FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

YAMAHA ファイアウォールFWX120ではHTTPSサイトをURLフィルタリング可能になった HTTPSプロキシ

2016.06.28 (Tue)

FWX120でHTTPSのURLフィルタリングに対応したとの情報を得て調べていたところ、
YAMAHAサイトに詳細な情報が掲載されていたのでそれを基に動作確認を実施した。






HTTPS URLフィルター 概要(YAMAHAサイトより引用)

既存のURLフィルター機能では、
HTTPS通信に対するフィルタリングの手段が提供されていませんでした。
これを解消するため、プロキシを経由したHTTPS通信に対して
URLフィルタリングを実施する機能(以下、本機能)を今回新たに追加します。

通常、プロキシ経由でHTTPSアクセスを行う場合、
Webブラウザはプロキシに対してHTTPSサーバーへの代理接続を要求し、
Webブラウザ~HTTPSサーバー間のデータのやり取りは
全てプロキシを経由することになります(SSLトンネリング)。

本機能では対応機器自身がHTTPSプロキシサーバーとなり、
Webブラウザがプロキシへ代理接続を要求する際に渡す情報を元に
フィルタリングを行い、通信の可否を決定します。

また、DHCPサーバー機能と連携し、
DHCPパケットにWPADオプション(252)を適宜追加します。
これによって、DHCPクライアントが使用するWPAD対応のWebブラウザに対し、
HTTPSアクセスがプロキシ経由となる設定へ自動的に変更するよう促します。

本機能で破棄したコネクションについては、
ブロック画面への転送を要求するHTTPリダイレクトをブラウザへ送信しません。
代わりに、対応機器へリダイレクトした場合と同等のコンテンツを含む
403応答(Forbidden)を返します。
従って、ブロック画面のカスタマイズ機能には対応していません。



【送料無料】ヤマハ FWX120 [ファイアウォール]
価格:50040円(税込、送料無料)





各Webブラウザの対応状況

ブラウザ名 バージョン 自動設定(DHCP) 自動設定(DNS) 手動設定
IE 9.0 ○ ○ ○
Firefox(Windows) 15.0.1 × ○ ○
Chrome(Windows) 22.0.1229.79 m ○ ○ ○




■構成
WAN
| lan2 (pppoe)
+---------+
| FWX |
+---------+
| lan1 (192.168.100.1/24)
PC郡 (DNSサフィックス : test.local)


■FWX120のコンフィグ
ip route default gateway pp 1
ip lan1 address 192.168.100.1/24
ip lan1 inbound filter list 1 100
pp select 1
url pp filter out 1 2 3 4 1000
url pp proxy filter out https-proxy 11 12 2000
ip pp nat descriptor 1
pp enable 1
ip inbound filter 1 reject-nolog * * tcp * https .. (1)
ip inbound filter 100 pass-nolog * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
url filter 1 pass windowsupdate.com .. (2)
url filter 2 pass download.microsoft.com .. (2)
url filter 3 pass ntservicepack.microsoft.com .. (2)
url filter 4 pass wustat.windows.com .. (2)
url filter 1000 reject
url filter 11 pass update.microsoft.com .. (3)
url filter 2000 reject *
url filter https-proxy use on .. (4)
dhcp service server
dhcp server rfc2131 compliant remain-silent
dhcp scope 1 192.168.100.10-192.168.100.20/24 .. (5)
dns server pp 1
dns static a wpad.test.local 192.168.100.1 .. (6)

(1)... プロキシを経由せずにSSL通信を行おうとする端末からのパケットを破棄します。
(2)... PCがプロキシを経由せずにアクセスするURL(HTTP)に対するフィルターです。
(3)... PCがプロキシを経由してアクセスするURL(HTTPS)に対するフィルターです。
(4)... プロキシ経由のHTTPS URLフィルター機能を有効にします。
(5)... LAN配下のホストへDHCPアドレスを配布し、同時にWPADオプション(252)を付与
してCURLを通知します。
(6)... CURLの問い合わせでDNSを使用するホストに対し、設定ファイルの配布元がRT
自身であることを通知します。
これを受信したホストはCURLを「http://192.168.100.1/wpad.dat」と見なして
設定ファイルの取得を試みます。




詳細はこちら


関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック