。これは SGOS 5.1.x. で
は不可能でした。
ポリシーコンポーネント
このセクションでは、既存の VPM および CPL ポリシーコンポーネントのリスト
を示します。
VPM オブジェクト
オブジェクトは次の通りです ( 第 3 章「Visual
（ 29 ページ）のオ
:
Policy Manager」
ブジェクトの説明に相互参照されています )。
236
S
「Client Connection DSCP Trigger」
（73 ページ）— [Web Access]、[DNS Access
layers]Source カラム。
S
「Server Connection DSCP Trigger」
（88 ページ）— [Web Access]、[DNS Access]、
[ Web Content]、
[Forwarding] レイヤ :[Destination] カラム。
S
「Set Server Connection DSCP Value」
（142 ページ）— [Web Access]、[DNS
[ Web Content]、
[Forwarding] レイヤ :[Destination] カラム。
Access]、
S
「Set Client Connection DSCP Value」
（141 ページ） — [Web Access]、
[DNS
Access] レイヤ :[Action] カラム。
S
「Set Server Connection DSCP Value」
（142 ページ）— [Web Access]、[Forwarding]
レイヤ :[Action] カラム。
S
「Set ADN Connection DSCP」
（142 ページ）— [Forwarding] レイヤ :[Action]
カラム。
第 4 章 : 高度なポリシータスク
セクション G: QoS と各種サービスを管理する
VPM の例
次の VPM 画面には、P2P 接続の DSCP 値を [Best Effort] ( 優先順位なし ) に設定す
る Web アクセスルールを設定する方法を示します。
図 4–8 アクションを Best Effort に設定する
CPL コンポーネント
CPL のトリガとプロパティを次に示します。
トリガ
S
client.connection.dscp = 0..63 | af11 | af12 | af13 | af21 | af22 |
af23 | af31 | af32 | af33 | af41 | af42 | af43 | best-effort | cs1 |
cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef
有効なレイヤ：<proxy>, <dns-proxy>, <forward>
S
server.connection.dscp = 0..63 | af11 | af12 | af13 | af21 | af22 |
af23 | af31 | af32 | af33 | af41 | af42 | af43 | best-effort | cs1 |
cs2 | cs3 | cs4 | cs5 | cs6 | cs7 | ef
有効なレイヤ：<proxy>, <dns-proxy>, <cache>
237
SGOS 6.3 Visual Policy Manager リファレンス
セクション G: QoS と各種サービスを管理する
プロパティ
S
adn.connection.dscp(0..63 | af11 | af12 | af13 | af21 | af22 | af23 |
af31 | af32 | af33 | af41 | af42 | af43 | best-effort | cs1 | cs2 | cs3
| cs4 | cs5 | cs6 | cs7 | ef | preserve)
有効なレイヤ：<forward>
S
client.connection.dscp(0..63 | af11 | af12 | af13 | af21 | af22 | af23
| af31 | af32 | af33 | af41 | af42 | af43 | best-effort | cs1 | cs2 |
cs3 | cs4 | cs5 | cs6 | cs7 | ef | echo | preserve)
有効なレイヤ：<proxy>, <dns-proxy>
S
server.connection.dscp(0..63 | af11 | af12 | af13 | af21 | af22 | af23
| af31 | af32 | af33 | af41 | af42 | af43 | best-effort | cs1 | cs2 |
cs3 | cs4 | cs5 | cs6 | cs7 | ef | echo | preserve)
有効なレイヤ：<proxy>, <dns-proxy>, <cache>, <forward>
アクセスログ
次のアクセスログ記録形式は QoS アクティビティに関連するものです。
S
x-cs-connection-dscp: 着信クライアント
DSCP 値です。
S
x-rs-connection-dscp: 着信サーバー
S
x-sc-connection-dscp-decision:The client.connection.dscp ()
DSCP 値です。
property
value, or preserve or echo.
S
x-sr-connection-dscp-decision:The server.connection.dscp ()
value, or preserve or echo.
238
property
第 4 章 : 高度なポリシータスク
セクション H: Management Console で読み取り専用アクセスを提供する
セクション H: Management Console で読み取り専用アクセスを提
供する
このセクションでは、Management Console でユーザーに読み取り専用アクセス
を提供する方法を説明します。Local、
または XML などの
LDAP、IWA、RADIUS、
管理ユーザーとしてロ
BASIC 資格情報をサポートする任意のレルムを使用して、
グインすることができます。
この例では、
オンボックス認証を常に使用できるようにローカルレルムを使用し
ます。外部認証サーバーを使用する場合、認証サーバーへのアクセスに失敗する
と、ユーザーの Management Console へのアクセスが拒否されます。
ローカルレルムを使用して読み取り専用アクセスを提供するには、次のようなタ
スクを実行します。
S
ローカルレルムを作成します。
S
Management Console で読み取り専用アクセスを提供しようとするメンバー
のユーザー名とパスワードを含むリストを作成します。
S
リストをローカルレルムに接続します。
S
リストに記載されているメンバーに読み取り専用アクセスを適用するポリ
シーを作成します。
次の手順を使用して、上に詳しく説明したタスクを完了します。
1. ローカルレルムを作成します。
a. [Configuration] > [Authentication] > [Local] > [Local Realms] タブを選択
します。
新しいレルムを追加します。
この例では、
レルム
b. [New] をクリックして、
に [MC_Access] という名前を付けます。
2. Using the Command Line Interface (CLI) を使用して、読み取り専用アクセス
を必要とするユーザーのリストを作成します。リストには、各ユーザーのユー
ザー名とパスワードが含まれていなければなりません。
この例では Read_Access というリス
a. CLI に設定モードを入力します。
トを作成します。
SGOS#(config)security local-user-list create Read_Access
ユーザー名とパスワードを作成
b. リストを編集して、ユーザーを追加し、
します。この例では、Bob Kent という名前のユーザーを追加します。
SGOS#(config)security local-user-list edit Read_Access
SGOS#(config)user create Bob_Kent
SGOS#(config)user edit Bob_Kent
SGOS#(config)password 12345
239
SGOS 6.3 Visual Policy Manager リファレンス
セクション H: Management Console で読み取り専用アクセスを提供する
3. ユーザーリスト ( 手順 2 で作成 ) をローカルレルム ( 手順 1 で作成 ) に接続し
ます。
a. [Configuration] > [Authentication] > [Local] > [Local Main ] タブで、
[Realm name ] ドロップダウンメニューから [MC_Access ] を選択します。
[ Read_Access] を選択
b. [Local user list] ドロップダウンメニューから、
します。
リストのユーザーに読み取り専用アクセスを適用するポリ
4. VPM を使用して、
シーを作成します。
a. VPM を立ち上げます。
b. [Admin Authentication Layer] を作成します ( または既存のレイヤに新
しいルールを追加します )。
このレイヤが ProxySG の Management
Console にアクセスするユーザーの認証に使用する認証レルムを決定
します。
c. [Action] カラムで [Set] を右クリックして選択します。表示された [Set
[New] をクリックして、[Authenticate] を選択し
Action] ダイアログで、
ます。
[Add Authentication Object] が表示されます。
240
第 4 章 : 高度なポリシータスク
セクション H: Management Console で読み取り専用アクセスを提供する
手順 1 で作成した
d. 表示された [Add Authenticate Object] ダイアログで、
ローカルレルムを選択します。
e. [Admin Access Layer] を作成します。
f.
[Source] カラムで [Set] を右クリックして選択します。表示された [Set
[New] をクリックして、[User] を選択しま
Source Object] ダイアログで、
す。[Add User Object] ダイアログが表示されます。
g. 読み取り専用アクセスを提供するユーザーの名前を入力します。
h. 両方のダイアログの [OK ] をクリックします。
241
SGOS 6.4 Visual Policy Manager リファレンス
i.
[Action] カラムで [Allow Read-only Access] を右クリックして選択します。
5. [Install Policy] をクリックします。
これで Bob Kent は読み取り専用アクセス権のあるユーザーとして、Management
Console にログインできます。
242
第 4 章 : 高度なポリシータスク
セクション I: コンテンツおよびコンテンツタイプフィルタリングの
ポリシーを設定する
コンテンツおよびコンテンツタイプに基づくフィルタリングは、ファイル拡張
子、コンテンツのタイプ、応答ヘッダや表示データタイプなどさまざまな要素を
基準にファイルのダウンロードを許可または拒否するセキュリティ機能です。
このセクションでは、ProxySG アプライアンスでファイルフィルタリングを設定
する際に考慮すべき 4 つの手法を説明します。それぞれの手法にはメリットとデ
メリットがありますが、特定の手法がほかのものより優れているということはあ
りません。
ここでは次の 4 つの手法を説明します。
S
「URL 拡張子に基づいてフィルタリングする」
S
「HTTP コンテンツタイプ応答ヘッダに基づくフィルタリング」
（245 ページ）
S
「表示データタイプに基づくフィルタリング」
（245 ページ）
S
「http.response.data 条件 (CPL) に基づくフィルタリング」
（245 ページ）
上のリストに記載したいくつかの手法を使用したサンプル設定を示します。サン
プル設定の表示方法は、
「サンプル設定」
（245 ページ）を参照してください。
コンテンツとコンテンツタイプを基準としたフィルタリングのもっともよい方
法は、フィルタリング対象とするコンテンツのタイプと、
ホワイトリストとブ
ラックリストのどちらにするかによって決まります。
つまり組織のニーズを効果
的に取り込める信頼性の高いポリシーを設定できるように、手法を組み合わせる
ことを検討するのがよいでしょう。
コンテンツとコンテンツタイプのフィルタリング手法はネットワークの保護レ
ベルを向上することが必要ですが、ICAP サーバーを使用するとさらに信頼性の
高い保護機能が得られます。
ファイル名の拡張子やコンテンツ解析のほか、ブラウザやプラットフォームが本
来行う動作や、
ファイルの扱いが異なる点も組織のポリシーを設定する際には考
慮する必要があります。ただし、ここではブラウザとプラットフォームについては
取り上げません。
Web Access Layer
•
と Web Content Layer の両方からポリシーを定義できます。
クライアント (ブラウザ等) がコン
Web Access Layer で定義したルールは、
テンツにアクセスするときに限り適用されます。
•
上に記載したアクセスに適用さ
Web Content Layer で定義したルールは、
れますが、
ProxySG アプライアンスがキャッシュを更新するため自らコン
テンツにアクセスする際にも適用されます。
243
SGOS 6.4 Visual Policy Manager リファレンス
注意 :A browser that requests data through the ProxySG アプライアンスを通じて
データを要求するブラウザは、<proxy> および <cache> レイヤのガードがこの条
件を許容するように設定されているときは、かならずこれらのレイヤをヒットし
ます。レイヤガードについては、
「SGOS 6.x コンテンツポリシー言語リファレ
ンス、“Chapter 2: コンテンツポリシー言語を管理する」を参照してください。
リストに記載した手法のポリシーを設定するには、[Configuration] > [Policy] >
[Visual Policy Manager] を選択して、ProxySG アプライアンスの Management
Console から VPM を起動します。
URL 拡張子に基づいてフィルタリングする
「.exe」や「 .jpg」
URL 拡張子に基づいたコンテンツのフィルタリングを行うと、
などのファイル名拡張子に基づいてファイルをブロックすることができます。
コンテンツのフィルタリング方法として
URL 拡張子に基づくフィルタリングは、
は一般的ですが信頼性はかなり低く、その程度はフィルタリングしているコンテ
ンツのタイプによって異なります。
ファイル名拡張子に基づくフィルタリングでは、偽陰性が生じ、ProxySG アプラ
イアンスが対象コンテンツをブロックできず、目的とする結果が得られない可能
性があります。これは URL の構文と、返されるコンテンツのタイプとの間に信頼
できない関係が存在するためです。実際のコンテンツタイプと一致しない拡張子
をもつコンテンツは、URL 拡張子だけに基づいたコンテンツフィルタリングを
実行するとブロックされません。たとえば、
「.php 」拡張子がある URL をブロッ
クする場合、
ブロックされていない別の拡張子を与えられた PHP コンテンツはブ
ロックされません。
ファイル名拡張子に基づくフィルタリングでは、偽陽性が生じ、ファイル名拡張
子がブロックされた場合に実際に生ずる結果が得られない可能性があります。た
とえば Windows が実行可能な (.exe) ファイルをブロックする場合を考えます。
単に [ .exe ] ファイル拡張子をブロックすると、
「http://example.com/scripts/
example.exe?a=1&b2」のように URL パスの一部に実行可能ファイルが含まれる URL がブ
ロックされる可能性があります。これらの実行可能ファイルは、
Web
サーバーが要求を
提供する際に使用します。Windows の実行可能ファイルをブロックすると、正当
な URL 実行可能ファイルもブロックしてしまいます。
オリジンサーバーに
URL 拡張子に基づいてフィルタリグする主なメリットは、
コンタクトせずに実行できるという点です。要求 URL 条件を処理または拒否す
るために必要なすべての情報は、
クライアントの要求に含まれます。オリジン
サーバーから取得した応答はキャッシュに格納され、URL のコンテンツに対する
別の要求があったときは、
ProxySG アプライアンスが返すことができます。
244
第 4 章 : 高度なポリシータスク
HTTP コンテンツタイプ応答ヘッダに基づくフィルタリング
HTTP コンテンツタイプ応答ヘッダに基づくフィルタリングは、一般に URL 拡
張子に基づくフィルタリングよりは高い信頼性をもちますが、この手法も信頼性
は高くありません。
たとえば、
ダイナミックに生成されるコンテンツに対して、
Web サイトの開発者
返されたコンテン
が適切なコンテンツタイプヘッダを設定しない場合を考えます。
ツはテキスト形式と表示しているにも関わらず、実際には HTML テキストの可能
性があります。
コンテンツのタイプによっては、同じコンテンツタイプに異なるスペリングや別
の名前を使用したことが原因で、
複数の MIME タイプが同じ意味をもつ可能性が
あります。
URL 拡張子によるフィルタリングが正確であれば、特定の拡張子が一般的に示す
タイプが同じデータが返されます。HTML ヘッダが性格であれば、返されるデー
タは一般にコンテンツタイプ分類に適合すると考えられます。
表示データタイプに基づくフィルタリング
表示データタイプ機能は、Microsoft DOS および Windows 実行可能ファイルに
関連付けられたデータコンテンツを識別します。表示データタイプに基づくフィ
ルタリングは、
データの最初の 256 バイトまで検査してから、
コンテンツが
Windows 実行可能ファイルかキャビネットファイルかを判定します。拒否ポリ
シーで使用した場合、このオブジェクトは実行可能なダウンロードファイルを拒
否し、
スパイウェアのドライブバイインストレーションをブロックすることを目
的とします。
http.response.data 条件 (CPL) に基づくフィルタリング
CPL の http.response.data 条件に基づくフィルタリングは、ファイル形式や正規
表現の専門知識がある上級ユーザー向けです。CPL を使用して、
ブロックしたい
コンテンツタイプの最初の 256 バイトまで一致するサブストリングか正規表現
を定義しなければなりません。
http.response.data
条件は、
「 SGOS 6.x C コンテンツポリシー言語リファレン
ス」で定義します。
サンプル設定
このた
ABC 社では、映像ファイルを識別してブロックするルールを定義します。
めには、映像の種類に対応するファイル拡張子、
HTTP MIME タイプまたは応答
ヘッダをブロックするルールを定義する必要があります。
ProxySG アプライアン
スを使用して、このポリシーを実装します。ポリシーのニーズを定義するために
は、ABC 社は次の内容を定義する必要があります。
S
Web Access Layer
で、
ブロックするファイル拡張子を識別するルールを定義し
ます。
S
Web Access Layer
で、ブロックする HTTP MIME タイプを識別するルールを
定義します。
245
SGOS 6.4 Visual Policy Manager リファレンス
S
上のルールにリストされていない映像 MIME タイプがほかにある場合、Web
で Content-Type 応答ヘッダに一致するルールを追加定義して、
このコンテンツをブロックすることができます。
Access Layer
注意 :表示データタイプに基づいたフィルタリングが可能ですが、
現在映像コ
ンテンツに一致する表示データタイプはサポートしません。
そのため、この機
能はここでは省略しています。
次の手順では、コンテンツタイプフィルタリングを実装するために必要な設定を
中心に説明します。
ポリシー定義のプロセスのように、ウィザードを使用する直観
的な手順については、詳しく説明しません。
このポリシーを設定するには、次の手順を実行します。
1. Visual Policy Manager を起動します。
1a
1b
a. ProxySG アプライアンスの Management Console から、
[Configuration] >
[Policy] > [Visual Policy Manager] を選択します。
[Visual Policy Manager]
ウィンドウが表示されます。
[Visual Policy Manager] ダイアログを開きます。
b. [Launch] をクリックして、
246
第 4 章 : 高度なポリシータスク
2a
2b
2c
2d
2. [Policy] メニューから、[Add Web Access Layer] を選択します。[Web Access
これ
Layer ] タブとデフォルトルールのリストを記載した表が表示されます。
は最初に定義する Web アクセスレイヤポリシーなので、ポリシー名はデフォ
ルトで [Web Access Layer(1)] になりますが、必要に応じて名前を変更するこ
とができます。
注意 :このポリシーは一定のファイルについて、
ネットワークに入るのをブ
ロックするものなので、[Source] 情報は無視してかまいません。
a. 新ルール [Destination] カラムで [Any] を右クリックしてから、[Set] を
クリックします。[Set Destination Object] ダイアログが表示されます。
b. [New] をクリックして、ドロップダウンリストから [File Extensions] を
選択します。[Add File Extension Object] ダイアログが表示されます。こ
れは最初に定義するファイル拡張子オブジェクトなので、オブジェク
ト名はデフォルトで [FileExtension1] になりますが、必要に応じて名前
を変更することができます。
247
SGOS 6.4 Visual Policy Manager リファレンス
これはファイルの
c. フィルタリングするファイル拡張子を検索します。
リストをスクロールするか、[Find] テキストフィールドにファイルタ
イプを入力して行います。目的のファイル拡張子が表にない場合、
[New] をクリックして、新しいファイル拡張子をリストに追加してく
ださい。
d. 「.avi」や「.mpeg」ファイルなどのファイル拡張子を選択してから、
[Add >>] をクリックすると、選択した内容が [File Extensions] カラム
に移動して、フィルタリングするファイルタイプが識別されます。
e. フィルタリングするファイル拡張子を識別してから、
[OK] をクリック
します。ダイアログが閉じて、[Set Destination Object] ダイアログに戻
ります。新しいオブジェクトが表のリストに加わります。
f.
[OK] をクリックします。ダイアログが閉じて、[Web Access Layer(1)] に
戻ります。新しいルールが表のリストに加わります。
g. 新しいルールの [Action] カラムに表示されているアクションを右クリッ
クしてから、
オブジェクトで定義したファイル
[Set] をクリックして、
拡張子が見つかったときに実行するアクションを定義します。
たとえ
ば、コンテンツへのアクセスをブロックするには、
アクションを [Deny]
に設定します。
h. ( オプション ) 新しいルールの [Track] カラムに表示されている追跡メ
ソッドを右クリックしてから、
[Set] を右クリックして、確認した内容
の追跡に使用するメソッドを選択します。
i.
( オプション ) 意味のあるコメントがあれば、
[Comments] フィールドに
追加します。
3a
3c
3b
248
第 4 章 : 高度なポリシータスク
3. [Add Rule] を選択します。
a. [Destination] カラムで [Any] を右クリックしてから、[Set] をクリック
して [Set Destination Object ] ダイアログを開きます。
b. [New] をクリックしてから、
[HTTP MIME Types.] を選択します。
[Add
これは最初に定
HTTP MIME Types Object ] ダイアログが表示されます。
義する HTTP MIME タイプオブジェクトなので、オブジェクト名はデ
フォルトで [HTTPMIMETypes1] になりますが、必要に応じて名前を変
更することができます。
c. リストから video/x-ms-wmv などの HTTP MIME タイプを選択してか
ら、
ダイアログが閉じて、
[OK] をクリックします。
[Set Destination Object ]
ダイアログに戻ります。
新しいオブジェクトが表のリストに加わります。
d. [OK] をクリックします。ダイアログが閉じて、[Web Access Layer(1)] に
戻ります。新しいルールが表のリストに加わります。
e. 新しいルールの [Action] カラムに表示されているアクションを右クリッ
クしてから、
[Set] をクリックして、オブジェクトで定義した HTTP
MIME タイプが見つかったときに実行するアクションを定義します。
たとえば、コンテンツへのアクセスをブロックするには、アクションを
[Deny] に設定します。
f.
( オプション ) 新しいルールの [Track] カラムに表示されているメソッ
ドを右クリックしてから、確認した内容の追跡に使用する別のメソッ
ドを選択します。
g. ( オプション ) 意味のあるコメントがあれば、
[Comments] カラムに追加
します。
4a
4b
4c
4d
注意 :フィルタリングするコンテンツタイプが HTTP MIME タイプオプション
の中にないときは、次の手順を実行します。
249
SGOS 6.4 Visual Policy Manager リファレンス
4. [Add Rule] を選択します。
a. [Destination] カラムで [Any] を右クリックしてから、[Set] をクリック
して [Set Destination Object ] ダイアログを開きます。
b. [New] をクリックしてから、
[Response Header] を選択します。
[Add
これは最初に定
Response Header Object ] ダイアログが表示されます。
義する応答ヘッダオブジェクトなので、オブジェクト名はデフォルト
で [ResponseHeader1] になりますが、必要に応じて名前を変更するこ
とができます。
[All]、[Standard]、または [ Custom] のどのヘッダ名を表示するかを選択す
ることができます。
[Show] を選択すると、[Header Name] ドロップダウン
リストに表示されるオプションのリストをフィルタリングします。
c. [Header Name] ドロップダウンリストから、
[ Content-Type] を選択します。
d. 「video/h264」のようなヘッダ正規表現情報を [Header Regex] フィール
ドに入力します。
e. [OK] をクリックします。ダイアログが閉じて、[Set Destination Object ]
ダイアログに戻ります。
新しいオブジェクトが表のリストに加わります。
注意 :これと同じタイプのルールを追加して、
最初の HTTP MIME タイプ
ルールに表示されないほかのコンテンツタイプもブロックすることがで
きます。
f.
[OK] をクリックします。ダイアログが閉じて、[Web Access Layer(1)] に
戻ります。新しいルールが表のリストに加わります。
g. 新しいルールの [Action] カラムに表示されているアクションを右クリッ
クしてから、[Set] をクリックして、
オブジェクトで定義した応答ヘッ
ダが見つかったときに実行するアクションを定義します。たとえば、コ
ンテンツへのアクセスをブロックするには、アクションを [Deny] に設
定します。
h. ( オプション ) 新しいルールの [Track] カラムに表示されているメソッ
ドを右クリックしてから、確認した内容の追跡に使用する別のメソッ
ドを選択します。
i.
250
( オプション ) 意味のあるコメントがあれば、
[Comments] カラムに追加
します。
第 4 章 : 高度なポリシータスク
5. [Install policy] をクリックします。
参照
S
『SGOS 6.x 管理ガイド』、
「第 20 章 : 悪意あるコンテンツのスキャニングサー
ビス」
S
『SGOS 6.x コンテンツポリシー言語リファレンス』
「第 2 章:コンテンツポリ
、
シー言語を管理する」
S
『SGOS 6.x コンテンツポリシー言語リファレンス』、
「付録 E: 正規表現」
251
SGOS 6.4 Visual Policy Manager リファレンス
252

Download Report