設定¶
このセクションには、8つのサブセクションがあります。サブセクションには、さまざまな設定がサブジェクトごとに編成されています。 ヘッダーをクリックすると、各サブセクションが折りたたまれます。
一般設定¶
システム名¶
システム全体(マルチマシンでもシングルマシンでも)に意味のある名前を定義します。 主に表示用のさまざまな場所で使用されます(アラートでも使用されます)。
音声の有効化¶
システムレベルでオーディオを有効または無効にします。 オーディオが無効になっている場合、リモートブラウザはどのセッションでも音声をサポートしません。 オーディオが有効になっている場合、オーディオはシステム全体で使用可能です。
直接IPアドレスを許可する¶
IPアドレスへのナビゲートは通常のユーザーには一般的ではないとみなされるため、IPアドレスはデフォルトでブロックされます。 シールドシステムでの直接IPアドレスの使用を制御します。 IPアドレスが許可されると、それらはデフォルトのアクセスポリシーに従って処理されます(たとえば、デフォルト値がShieldの場合、IPアドレスも同様に保護されます)。
キャッシュの有効化¶
Webキャッシングを有効または無効にします。 キャッシングを有効にすると、ファイル、画像、Webページなどのコンテンツがプロキシに保存され、パフォーマンスとユーザーエクスペリエンスが向上します。 デフォルトでは有効です。
定期的な正常性チェックを有効にする¶
定期的なテストを有効または無効にします。 有効にすると、Shieldは定期的に内部テストを実行し、システム内の問題のある領域を特定します。 これらは、インストール前チェックの一部をテストし、バックグラウンドプロセスとして実行されます。 定期テストは定義された頻度に従って実行されます(下記参照)。
定期的な正常性チェックの頻度(分)¶
バックグラウンドで正常性チェックを実行する頻度を分で定義します。
低速ネットワークのメッセージ間隔(ミリ秒)¶
ネットワークが遅く、サイトの読み込みに時間がかかると、ユーザーにメッセージが表示されます。 低速ネットワーク のメッセージをユーザーに表示する時間間隔を指定します(単位:ms)。 この間隔に達してサイトがロードされなかった場合は、メッセージが表示されます。 このメッセージが表示されないようにするには、値を0に更新します。
テクニカルプレビュー機能を有効にする¶
Shieldにはテクニカルモードで定義されているいくつかの機能が含まれています。 これらの機能はShieldのバージョンによって異なる可能性があります。 Adminコンソールでテクニカルプレビュー機能を有効にするには、[Yes]に設定します。
PAC ファイル¶
PAC ファイルをアップロードする¶
ShieldにアップロードするPACファイルを選択します。 最後にアップロードされたPACファイルの日時が管理者に表示されます。
PACファイルは、任意のManagementノードで動作するShield Web-Serviceコンポーネントで使用できます。 PACファイルを使用するようにエンドユーザブラウザを設定するには、 自動設定スクリプト フィールドを次のように設定します。http://<ProxyHostname>/default.pac
PAC ファイルをダウンロードする¶
デフォルトのPACファイルをローカルにダウンロードするには Download オプションを選択してください。 特定の環境要件を満たすために必要なPACファイルを変更し、上記の手順を使用して新しいPACファイルをアップロードします。
SSL¶
管理コンソールの FQDN¶
完全修飾ドメイン名。 管理コンソールのSSL証明書を作成するために必須です。 このフィールドに値が入力され、情報が保存されると、バックグラウンドで証明書が作成されます。
参考
この証明書は、デフォルトのShield証明書またはカスタムCA証明書(ユーザーがアップロードした場合)に基づいています。
カスタム認証局のパスワード¶
カスタム証明機関パスワードを設定します。(必要な場合は)
カスタム認証局の公開鍵をアップロード¶
カスタム認証局の公開鍵をアップロードします。 秘密鍵と共に使用されます。 両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。
カスタム認証局の秘密鍵鍵をアップロード¶
カスタム認証局の秘密鍵をアップロードします。 公開鍵と共に使用されます。 両方のキーは、システム内のすべてのSSL証明書に署名するために使用されます。
信頼できる証明書のアップロード¶
カスタム信頼できる証明書をアップロードします。 この証明書は、検証され、証明機関証明書に追加されます。
参考
単一証明書と証明書チェーンの両方がサポートされています。
Shield のデフォルト証明書をリストアする¶
既存の証明書をすべて削除し、Shieldのデフォルト証明書を復元するには、このオプションを選択します。
ログ¶
リモートブラウザーのログレベル¶
Browser コンポーネントのログレベルを定義します。
ブローカーのログレベル¶
Brokerコンポーネントのログレベルを定義します。
ICAPのログレベル¶
ICAPコンポーネントのログレベルを定義します。
CDR Dispatcherのログレベル¶
CDR Dispatcherコンポーネントのログレベルを定義します。
CDR Controllerのログレベル¶
CDR Controllerコンポーネントのロギングレベルを定義します。
Collector のログレベル¶
Collectorコンポーネントのログレベルを定義します。
外部SYSLOGホスト¶
外部の syslog ホスト名を定義して、すべてのログを外部システムに送信します。 空の場合、このオプションは無視されます。 複数のサーバーを定義できます - 複数のIPアドレスをカンマ(」,」)で区切って入力します。 同じデータがすべてのホストに送信されます。
外部SYSLOGポート¶
外部 syslog ポートを定義します。既定値は514です。デフォルト以外の場合にのみポートを指定する必要があります。
カテゴリ¶
カテゴリを有効にする¶
Shieldで使用するカテゴリを有効または無効にします。 インテリジェントアイソレーションモードをサポートするためにデフォルトで 有効 です。 Noに設定すると、すべてのカテゴリと関連ポリシーが無視されます。 ドメインポリシーだけ が有効です。
疑わしいドメインに対するアクション¶
カテゴリが有効になっている場合、各ドメインは、それが安全か、または安全でないと疑われると見なされているかを確認されます。
疑わしい(安全でない/悪意のある)サイトが見つかった場合、実行可能なアクションは4つあります。
- ブロック - このサイトへのアクセスは完全に拒否されます。
- 読み取り専用 - 疑わしいサイトに関する警告メッセージが表示され、読み取り専用モードで開くことができます。
- 警告 - ユーザーは疑わしいサイトに関する警告メッセージを受け取りますが、(メッセージを確認した後)アクセスは許可されます。
- 通知 - 疑わしいサイトについてユーザーに通知します。
参考
カテゴリが有効になっていて、 ** 疑わしいドメインをブロックする ** がYesに設定されていて、ユーザーが疑わしいサイトとして識別されたドメインを閲覧した場合、このドメインはブロックされます。 このドメインがポリシーテーブルで明示的に定義されていても、これは当てはまります。
内部キャッシュ期間 (時間)¶
カテゴリがキャッシュされ、この定義された期間のシールドに保存します。パフォーマンスを向上させ、ドメインの読み込み時間を短縮するために使用します。
ファイルとサニタイズ¶
これらの設定は、CDRサービスがEricom Shieldを介してアップロードおよびダウンロードされたファイルをどのように処理するかを制御します。
プレビューファイルのサイズ制限 (MB)¶
プレビューできる最大ファイルサイズを定義します。
ダウンロードファイルサイズ制限(MB)¶
ダウンロード可能な最大ファイルサイズを定義します。
アップロードファイルサイズ制限(MB)¶
アップロード可能な最大ファイルサイズを定義します。
ファイルサニタイズプロバイダ¶
目的のCDRプロバイダを選択します。 サポートされているプロバイダは、Votiro(デフォルト)とCheck Point SandBlast、およびSasa Gate Scannerです。 選択すると、下のサブセクションが展開され、関連するプロバイダの設定を表示および更新することができます。
Votiro (デフォルト)¶
プライマリ ファイルサニタイズURL¶
このCDRソリューションに使用するURLを設定します。 https://api.votiro.com/v3は、初期評価期間に提供されるクラウドベースのCDRソリューションです。 クラウドベースのCDRソリューションは、評価にのみ使用できます。 新しいShieldライセンスが適用されると、クラウドベースのCDRは受信CDRリクエストを受け入れなくなります。 こちら のようにインターナルのVotiro(Shieldに同梱)をインストールし、インストール手順の説明に従ってURLを更新してください。
セカンダリ ファイルサニタイズURL(オプション)¶
CDRのセカンダリURLを定義します。 高可用性のためオプションです。 (存在する場合)これをセカンダリCDRサーバに設定します。
Votiro 内部のサニタイズポリシー¶
このサブセクションには、ShieldのデフォルトのVotiroサニタイズポリシーを定義するすべての設定が含まれています。 これらの設定は以下のとおりです。
Officeファイルのサニタイズ¶
MS Officeファイルをサニタイズするかどうかを設定します。
PDFファイルのサニタイズ¶
PDFファイルをサニタイズするかどうかを設定します。
イメージファイルのサニタイズ¶
イメージファイルをサニタイズするかどうかを設定します。
CADファイルのサニタイズ¶
CADファイルをサニタイズするかどうかを設定します。
Emailファイルのサニタイズ¶
Emailファイルをサニタイズするかどうかを設定します。
圧縮ファイルのサニタイズ¶
圧縮ファイル(zip、7zなど)を展開してサニタイズするかどうかを設定します。
ウイルススキャン¶
アンチウイルスエンジンによる複数スキャンをするかどうかを設定します。
パスワードで保護されたOfficeファイルのブロック¶
パスワードで保護されたOfficeファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
パスワードで保護されたPDFファイルのブロック¶
パスワードで保護されたPDFファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
未サポートファイルのブロック¶
未サポートのファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
不明ファイルのブロック¶
不明なファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
バイナリファイルのブロック¶
バイナリファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
スクリプトファイルのブロック¶
スクリプトファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
偽装ファイルのブロック¶
偽装ファイルをブロックするか、サニタイズせずにダウンロードするかを設定します。
OLEオブジェクトのブロック¶
OLEオブジェクトをブロックするか、サニタイズせずにダウンロードするかを設定します。
参考
パスワードで保護されたファイルは、デフォルトでブロックされています。(ダウンロードは無効です) ただし、パスワードで保護されたファイル(Office&PDF)が許可されている場合、これらのファイルはサニタイズができないため、サニタイズせずにダウンロードされます。
参考
これらのVotiro関連の設定の1つが管理コンソールで更新されている場合は、 PasswordPolicy.xml ( CDR serverの C:\Program Files\Votiro\SDS Web Service\Policy 配下にあります。) を手動で更新する必要があります。
Namedポリシー¶
Votiro Management を使用する場合、Namedポリシーが(Shieldの外側で)定義されていれば、これらのNamedポリシーをShieldにマッピングし、後でサニタイズ処理中に(ポリシーテーブルを介して)使用するように選択できます。
このサブセクションには、Shield内でNamedポリシーを定義するための表が含まれています。 このテーブルには2つの初期エントリがあります。1つはShield Internal Sanitization Policy用で、もう1つはVotiro Default Named Policy用です(Votiro Managementコンポーネントで定義されています)。
Namedポリシーの定義についての詳細は、 こちら を参照してください。
Check Point SandBlast¶
プライマリ ファイルサニタイズURL¶
この CDR ソリューションに使用する URL を設定します。
セカンダリ ファイルサニタイズURL(オプション)¶
CDRのセカンダリURLを定義します。 高可用性のためオプションです。 (存在する場合)これをセカンダリCDRサーバに設定します。
アクティベーションキー¶
このプロバイダには、CDRクラウドベースのソリューションに接続して使用するためのアクティベーションキーが必要です。 このCDRソリューションを使用するには、Check Pointから提供されたキーを入力します。
Sasa Gate Scanner¶
継続
DNS¶
プライマリ内部DNSアドレス¶
Shieldインフラストラクチャ(AD、認証など)に使用するプライマリ内部DNSサーバーアドレスを定義します。
セカンダリ内部DNSアドレス¶
Shieldインフラストラクチャ(AD、認証など)に使用するセカンダリ内部DNSサーバーアドレスを定義します。
プライマリ外部DNSアドレス¶
ブラウザファームで使用されるプライマリの外部DNSサーバーアドレスを定義します。 展開方法によっては内部DNSアドレスと同じである可能性があります。
セカンダリ外部DNSアドレス¶
ブラウザファームで使用されるセカンダリ外部DNSサーバーアドレスを定義します。 展開方法によっては内部DNSアドレスと同じである可能性があります。
参考
マルチマシンシステムでは、内部DNSアドレスがManagementノード(Shieldインフラストラクチャがある場所)を指し、外部DNSアドレスがBrowserファームノードを指していることを確認します。
プロキシ & インテグレーション¶
クライアントIPをヘッダーに設定する¶
元のクライアントIPアドレスをヘッダーに含めるかどうかを定義します。 一部の外部プロキシとドメインはこの情報を必要とします。
XFFをヘッダーに設定する¶
XFFをヘッダーに含めるかどうかを定義します。 XFF(X-Forward-For)は、元のクライアントIPアドレスを識別する別の方法です。 一部の外部プロキシとドメインはこの情報を必要とします。
ユーザをヘッダに設定する¶
認証されたユーザー名をヘッダーに含めるかどうかを定義します。 一部の外部プロキシとドメインはこの情報を必要とします。
参考
上記の設定には、セット、フォワード、削除の3つの値があります。 セット - この値を選択すると、特定の入力(クライアントIP / XFF /ユーザー名)がヘッダーに含まれます。 フォワード - ヘッダをそのまま転送します。 削除 - ヘッダに クライアントIP / XFF /ユーザー名が含まれている場合、明示的に削除されます。
参考
google reCAPTCHAなどのセキュリティサービスでは、クライアントIPとXFFがヘッダーに設定されていないと機能しません。
リダイレクトモードを有効にする¶
Shieldが リダイレクトモード で動作するように有効にします。
リダイレクトモードはシステム展開ごとに関係します。 このモードが有効な場合、リクエストは 組み込み Shieldプロキシを経由せずにゲートウェイからShieldにリダイレクトされます。 このシナリオでは、アクセス制御(ドメイン/カテゴリのホワイトリスト/ブラックリスト)をゲートウェイ経由で推奨します。 これは、Shieldへの冗長なトラフィックを避け、Shieldリソースの消費を減らすためのベストプラクティスです。 そうは言っても、ブロック/シールド として定義されたドメイン/カテゴリは期待通りに実施されます。 white として定義されたドメイン/カテゴリは保護されます(ホワイトポリシーは、Shield経由のリダイレクトモードでは強制できません)。
Shieldセッションを継続する¶
リダイレクトモード のとき、Shieldセッションのリダイレクトされたリンクも同様に保護するかどうかを定義します。 有効にすると、既存のプロキシ定義に関係なく、Shieldセッションから開かれたすべてのリンクがShieldセッションとして開かれます。
ブラウザファーム経由ですべての接続をルーティングする¶
すべてのトラフィックがブラウザファームに渡されるかどうかを定義します。 有効にすると、すべてのトラフィック(ホワイトリストに登録されたドメインや許可されたアプリケーションを含む)ブラウザファーム経由(Ext-Proxy経由で)で渡されます。 無効にすると、ホワイトリストに登録されたドメインはShield-Core Server(AuthProxy)からインターネットに直接移動します。
上位プロキシを使用する¶
上位プロキシの使用を有効にする。 デフォルトでは無効です。 上位プロキシを使用する場合は、この設定を使用してShieldを接続させます。 これをYesに設定すると、以下のフィールドを含む 上位プロキシの設定 サブセクションが開きます。
上位プロキシのアドレス¶
このフィールドに接続する上位プロキシアドレスを入力します。 このフィールドは、上位プロキシが有効な場合は必須です。
上位プロキシのポート¶
このフィールドに接続する上位プロキシポートを設定します。 設定されていない場合は、3128のデフォルトポートが使用されます。
上位プロキシのユーザ名¶
上位プロキシに資格情報が必要な場合は、このフィールドにユーザー名を入力します。 パスワードフィールドも必ず更新してください。
上位プロキシのパスワード¶
上位プロキシに資格情報が必要な場合は、このフィールドにパスワードを入力します。 ユーザー名フィールドも必ず更新してください。
クライアント証明書認証の利用¶
上位プロキシが必要とする場合は、クライアント証明書認証の使用を有効にします。 デフォルトでは無効です。 有効になっている場合は、証明書の公開鍵と秘密鍵を必ずアップロードしてください。
クライアント証明書の公開鍵のアップロード¶
クライアント証明書の公開鍵(.crtファイル)を選択してアップロードします。 秘密鍵もアップロードしてください。
クライアント証明書の秘密鍵のアップロード¶
クライアント証明書の秘密鍵(.keyファイル)を選択してアップロードします。 公開鍵も必ずアップロードしてください。
定義された機能において上位プロキシをバイパスする¶
システムで上位プロキシを使用している場合、上位プロキシ経由で接続しようとすると、一部の内部機能が誤動作する可能性があります。 他の場合には、それは単に冗長であり、システムオーバーヘッドを引き起こすかもしれません。 機能はファイルサニタイズ、Eメールアラートとポストアラートです。 これらの機能に対して上位プロキシをバイパスするには、Yesに設定します。Yesに設定すると、Shieldは上位プロキシ経由ではなく、関連するサーバー(ファイルサニタイズサーバー、電子メールなど)に直接接続します。
コンテンツ分離¶
リソースを許可する¶
HTMLページではなくリソースとして識別されたリクエストを、シールド(ホワイトリスト)経由ではなく、開くことができます。 リソース要求をブロックするには、[いいえ]に設定します(この場合、ページにリソースが含まれている場合は表示されません)。
Get リクエストではないものを許可する¶
HTTP Get以外の要求を許可する(ホワイトリストに登録)。 HTTP Getではない要求をブロックするにはNoに設定します。
FTPを許可する¶
ファイル転送プロトコル(FTP)として識別された要求を、シールド(ホワイトリスト)経由ではなく開くことを許可します。 FTPをブロックするには いいえに設定します。
潜在的なフィッシング検出を許可する¶
Shieldに含まれる、潜在的なフィッシング検出メカニズムを有効にします。 許可された場合 - サイトはフィッシング活動について監視されます。 無効にするにはNoに設定します。
潜在的なフィッシング検出アクション¶
潜在的なフィッシングサイトが見つかった場合、実行可能なアクションは4つあります。
- ブロック - このサイトへのアクセスは完全に拒否されます。
- 読み取り専用 - ユーザーはこのサイトの潜在的なリスクについての警告メッセージを受け取り、読み取り専用モードで開くことができます。
- 警告 - ユーザーはこのサイトの潜在的なリスクについての警告メッセージを受け取りますが、(メッセージを確認した後)アクセスは許可されます。
- 通知 - このサイトの潜在的なリスクについてユーザーに通知します。
参考
潜在的なフィッシング検知のメカニズムが有効になっていて、ユーザーが潜在的なフィッシングサイトとして識別されたドメインにアクセスすると、このドメインは定義されたアクションに従って処理されます(ブロック/読み取り専用/警告)。 このドメインがポリシーテーブルで明示的に定義されていても、これは当てはまります。 潜在的なフィッシングサイトとしてマークされたすべての接続は、 Matched Reason 列に phishing として接レポートに表示されます。アクション(ブロック/読み取り専用/警告/通知)も含みます。
エンドユーザーオプション¶
エンドユーザシールドインジケータを許可する¶
シールドブラウザを使用するときに視覚的インジケータを表示するかどうかを定義します。 Yesに設定すると、デフォルトの文字列( ⭐ )がドメイン名の前にタブ名に表示されます。
このデフォルトの文字列は翻訳文字列( STR_END_USER_INDICATOR )で変更することができます。 詳しくは こちら <../ FAQ / enduser.html> _ をご覧ください。
エンドユーザーにフィードバックの送信を許可する¶
エンドユーザーが特定のWebサイトに関するフィードバックを送信できるようにします。 Yesに設定した場合 - 右クリックメニューに フィードバックを送信 オプションが表示されます。 関連するすべてのフィードバック設定(チャンネルなど)は アラート セクションで定義されています。
エンドユーザーがシールドを一時停止できるようにする¶
エンドユーザーがShieldを一時停止できるようにして、ドメインを一時的にホワイトリストに登録します。 「はい」に設定すると、右クリックメニューに Shieldの一時停止とリロード オプションが表示されます。 期間設定に従って有効です(下記参照)。 ユーザーがこのオプションを選択すると、ページがホワイトモードでリロードされます。本番環境では 「いいえ」に設定します。(より安全です。)
Shieldセッション一時停止時間(分)¶
エンドユーザーが Shieldの一時停止とリロード を選択したときにドメインをホワイトリストに登録する期間(特定のドメインのみ)。
オートフィルの有効化¶
参考
これは テクニカルプレビュー 機能です。 このサブセクションは、 テクニカルプレビュー機能を有効にする がYesに設定されている場合にのみ表示されます。
Shieldのオートフィル機能を有効または無効にします。 有効にすると、ユーザーはブラウザに資格情報を保存するように求められます。 認証情報が保存されている場合は、今後のログイン時に、認証情報がブラウザによって自動的に入力されます。