設定

このセクションには、8つのサブセクションがあります。サブセクションには、さまざまな設定がサブジェクトごとに編成されています。 ヘッダーをクリックすると、各サブセクションが折りたたまれます。

一般設定

システム名

システム全体(マルチマシンでもシングルマシンでも)に意味のある名前を定義します。 主に表示用のさまざまな場所で使用されます(アラートでも使用されます)。

音声の有効化

システムレベルでオーディオを有効または無効にします。 オーディオが無効になっている場合、リモートブラウザはどのセッションでも音声をサポートしません。 オーディオが有効になっている場合、オーディオはシステム全体で使用可能です。

直接IPアドレスを許可する

IPアドレスへのナビゲートは通常のユーザーには一般的ではないとみなされるため、IPアドレスはデフォルトでブロックされます。 シールドシステムでの直接IPアドレスの使用を制御します。 IPアドレスが許可されると、それらはデフォルトのアクセスポリシーに従って処理されます(たとえば、デフォルト値がShieldの場合、IPアドレスも同様に保護されます)。

キャッシュの有効化

Webキャッシングを有効または無効にします。 キャッシングを有効にすると、ファイル、画像、Webページなどのコンテンツがプロキシに保存され、パフォーマンスとユーザーエクスペリエンスが向上します。 デフォルトでは有効です。

定期的な正常性チェックを有効にする

定期的なテストを有効または無効にします。 有効にすると、Shieldは定期的に内部テストを実行し、システム内の問題のある領域を特定します。 これらは、インストール前チェックの一部をテストし、バックグラウンドプロセスとして実行されます。 定期テストは定義された頻度に従って実行されます(下記参照)。

定期的な正常性チェックの頻度(分)

バックグラウンドで正常性チェックを実行する頻度を分で定義します。

低速ネットワークのメッセージ間隔(ミリ秒)

ネットワークが遅く、サイトの読み込みに時間がかかると、ユーザーにメッセージが表示されます。 低速ネットワーク のメッセージをユーザーに表示する時間間隔を指定します(単位:ms)。 この間隔に達してサイトがロードされなかった場合は、メッセージが表示されます。 このメッセージが表示されないようにするには、値を0に更新します。

テクニカルプレビュー機能を有効にする

Shieldにはテクニカルモードで定義されているいくつかの機能が含まれています。 これらの機能はShieldのバージョンによって異なる可能性があります。 Adminコンソールでテクニカルプレビュー機能を有効にするには、[Yes]に設定します。

PAC ファイル

PAC ファイルをアップロードする

ShieldにアップロードするPACファイルを選択します。 最後にアップロードされたPACファイルの日時が管理者に表示されます。

PACファイルは、任意のManagementノードで動作するShield Web-Serviceコンポーネントで使用できます。 PACファイルを使用するようにエンドユーザブラウザを設定するには、 自動設定スクリプト フィールドを次のように設定します。http://<ShieldHostname>/default.pac

Upload PAC file

PAC ファイルをダウンロードする

デフォルトのPACファイルをローカルにダウンロードするには Download オプションを選択してください。 特定の環境要件を満たすために必要なPACファイルを変更し、上記の手順を使用して新しいPACファイルをアップロードします。

SSL

管理コンソールの FQDN

完全修飾ドメイン名。 管理コンソールのSSL証明書を作成するために必須です。 このフィールドに値が入力され、情報が保存されると、バックグラウンドで証明書が作成されます。

参考

この証明書は、デフォルトのShield証明書またはカスタムCA証明書(ユーザーがアップロードした場合)に基づいています。

カスタム認証局のパスワード

カスタム証明機関パスワードを設定します。(必要な場合は)

カスタム認証局の公開鍵をアップロード

カスタム認証局の公開鍵をアップロードします。 秘密鍵と共に使用されます。 両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。

カスタム認証局の秘密鍵鍵をアップロード

カスタム認証局の秘密鍵をアップロードします。 公開鍵と共に使用されます。 両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。

信頼できる証明書のアップロード

カスタム信頼できる証明書をアップロードします。 この証明書は、検証され、証明機関証明書に追加されます。

参考

単一証明書と証明書チェーンの両方がサポートされています。

Shield のデフォルト証明書をリストアする

既存の証明書をすべて削除し、Shieldのデフォルト証明書を復元するには、このオプションを選択します。

ログ

リモートブラウザーのログレベル

Browser コンポーネントのログレベルを定義します。

ICAPのログレベル

ICAPコンポーネントのログレベルを定義します。

CDR Dispatcherのログレベル

CDR Dispatcherコンポーネントのログレベルを定義します。

CDR Controllerのログレベル

CDR Controllerコンポーネントのロギングレベルを定義します。

Collector のログレベル

Collectorコンポーネントのログレベルを定義します。

外部SYSLOGホスト

外部の syslog ホスト名を定義して、すべてのログを外部システムに送信します。 空の場合、このオプションは無視されます。 複数のサーバーを定義できます - 複数のIPアドレスをカンマ(」,」)で区切って入力します。 同じデータがすべてのホストに送信されます。

外部SYSLOGポート

外部 syslog ポートを定義します。既定値は514です。デフォルト以外の場合にのみポートを指定する必要があります。

カテゴリ

カテゴリを有効にする

Shieldで使用するカテゴリを有効または無効にします。インテリジェントアイソレーションモードをサポートするためにデフォルトで 有効 です。Noに設定すると、すべてのカテゴリと関連ポリシーが無視され、ポリシーテーブルから削除されます。この場合、ドメインポリシーだけ が有効です。

疑わしいドメインに対するアクション

カテゴリが有効になっている場合、各ドメインは、それが安全か、または安全でないと疑われると見なされているかを確認されます。

疑わしい(安全でない/悪意のある)サイトが見つかった場合、実行可能なアクションは4つあります。

  • ブロック - このサイトへのアクセスは完全に拒否されます。
  • 読み取り専用 - 疑わしいサイトに関する警告メッセージが表示され、読み取り専用モードで開くことができます。
  • 警告 - ユーザーは疑わしいサイトに関する警告メッセージを受け取りますが、(メッセージを確認した後)アクセスは許可されます。
  • 通知 - 疑わしいサイトについてユーザーに通知します。

参考

カテゴリが有効で、**ブロック疑いドメイン**が「はい」に設定され、

疑わしいサイトとして識別されたドメインは、このドメインがブロックされます。これは、このドメインがポリシーテーブルで明示的に定義されている場合にも当てはまります。これは通常の 階層 の例外であり、より安全であるためです。

内部キャッシュ期間 (時間)

カテゴリがキャッシュされ、この定義された期間のシールドに保存します。パフォーマンスを向上させ、ドメインの読み込み時間を短縮するために使用します。

ファイルとサニタイズ

これらの設定は、CDRサービスがEricom Shieldを介してアップロードおよびダウンロードされたファイルをどのように処理するかを制御します。

プレビューファイルのサイズ制限 (MB)

プレビューできる最大ファイルサイズを定義します。

ダウンロードファイルサイズ制限(MB)

ダウンロード可能な最大ファイルサイズを定義します。

アップロードファイルサイズ制限(MB)

アップロード可能な最大ファイルサイズを定義します。

ファイルサニタイズプロバイダ

目的のCDRプロバイダを選択します。 サポートされているプロバイダは、Votiro(デフォルト)とCheck Point SandBlast、およびSasa Gate Scannerです。 選択すると、下のサブセクションが展開され、関連するプロバイダの設定を表示および更新することができます。

Votiro (デフォルト)

プライマリ ファイルサニタイズURL

このCDRソリューションに使用するURLを設定します。https://api.votiro.com/v3は、初期評価期間に提供されるクラウドベースのCDRソリューションです。クラウドベースのCDRソリューションは、評価にのみ使用できます。新しいShieldライセンスが適用されると、クラウドベースのCDRは受信CDRリクエストを受け入れなくなります。こちら で説明するように、Votiroをオンプレミス(Shieldに含まれる)にインストールし、インストール手順の説明に従ってURLを更新します。

セカンダリ ファイルサニタイズURL(オプション)

CDRのセカンダリURLを定義します。 高可用性のためオプションです。 (存在する場合)これをセカンダリCDRサーバに設定します。

Votiro 内部のサニタイズポリシー

このサブセクションには、ShieldのデフォルトのVotiroサニタイズポリシーを定義するすべての設定が含まれています。 これらの設定は以下のとおりです。

Officeファイルのサニタイズ

すべての MS Office ファイルを検査し、脅威をサニタイズするかどうかを設定します。この設定では、パスワードで保護された Office ファイルは参照されません。このような場合は、**パスワードで保護されたOfficeファイルのブロック**の設定を参照してください。

PDFファイルのサニタイズ

すべての PDF ファイルを検査し、脅威をサニタイズするかどうかを設定します。この設定では、パスワードで保護された PDF ファイルは参照されません。このような場合は、 パスワードで保護されたPDFファイルのブロック の設定を参照してください。

イメージファイルのサニタイズ

すべてのイメージファイルを検査し、脅威をサニタイズするかどうかを設定します。

CADファイルのサニタイズ

すべての CAD ファイルを検査し、脅威をサニタイズするかどうかを設定します。

Emailファイルのサニタイズ

Emailファイルとその添付ファイルを抽出してサニタイズするかどうかを設定します。

圧縮ファイルのサニタイズ

圧縮ファイル(zip、7zなど)を抽出、検査、サニタイズするかどうかを設定します。

ウイルススキャン

マルチスキャンアンチウイルスエンジンでファイルを検査してスキャンする場合に設定します。

パスワードで保護されたOfficeファイルのブロック

パスワードで保護されたOfficeファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。

パスワードで保護されたPDFファイルのブロック

パスワードで保護されたPDFファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。

未サポートファイルのブロック

未サポートのファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。

不明ファイルのブロック

不明なファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。

バイナリファイルのブロック

バイナリファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。

スクリプトファイルのブロック

スクリプトファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。

偽装ファイルのブロック

偽装ファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。

OLEオブジェクトのブロック

OLEオブジェクトをブロックするか、サニタイズせずにダウンロードするかを設定します。

参考

パスワードで保護されたファイルは、デフォルトでブロックされています。(ダウンロードは無効です) ただし、パスワードで保護されたファイル(Office&PDF)が許可されている場合、これらのファイルはサニタイズができないため、サニタイズせずにダウンロードされます。

参考

これらのVotiro関連の設定の1つが管理コンソールで更新されている場合は、 PasswordPolicy.xml ( CDR serverの C:\Program Files\Votiro\SDS Web Service\Policy 配下にあります。) を手動で更新する必要があります。

Namedポリシー

Votiro をオンプレミスで使用する場合、Namedポリシーが (Shieldの外側) に定義されていれば、これらのNamedポリシーをShieldにマッピングし、後でサニタイズ処理中に (ポリシーテーブルを介して) 使用するように選択できます。

このサブセクションには、Shield内のNamedポリシーを定義するテーブルが含まれています。このテーブルには2つの初期エントリがあり、1つはShield Internal Sanitization Policy( Shield(Def) )用、もう1つはVotiro Default Named Policy( Votiro(Def) - Votiroオンプレミスで定義 )用です。

Namedポリシーの定義についての詳細は、 こちら を参照してください。

Check Point SandBlast

プライマリ ファイルサニタイズURL

このCDRソリューションに使用するURLを設定します。評価目的で https://CDRServerIPAddress/tecloud/api/v1 を使用します。

セカンダリ ファイルサニタイズURL(オプション)

CDRのセカンダリURLを定義します。 高可用性のためオプションです。 (存在する場合)これをセカンダリCDRサーバに設定します。

アクティベーションキー

このプロバイダには、CDRクラウドベースのソリューションに接続して使用するためのアクティベーションキーが必要です。 このCDRソリューションを使用するには、Check Pointから提供されたキーを入力します。

Sasa Gate Scanner

プライマリ ファイルサニタイズURL

このCDRソリューションに使用するURLを設定します。評価目的で https://CDRServerIPAddress/scanner.svc/v2 を使用します。

セカンダリ ファイルサニタイズURL(オプション)

CDRのセカンダリURLを定義します。 高可用性のためオプションです。 (存在する場合)これをセカンダリCDRサーバに設定します。

アクティベーションキー

このプロバイダーは、CDRクラウドベースのソリューションを接続して使用するためのアクティベーションキーが必要です。このCDRソリューションを使用するには、Sasa から提供されたキーを入力します。

Namedポリシー

Sasa Gate Scanner を使用する場合、NamedポリシーをShieldにマッピングし、後でサニタイズ処理中に (ポリシーテーブルを介して) 使用するポリシーを選択できます。

このサブセクションには、Shield内のNamedポリシーを定義するテーブルが含まれています。このテーブルには、Sasa Gate Scanner の既定のNamedポリシーにマッピングされた既定のポリシーが付属しています。

参考

Sasa Gate Scanner のNamedポリシーは、数値 ID によって識別されます。ShieldでNamedポリシーをマッピングする場合は、プロバイダー名付き Policy を数値 ID にマッピングする必要があります (ポリシー name はできません)。

Namedポリシーの定義についての詳細は、 こちら を参照してください。

DNS

プライマリ内部DNSアドレス

Shieldインフラストラクチャ(AD、認証など)に使用するプライマリ内部DNSサーバーアドレスを定義します。

セカンダリ内部DNSアドレス

Shieldインフラストラクチャ(AD、認証など)に使用するセカンダリ内部DNSサーバーアドレスを定義します。

プライマリ外部DNSアドレス

ブラウザファームで使用されるプライマリの外部DNSサーバーアドレスを定義します。 展開方法によっては内部DNSアドレスと同じである可能性があります。

セカンダリ外部DNSアドレス

ブラウザファームで使用されるセカンダリ外部DNSサーバーアドレスを定義します。 展開方法によっては内部DNSアドレスと同じである可能性があります。

参考

マルチマシンシステムでは、内部DNSアドレスがManagementノード(Shieldインフラストラクチャがある場所)を指し、外部DNSアドレスがBrowserファームノードを指していることを確認します。

プロキシ & インテグレーション

クライアントIPをヘッダーに設定する

元のクライアントIPアドレスをヘッダーに含めるかどうかを定義します。 一部の外部プロキシとドメインはこの情報を必要とします。

XFFをヘッダーに設定する

XFFをヘッダーに含めるかどうかを定義します。 XFF(X-Forward-For)は、元のクライアントIPアドレスを識別する別の方法です。 一部の外部プロキシとドメインはこの情報を必要とします。

ユーザをヘッダに設定する

認証されたユーザー名をヘッダーに含めるかどうかを定義します。 一部の外部プロキシとドメインはこの情報を必要とします。

参考

上記の設定には、セット、フォワード、削除の3つの値があります。 セット - この値を選択すると、特定の入力(クライアントIP / XFF /ユーザー名)がヘッダーに含まれます。 フォワード - ヘッダをそのまま転送します。 削除 - ヘッダに クライアントIP / XFF /ユーザー名が含まれている場合、明示的に削除されます。

参考

google reCAPTCHAなどのセキュリティサービスでは、クライアントIPとXFFがヘッダーに設定されていないと機能しません。

リダイレクトモードを有効にする

Shieldが リダイレクトモード で動作するように有効にします。

リダイレクトモードはシステム展開ごとに関係します。 このモードが有効な場合、リクエストは 組み込み Shieldプロキシを経由せずにゲートウェイからShieldにリダイレクトされます。 このシナリオでは、アクセス制御(ドメイン/カテゴリのホワイトリスト/ブラックリスト)をゲートウェイ経由で推奨します。 これは、Shieldへの冗長なトラフィックを避け、Shieldリソースの消費を減らすためのベストプラクティスです。 そうは言っても、ブロック/シールド として定義されたドメイン/カテゴリは期待通りに実施されます。 white として定義されたドメイン/カテゴリは保護されます(ホワイトポリシーは、Shield経由のリダイレクトモードでは強制できません)。

Shieldセッションを継続する

リダイレクトモード のとき、Shieldセッションのリダイレクトされたリンクも同様に保護するかどうかを定義します。 有効にすると、既存のプロキシ定義に関係なく、Shieldセッションから開かれたすべてのリンクがShieldセッションとして開かれます。

ブラウザファーム経由ですべての接続をルーティングする

すべてのトラフィックがブラウザファームに渡されるかどうかを定義します。有効にすると、すべてのトラフィック (ホワイトリストに登録されたドメインと許可されたアプリケーションを含む) がブラウザファーム経由(Ext-Proxy経由で)で渡されます。無効にすると、ホワイトリストに登録されたドメインはShield-Proxy (AuthProxy) からインターネットに直接移動します。

外部アップストリームプロキシを使用する

外部アップストリームプロキシの使用を有効にします。既定では無効になっています。リモートブラウザで使用されます。外部アップストリームプロキシを使用する場合、この設定を使用して、Shieldがプロキシに接続できるようにします。「はい」に設定すると、次のフィールドを含む External Upstream Proxy Configuration サブセクションが開きます。

上位プロキシのアドレス

このフィールドに、接続するアップストリームプロキシアドレスを入力します。 外部アップストリームプロキシが有効な場合、このフィールドは必須です。

上位プロキシのポート

このフィールドに接続する上位プロキシポートを設定します。 設定されていない場合は、3128のデフォルトポートが使用されます。

上位プロキシのユーザ名

上位プロキシに資格情報が必要な場合は、このフィールドにユーザー名を入力します。 パスワードフィールドも必ず更新してください。

上位プロキシのパスワード

上位プロキシに資格情報が必要な場合は、このフィールドにパスワードを入力します。 ユーザー名フィールドも必ず更新してください。

クライアント証明書認証の利用

上位プロキシが必要とする場合は、クライアント証明書認証の使用を有効にします。 デフォルトでは無効です。 有効になっている場合は、証明書の公開鍵と秘密鍵を必ずアップロードしてください。

クライアント証明書の公開鍵のアップロード

クライアント証明書の公開鍵(.crtファイル)を選択してアップロードします。 秘密鍵もアップロードしてください。

クライアント証明書の秘密鍵のアップロード

クライアント証明書の秘密鍵(.keyファイル)を選択してアップロードします。 公開鍵も必ずアップロードしてください。

定義された機能において上位プロキシをバイパスする

システムで上位プロキシを使用している場合、上位プロキシ経由で接続しようとすると、一部の内部機能が誤動作する可能性があります。 他の場合には、それは単に冗長であり、システムオーバーヘッドを引き起こすかもしれません。 機能はファイルサニタイズ、Eメールアラートとポストアラートです。 これらの機能に対して上位プロキシをバイパスするには、Yesに設定します。Yesに設定すると、Shieldは上位プロキシ経由ではなく、関連するサーバー(ファイルサニタイズサーバー、電子メールなど)に直接接続します。

内部アップストリームプロキシを使用する

内部アップストリームプロキシの使用を有効にします。 既定では無効になっています。Shieldプロキシによって使用されます(ホワイトリストに登録されたドメインなど)。「はい」に設定すると、次のフィールドを含む Internal Upstream Proxy Configuration サブセクションが開きます。

上位プロキシのアドレス

このフィールドに、接続するアップストリームプロキシアドレスを入力します。 内部アップストリームプロキシが有効な場合、このフィールドは必須です。

上位プロキシのポート

このフィールドに接続する上位プロキシポートを設定します。 設定されていない場合は、3128のデフォルトポートが使用されます。

上位プロキシのユーザ名

上位プロキシに資格情報が必要な場合は、このフィールドにユーザー名を入力します。 パスワードフィールドも必ず更新してください。

上位プロキシのパスワード

上位プロキシに資格情報が必要な場合は、このフィールドにパスワードを入力します。 ユーザー名フィールドも必ず更新してください。

コンテンツ分離

リソースを許可する

HTMLページではなくリソースとして識別されたリクエストを、シールド(ホワイトリスト)経由ではなく、開くことができます。 リソース要求をブロックするには、[いいえ]に設定します(この場合、ページにリソースが含まれている場合は表示されません)。

Get リクエストではないものを許可する

HTTP Get以外の要求を許可する(ホワイトリストに登録)。 HTTP Getではない要求をブロックするにはNoに設定します。

FTPを許可する

ファイル転送プロトコル(FTP)として識別された要求を、シールド(ホワイトリスト)経由ではなく開くことを許可します。 FTPをブロックするには いいえに設定します。

潜在的なフィッシング検出を許可する

Shieldに含まれる、潜在的なフィッシング検出メカニズムを有効にします。 許可された場合 - サイトはフィッシング活動について監視されます。 無効にするにはNoに設定します。

潜在的なフィッシング検出アクション

潜在的なフィッシングサイトが見つかった場合、実行可能なアクションは4つあります。

  • ブロック - このサイトへのアクセスは完全に拒否されます。
  • 読み取り専用 - ユーザーはこのサイトの潜在的なリスクについての警告メッセージを受け取り、読み取り専用モードで開くことができます。
  • 警告 - ユーザーはこのサイトの潜在的なリスクについての警告メッセージを受け取りますが、(メッセージを確認した後)アクセスは許可されます。
  • 通知 - このサイトの潜在的なリスクについてユーザーに通知します。

参考

潜在的なフィッシング検知のメカニズムが有効になっていて、ユーザーが潜在的なフィッシングサイトとして識別されたドメインにアクセスすると、このドメインは定義されたアクションに従って処理されます(ブロック/読み取り専用/警告)。 このドメインがポリシーテーブルで明示的に定義されていても、これは当てはまります。 潜在的なフィッシングサイトとしてマークされたすべての接続は、 Matched Reason 列に phishing として接レポートに表示されます。アクション(ブロック/読み取り専用/警告/通知)も含みます。

エンドユーザーオプション

エンドユーザシールドインジケータを許可する

シールドブラウザを使用するときに視覚的インジケータを表示するかどうかを定義します。 Yesに設定すると、デフォルトの文字列( ⭐ )がドメイン名の前にタブ名に表示されます。

このデフォルトの文字列は翻訳文字列( STR_END_USER_INDICATOR )で変更することができます。 詳しくは こちら <../ FAQ / enduser.html> _ をご覧ください。

エンドユーザーにフィードバックの送信を許可する

エンドユーザーが特定のWebサイトに関するフィードバックを送信できるようにします。 Yesに設定した場合 - 右クリックメニューに フィードバックを送信 オプションが表示されます。 関連するすべてのフィードバック設定(チャンネルなど)は アラート セクションで定義されています。

エンドユーザーがシールドを一時停止できるようにする

エンドユーザーがShieldを一時停止できるようにして、ドメインを一時的にホワイトリストに登録します。 「はい」に設定すると、右クリックメニューに Shieldの一時停止とリロード オプションが表示されます。 期間設定に従って有効です(下記参照)。 ユーザーがこのオプションを選択すると、ページがホワイトモードでリロードされます。本番環境では 「いいえ」に設定します。(より安全です。)

Shieldセッション一時停止時間(分)

エンドユーザーが Shieldの一時停止とリロード を選択したときにドメインをホワイトリストに登録する期間(特定のドメインのみ)。

オートフィルの有効化

参考

これは テクニカルプレビュー 機能です。 このサブセクションは、 テクニカルプレビュー機能を有効にする がYesに設定されている場合にのみ表示されます。

Shieldのオートフィル機能を有効または無効にします。 有効にすると、ユーザーはブラウザに資格情報を保存するように求められます。 認証情報が保存されている場合は、今後のログイン時に、認証情報がブラウザによって自動的に入力されます。

ダイナミックノード

ダイナミックノードを有効にする

システム内のダイナミックノードの使用を有効にします。 Yesに設定すると、接続は次のフィールドに記述されているURLを介して行われます。

動的ノード ファームURL

動的ノードWebサーバーのURLを定義します。「動的ノードの有効化」が「はい」に設定されている場合は、設定する必要があります。複数のURLをカンマ(」,」)で区切って定義できます。

リストア

リストアするファイルをアップロード

Shieldシステムの復元に使用するファイルをアップロードします。 注 - 復元プロセスは自動的に開始されないため、手動で開始する必要があります。

ファイルがアップロードされたら、Restore Shield オプションを選択して復元プロセスを開始します。 .. note:: このプロセスは 元に戻せません 。 既存のシステム設定はすべて上書きされ、選択したファイルを使用してシステムが復元されます。

ポップアップが表示されます。続行する前に、アップロードされたファイルが正しいことを確認し、ポップアップを確認する前にこのプロセスを十分に検討してください。