設定¶
このセクションには、8つのサブセクションがあり、サブジェクトに従ってさまざまな設定が編成されています。各サブセクションは、ヘッダーをクリックして折りたたむことができます。利用可能なサブセクションは次のとおりです。
一般設定¶
システム名¶
システム全体(マルチマシンでもシングルマシンでも)に意味のある名前を定義します。 主に表示用のさまざまな場所で使用されます(アラートでも使用されます)。
音声の有効化¶
システムレベルでオーディオを有効または無効にします。 オーディオが無効になっている場合、リモートブラウザはどのセッションでも音声をサポートしません。 オーディオが有効になっている場合、オーディオはシステム全体で使用可能です。
直接IPアドレスを許可する¶
IPアドレスへのナビゲートは通常のユーザーには一般的ではないとみなされるため、IPアドレスはデフォルトでブロックされます。 シールドシステムでの直接IPアドレスの使用を制御します。 IPアドレスが許可されると、それらはデフォルトのアクセスポリシーに従って処理されます(たとえば、デフォルト値がShieldの場合、IPアドレスも同様に保護されます)。
キャッシュの有効化¶
Webキャッシングを有効または無効にします。 キャッシングを有効にすると、ファイル、画像、Webページなどのコンテンツがプロキシに保存され、パフォーマンスとユーザーエクスペリエンスが向上します。 デフォルトでは有効です。
定期的な正常性チェックを有効にする¶
定期的なテストを有効または無効にします。 有効にすると、Shieldは定期的に内部テストを実行し、システム内の問題のある領域を特定します。 これらは、インストール前チェックの一部をテストし、バックグラウンドプロセスとして実行されます。 定期テストは定義された頻度に従って実行されます(下記参照)。
定期的な正常性チェックの頻度(分)¶
バックグラウンドで正常性チェックを実行する頻度を分で定義します。
低速ネットワークのメッセージ間隔(ミリ秒)¶
ネットワークが遅く、サイトの読み込みに時間がかかると、ユーザーにメッセージが表示されます。 低速ネットワーク のメッセージをユーザーに表示する時間間隔を指定します(単位:ms)。 この間隔に達してサイトがロードされなかった場合は、メッセージが表示されます。 このメッセージが表示されないようにするには、値を0に更新します。
テクニカルプレビュー機能を有効にする¶
Shieldにはテクニカルモードで定義されているいくつかの機能が含まれています。これらの機能は、Shieldバージョン間で変更される場合があります。 管理コンソールでテクニカルプレビュー機能を有効にするには、[はい]に設定します。
不審なサイト¶
疑わしいサイトのアクション¶
疑わしい(セキュリティで保護されていない/悪意のある)サイトが見つかったときに、目的のアクションを選択します。使用可能なアクションは次のとおりです。
- ブロック - このサイトへのアクセスは完全に拒否されます。
- 読み取り専用 - ユーザーは疑わしいサイトに関するメッセージを受け取り、読み取り専用モードで開くことができます。
- 警告 - ユーザーは疑わしいサイトに関するメッセージを受信し、確認する必要があります。確認されると、アクセスが許可されます。
- 通知 - 疑わしいサイトについてユーザーに通知します。
- 無視 - 疑わしいサイトを無視し、他のサイトと同様に扱います。
潜在的なフィッシング検出アクション¶
潜在的なフィッシングサイトが見つかったときに、目的のアクションを選択します。使用可能なアクションは次のとおりです。
- ブロック - このサイトへのアクセスは完全に拒否されます。
- 読み取り専用 - ユーザーはこのサイトの潜在的なリスクについての警告メッセージを受け取り、読み取り専用モードで開くことができます。
- 警告 - ユーザーはこのサイトの潜在的なリスクについての警告メッセージを受け取りますが、(メッセージを確認した後)アクセスは許可されます。
- 通知 - このサイトの潜在的なリスクについてユーザーに通知します。
- 無視 - 潜在的なリスクを無視し、他のサイトと同様に扱います。
参考
潜在的なフィッシングメカニズムを有効にして、潜在的なフィッシングと識別されるドメインを閲覧した場合
サイト - このドメインは定義されたアクション(ブロック/読み取り専用/警告)に従って処理されます。これは、このドメインがポリシーテーブルで明示的に定義されている場合でも同様です。フィッシングサイトの可能性があるとマークされたすべての接続は、アクション(ブロック/読み取り専用/警告/通知)を含めて、Session History レポートの Matched Reason カラムにフィッシング参照と共に表示されます。
SSL¶
管理コンソールの FQDN¶
完全修飾ドメイン名。 管理コンソールのSSL証明書を作成するために必須です。 このフィールドに値が入力され、情報が保存されると、バックグラウンドで証明書が作成されます。
参考
この証明書は、デフォルトのShield証明書またはカスタムCA証明書(ユーザーがアップロードした場合)に基づいています。
カスタム認証局のパスワード¶
カスタム証明機関パスワードを設定します。(必要な場合は)
カスタム認証局の公開鍵をアップロード¶
カスタム認証局の公開鍵をアップロードします。 秘密鍵と共に使用されます。 両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。
カスタム認証局の秘密鍵鍵をアップロード¶
カスタム認証局の秘密鍵をアップロードします。 公開鍵と共に使用されます。 両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。
信頼できる証明書のアップロード¶
カスタム信頼できる証明書をアップロードします。 この証明書は、検証され、証明機関証明書に追加されます。
参考
単一証明書と証明書チェーンの両方がサポートされています。
Shield のデフォルト証明書をリストアする¶
既存の証明書をすべて削除し、Shieldのデフォルト証明書を復元するには、このオプションを選択します。
ログ¶
リモートブラウザーのログレベル¶
Browser コンポーネントのログレベルを定義します。
ICAPのログレベル¶
ICAPコンポーネントのログレベルを定義します。
CDR Dispatcherのログレベル¶
CDR Dispatcherコンポーネントのログレベルを定義します。
CDR Controllerのログレベル¶
CDR Controllerコンポーネントのロギングレベルを定義します。
File Preview のログレベル¶
File Preview コンポーネントのログレベルを定義します。
Collector のログレベル¶
Collectorコンポーネントのログレベルを定義します。
Dynamic Nodes Farm Scaler のログレベル¶
Dynamic Nodes Farm Scalerコンポーネントのログレベルを定義します。
外部SYSLOGホスト¶
外部の syslog ホスト名を定義して、すべてのログを外部システムに送信します。 空の場合、このオプションは無視されます。 複数のサーバーを定義できます - 複数のIPアドレスをカンマ(",")で区切って入力します。 同じデータがすべてのホストに送信されます。
外部SYSLOGポート¶
外部 syslog ポートを定義します。既定値は514です。デフォルト以外の場合にのみポートを指定する必要があります。
カテゴリ¶
参考
このサブセクションは、関連するライセンスが存在する場合にのみ表示されます。
カテゴリを有効にする¶
Shieldで使用するカテゴリを有効または無効にします。 [いいえ]に設定すると、すべてのカテゴリと関連するポリシーが無視され、ポリシーテーブルから削除されます。この場合、ドメインポリシーのみ がアクティブになります。
内部キャッシュ期間 (時間)¶
カテゴリがキャッシュされ、この定義された期間のシールドに保存します。パフォーマンスを向上させ、ドメインの読み込み時間を短縮するために使用します。
ファイルとサニタイズ¶
これらの設定は、CDRサービスがEricom Shieldを介してアップロードおよびダウンロードされたファイルをどのように処理するかを制御します。
プレビューファイルのサイズ制限 (MB)¶
プレビューできる最大ファイルサイズを定義します。
ダウンロードファイルサイズ制限(MB)¶
ダウンロード可能な最大ファイルサイズを定義します。
アップロードファイルサイズ制限(MB)¶
アップロード可能な最大ファイルサイズを定義します。
ファイルサニタイズプロバイダ¶
目的のCDRプロバイダを選択します。 サポートされているプロバイダは、Votiro(デフォルト)とCheck Point SandBlast、およびSasa Gate Scannerです。 選択すると、下のサブセクションが展開され、関連するプロバイダの設定を表示および更新することができます。
可能なオプションは次のとおりです。
Votiro (デフォルト)¶
ファイルサニタイズURL¶
このCDRソリューションで使用するURLを設定します。Shield には、評価目的のみに提供されるクラウドベースの CDR ソリューションが付属しています。本番用のShieldライセンスが適用されると、クラウドベースのCDRは着信CDRリクエストを受け付けなくなります。こちら に記載されているように、CDR ソリューションをオンプレミス(Shield に付属)にインストールし、インストール手順に記載されているように URL を更新します。
複数の URL がサポートされています。これは、高可用性を目的としてオプションです。URL をコンマ (",") で区切って入力します。
各サニタイズサーバーのバージョンは、設定タイトルに表示されます。
Votiro 内部のサニタイズポリシー¶
このサブセクションには、ShieldのデフォルトのVotiroサニタイズポリシーを定義するすべての設定が含まれています。 これらの設定は以下のとおりです。
Officeファイルのサニタイズ¶
すべての MS Office ファイルを検査し、脅威をサニタイズするかどうかを設定します。この設定では、パスワードで保護された Office ファイルは参照されません。このような場合は、**パスワードで保護されたOfficeファイルのブロック**の設定を参照してください。
PDFファイルのサニタイズ¶
すべての PDF ファイルを検査し、脅威をサニタイズするかどうかを設定します。この設定では、パスワードで保護された PDF ファイルは参照されません。このような場合は、 パスワードで保護されたPDFファイルのブロック の設定を参照してください。
イメージファイルのサニタイズ¶
すべてのイメージファイルを検査し、脅威をサニタイズするかどうかを設定します。
CADファイルのサニタイズ¶
すべての CAD ファイルを検査し、脅威をサニタイズするかどうかを設定します。
Emailファイルのサニタイズ¶
Emailファイルとその添付ファイルを抽出してサニタイズするかどうかを設定します。
圧縮ファイルのサニタイズ¶
圧縮ファイル(zip、7zなど)を抽出、検査、サニタイズするかどうかを設定します。
ウイルススキャン¶
マルチスキャンアンチウイルスエンジンでファイルを検査してスキャンする場合に設定します。
パスワードで保護されたOfficeファイルのブロック¶
パスワードで保護されたOfficeファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
パスワードで保護されたPDFファイルのブロック¶
パスワードで保護されたPDFファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
未サポートファイルのブロック¶
未サポートのファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
不明ファイルのブロック¶
不明なファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
バイナリファイルのブロック¶
バイナリファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
スクリプトファイルのブロック¶
スクリプトファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
偽装ファイルのブロック¶
偽装ファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
OLEオブジェクトのブロック¶
OLEオブジェクトをブロックするか、サニタイズせずにダウンロードするかを設定します。
参考
パスワードで保護されたファイルは、デフォルトでブロックされています。(ダウンロードは無効です) ただし、パスワードで保護されたファイル(Office&PDF)が許可されている場合、これらのファイルはサニタイズができないため、サニタイズせずにダウンロードされます。
参考
これらのVotiro関連の設定のいずれかが管理コンソールで更新された場合、PasswordPolicy.xml``(CDR serverの ``C:\\Program Files\\Votiro\\SDS Web Service\\Policy 配下にあります)を手動で更新する必要があります。たとえば、偽のファイルを許可する場合は、PasswordPolicy.xmlを次のように変更する必要があります:偽のファイルルールを検索してコメントを付けます - このルールに関連する各行にhtmlコメント <!– … –> を使用します。
Namedポリシー¶
Votiro をオンプレミスで使用する場合、Namedポリシーが (Shieldの外側) に定義されていれば、これらのNamedポリシーをShieldにマッピングし、後でサニタイズ処理中に (ポリシーテーブルを介して) 使用するように選択できます。
このサブセクションには、Shield内のNamedポリシーを定義するテーブルが含まれています。このテーブルには2つの初期エントリがあり、1つはShield Internal Sanitization Policy( Shield(Def) )用、もう1つはVotiro Default Named Policy( Votiro(Def) - Votiroオンプレミスで定義 )用です。
Namedポリシーの定義についての詳細は、 こちら を参照してください。
Sasa Gate Scanner¶
ファイルサニタイズURL¶
このCDRソリューションで使用するURLを設定します。カンマ(",")で区切って複数のURLを定義することができます。これはオプションで、高可用性を目的としています。
プロダクションでは、URL を https://CDRServerIPAddress/scanner.svc/v2 を指すように更新します。
アクティベーションキー¶
このプロバイダーは、CDRクラウドベースのソリューションを接続して使用するためのアクティベーションキーが必要です。このCDRソリューションを使用するには、Sasa から提供されたキーを入力します。
Namedポリシー¶
Sasa Gate Scanner を使用する場合、名前付きポリシーをShieldにマッピングし、後でサニタイズ処理中に (ポリシーテーブルを介して) 使用するポリシーを選択できます。
このサブセクションには、Shield内の名前付きポリシーを定義するテーブルが含まれています。このテーブルには、Sasa Gate Scanner の既定の名前付きポリシーにマッピングされた既定のポリシーが付属しています。
参考
Sasa Gate Scanner の名前付きポリシーは、数値ID によって識別されます。Shieldで名前付きポリシーをマッピングする場合は、Provider Named Policy を数値ID にマッピングする必要があります (ポリシー 名 はできません)。
Namedポリシーの定義についての詳細は、 こちら を参照してください。
Opswat MetaDefender¶
ファイルサニタイズURL¶
このCDRソリューションで使用するURLを設定します。カンマ(",")で区切って複数のURLを定義することができます。これはオプションで、高可用性を目的としています。
プロダクションでは、URL を https://CDRServerIPAddress:8008 を指すように更新します。
アクティベーションキー¶
これは**オプション**フィールドで、そのようなキーが存在する場合に、API キーを含める必要があります。
Namedポリシー¶
Opswat MetaDefender を使用している場合、名前付きポリシーをShieldにマッピングし、後でサニタイズ処理中に(ポリシーテーブルを介して)使用するポリシーを選択することができます。
このサブセクションには、Shield内の名前付きポリシーを定義するテーブルが含まれています。このテーブルには、Opswat MetaDefender の既定の名前付きポリシーにマッピングされた既定のポリシーが付属しています。
Namedポリシーの定義についての詳細は、 こちら を参照してください。
Check Point SandBlast¶
ファイルサニタイズURL¶
このCDRソリューションで使用するURLを設定します。カンマ(",")で区切って複数のURLを定義することができます。これはオプションで、高可用性を目的としています。
プロダクションでは、URL を https://CDRServerIPAddress/tecloud/api/v1 を指すように更新します。
アクティベーションキー¶
このプロバイダには、CDRクラウドベースのソリューションに接続して使用するためのアクティベーションキーが必要です。 このCDRソリューションを使用するには、Check Pointから提供されたキーを入力します。
DNS¶
プライマリ内部DNSアドレス¶
Shieldインフラストラクチャ(AD、認証など)に使用するプライマリ内部DNSサーバーアドレスを定義します。
セカンダリ内部DNSアドレス¶
Shieldインフラストラクチャ(AD、認証など)に使用するセカンダリ内部DNSサーバーアドレスを定義します。
プライマリ外部DNSアドレス¶
ブラウザファームで使用されるプライマリの外部DNSサーバーアドレスを定義します。 展開方法によっては内部DNSアドレスと同じである可能性があります。
セカンダリ外部DNSアドレス¶
ブラウザファームで使用されるセカンダリ外部DNSサーバーアドレスを定義します。 展開方法によっては内部DNSアドレスと同じである可能性があります。
参考
マルチマシンシステムでは、内部DNSアドレスがManagementノード(Shieldインフラストラクチャがある場所)を指し、外部DNSアドレスがBrowserファームノードを指していることを確認します。
プロキシ & インテグレーション¶
クライアントIPをヘッダーに設定する¶
元のクライアントIPアドレスをヘッダーに含めるかどうかを定義します。 一部の外部プロキシとドメインはこの情報を必要とします。
XFFをヘッダーに設定する¶
XFFをヘッダーに含めるかどうかを定義します。 XFF(X-Forward-For)は、元のクライアントIPアドレスを識別する別の方法です。 一部の外部プロキシとドメインはこの情報を必要とします。
ユーザをヘッダに設定する¶
認証されたユーザー名をヘッダーに含めるかどうかを定義します。 一部の外部プロキシとドメインはこの情報を必要とします。
参考
上記の設定には、セット、フォワード、削除の3つの値があります。 セット - この値を選択すると、特定の入力(クライアントIP / XFF /ユーザー名)がヘッダーに含まれます。 フォワード - ヘッダをそのまま転送します。 削除 - ヘッダに クライアントIP / XFF /ユーザー名が含まれている場合、明示的に削除されます。
参考
google reCAPTCHAなどのセキュリティサービスでは、クライアントIPとXFFがヘッダーに設定されていないと機能しません。
ヘッダーにユーザーグループを設定する。¶
認証されたユーザーグループをヘッダーに含めるかどうかを定義します。一部のアップストリームプロキシおよびドメインはこの情報を必要とします。
ヘッダーにプロキシ認証を設定する¶
プロキシの認証情報(認証タイプ、エンコードされたユーザ名とパスワード)を ヘッダで転送するかどうかを定義します。アップストリームのプロキシやドメインによっては、この情報を必要とするものもあります。
リダイレクトモードを有効にする¶
Shieldが リダイレクトモード で動作するように有効にします。
リダイレクトモードはシステム展開ごとに関係します。 このモードが有効な場合、リクエストは 組み込み Shieldプロキシを経由せずにゲートウェイからShieldにリダイレクトされます。 このシナリオでは、アクセス制御(ドメイン/カテゴリのホワイトリスト/ブラックリスト)をゲートウェイ経由で推奨します。 これは、Shieldへの冗長なトラフィックを避け、Shieldリソースの消費を減らすためのベストプラクティスです。 そうは言っても、ブロック/シールド として定義されたドメイン/カテゴリは期待通りに実施されます。 white として定義されたドメイン/カテゴリは保護されます(ホワイトポリシーは、Shield経由のリダイレクトモードでは強制できません)。
Shieldセッションを継続する¶
リダイレクトモード のとき、Shieldセッションのリダイレクトされたリンクも同様に保護するかどうかを定義します。 有効にすると、既存のプロキシ定義に関係なく、Shieldセッションから開かれたすべてのリンクがShieldセッションとして開かれます。
外部アップストリームプロキシを使用する¶
外部アップストリームプロキシの使用を有効にします。既定では無効になっています。リモートブラウザで使用されます。外部アップストリームプロキシを使用する場合、この設定を使用して、Shieldがプロキシに接続できるようにします。はい に設定すると、次のフィールドを含む External Upstream Proxy Configuration サブセクションが開きます。
外部アップストリームプロキシの構成¶
上位プロキシのアドレス¶
このフィールドに、接続するアップストリームプロキシアドレスを入力します。 外部アップストリームプロキシが有効な場合、このフィールドは必須です。
上位プロキシのポート¶
このフィールドに接続する上位プロキシポートを設定します。 設定されていない場合は、3128のデフォルトポートが使用されます。
上位プロキシのユーザ名¶
上位プロキシに資格情報が必要な場合は、このフィールドにユーザー名を入力します。 パスワードフィールドも必ず更新してください。
上位プロキシのパスワード¶
上位プロキシに資格情報が必要な場合は、このフィールドにパスワードを入力します。 ユーザー名フィールドも必ず更新してください。
クライアント証明書認証の利用¶
上位プロキシが必要とする場合は、クライアント証明書認証の使用を有効にします。 デフォルトでは無効です。 有効になっている場合は、証明書の公開鍵と秘密鍵を必ずアップロードしてください。
クライアント証明書の公開鍵のアップロード¶
クライアント証明書の公開鍵(.crtファイル)を選択してアップロードします。 秘密鍵もアップロードしてください。
クライアント証明書の秘密鍵のアップロード¶
クライアント証明書の秘密鍵(.keyファイル)を選択してアップロードします。 公開鍵も必ずアップロードしてください。
定義された機能において上位プロキシをバイパスする¶
システムで上位プロキシを使用している場合、上位プロキシ経由で接続しようとすると、一部の内部機能が誤動作する可能性があります。 他の場合には、それは単に冗長であり、システムオーバーヘッドを引き起こすかもしれません。 機能はファイルサニタイズ、Eメールアラートとポストアラートです。 これらの機能に対して上位プロキシをバイパスするには、Yesに設定します。Yesに設定すると、Shieldは上位プロキシ経由ではなく、関連するサーバー(ファイルサニタイズサーバー、電子メールなど)に直接接続します。
内部アップストリームプロキシを使用する¶
内部アップストリームプロキシの使用を有効にします。 既定では無効になっています。Shieldプロキシによって使用されます(ホワイトリストに登録されたドメインなど)。はい に設定すると、次のフィールドを含む Internal Upstream Proxy Configuration サブセクションが開きます。
内部アップストリームプロキシの構成¶
上位プロキシのアドレス¶
このフィールドに、接続するアップストリームプロキシアドレスを入力します。 内部アップストリームプロキシが有効な場合、このフィールドは必須です。
上位プロキシのポート¶
このフィールドに接続する上位プロキシポートを設定します。 設定されていない場合は、3128のデフォルトポートが使用されます。
上位プロキシのユーザ名¶
上位プロキシに資格情報が必要な場合は、このフィールドにユーザー名を入力します。 パスワードフィールドも必ず更新してください。
上位プロキシのパスワード¶
上位プロキシに資格情報が必要な場合は、このフィールドにパスワードを入力します。 ユーザー名フィールドも必ず更新してください。
コンテンツ分離¶
リソースを許可する¶
HTMLページではなくリソースとして識別されたリクエストを、Shield(ホワイトリスト)経由ではなく、開くことができます。 リソース要求をブロックするには、[いいえ]に設定します(この場合、ページにリソースが含まれている場合は表示されません)。
Get リクエストではないものを許可する¶
HTTP Get以外の要求を許可する(ホワイトリストに登録)。 HTTP Getではない要求をブロックするにはNoに設定します。
FTPを許可する¶
ファイル転送プロトコル(FTP)として識別された要求を、シールド(ホワイトリスト)経由ではなく開くことを許可します。 FTPをブロックするには いいえに設定します。
エンドユーザーオプション¶
エンドユーザシールドインジケータを許可する¶
Shieldブラウザの使用時に視覚的なインジケータを表示するかどうかを定義します。 [はい]に設定すると、ドメイン名の前にデフォルトの文字列/アイコンがタブ名に表示されます。 Crystal Renderingでは [CR] であり、他のレンダリングモードでは⭐です。
このデフォルトの文字列は翻訳文字列( STR_END_USER_INDICATOR )で変更することができます。 詳しくは こちら <../ FAQ / enduser.html> _ をご覧ください。
エンドユーザーにフィードバックの送信を許可する¶
エンドユーザーが特定のWebサイトに関するフィードバックを送信できるようにします。 Yesに設定した場合 - 右クリックメニューに フィードバックを送信 オプションが表示されます。 関連するすべてのフィードバック設定(チャンネルなど)は アラート セクションで定義されています。
エンドユーザーがシールドを一時停止できるようにする¶
エンドユーザーがShieldを一時停止できるようにして、ドメインを一時的にホワイトリストに登録します。 「はい」に設定すると、右クリックメニューに Shieldの一時停止とリロード オプションが表示されます。 期間設定に従って有効です(下記参照)。 ユーザーがこのオプションを選択すると、ページがホワイトモードでリロードされます。本番環境では 「いいえ」に設定します。(より安全です。)
Shieldセッション一時停止時間(分)¶
エンドユーザーが Shieldの一時停止とリロード を選択したときにドメインをホワイトリストに登録する期間(特定のドメインのみ)。
オートフィルの有効化¶
参考
これは テクニカルプレビュー 機能です。 このサブセクションは、 テクニカルプレビュー機能を有効にする がYesに設定されている場合にのみ表示されます。
Shieldのオートフィル機能を有効または無効にします。 有効にすると、ユーザーはブラウザに資格情報を保存するように求められます。 認証情報が保存されている場合は、今後のログイン時に、認証情報がブラウザによって自動的に入力されます。