Citrix ADC

SSLフォワードプロキシを使用したインラインデバイスとしてのIPSまたはNGFWとの統合

侵入防止システム(IPS)や次世代ファイアウォール(NGFW)などのセキュリティデバイスは、ネットワーク攻撃からサーバーを保護します。これらのデバイスはライブトラフィックを検査でき、通常はレイヤ 2 インラインモードで展開されます。SSL 転送プロキシアプライアンスは、インターネット上のリソースにアクセスするときに、ユーザーと企業ネットワークのセキュリティを提供します。

SSL フォワードプロキシアプライアンスは、1 つ以上のインラインデバイスと統合して、脅威を防ぎ、高度なセキュリティ保護を提供できます。インラインデバイスには、IPS や NGFW などの任意のセキュリティデバイスを使用できます。

SSL フォワードプロキシアプライアンスおよびインラインデバイス統合を使用してメリットが得られるユースケースには、次のようなものがあります。

  • 暗号化されたトラフィックの検査: ほとんどの IPS および NGFW アプライアンスは暗号化されたトラフィックをバイパスするため、サーバーが攻撃に対して脆弱になる可能性があります。SSL 転送プロキシアプライアンスは、トラフィックを復号化し、検査のためにインラインデバイスに送信できます。この統合により、お客様のネットワークセキュリティが強化されます。

  • TLS/SSL 処理からのインラインデバイスのオフロード: TLS/SSL 処理はコストがかかり、IPS または NGFW アプライアンスがトラフィックを復号化すると CPU 使用率が高くなる可能性があります。SSL フォワードプロキシアプライアンスは、インラインデバイスからの TLS/SSL 処理のオフロードに役立ちます。その結果、インラインデバイスは大量のトラフィックを検査できます。

  • インラインデバイスの負荷分散: 大量のトラフィックを管理するように複数のインラインデバイスを設定している場合、SSL転送プロキシアプライアンスは負荷分散を行い、これらのデバイスにトラフィックを均等に分散できます。

  • トラフィックのスマート選択: アプライアンスは、検査のためにすべてのトラフィックをインラインデバイスに送信する代わりに、トラフィックのスマートな選択を行います。たとえば、インラインデバイスへの検査用のテキストファイルの送信はスキップされます。

インラインデバイスと SSL フォワードプロキシの統合

次の図は、SSL フォワードプロキシとインラインセキュリティデバイスとの統合を示しています。

ips概要

インラインデバイスを SSL 転送プロキシアプライアンスと統合すると、コンポーネントは次のように対話します。

  1. クライアントが SSL 転送プロキシアプライアンスに要求を送信します。

  2. アプライアンスは、ポリシー評価に基づいてコンテンツ検査のためにデータをインラインデバイスに送信します。HTTPS トラフィックの場合、アプライアンスはデータを復号化し、コンテンツ検査のためにプレーンテキストでインラインデバイスに送信します。

    注:

    2 つ以上のインラインデバイスがある場合、アプライアンスはデバイスの負荷分散を行い、トラフィックを送信します。

  3. コンテンツスイッチングまたは HTTP/HTTPS 負荷分散仮想サーバーを追加します。

  4. インラインデバイスは、データの脅威を検査し、データをドロップ、リセット、またはアプライアンスに戻すかどうかを決定します。

  5. セキュリティ上の脅威がある場合、デバイスはデータを修正してアプライアンスに送信します。

  6. HTTPSトラフィックの場合、アプライアンスはデータを再暗号化し、要求をバックエンドサーバーに転送します。

  7. バックエンドサーバーは、アプライアンスに応答を送信します。

  8. アプライアンスは再びデータを復号化し、検査のためにインラインデバイスに送信します。

  9. インラインデバイスがデータを検査します。セキュリティ上の脅威がある場合、デバイスはデータを修正してアプライアンスに送信します。

  10. アプライアンスはデータを再暗号化し、応答をクライアントに送信します。

インラインデバイス統合の設定

インラインデバイスを使用して SSL フォワードプロキシアプライアンスを構成するには、次の 3 つの方法があります。

シナリオ 1:単一のインラインデバイスを使用する

セキュリティデバイス(IPS または NGFW)をインラインモードで統合するには、SSL 転送プロキシアプライアンスでグローバルモードでコンテンツ検査と MAC ベース転送(MBF)を有効にする必要があります。次に、コンテンツインスペクションプロファイル、TCP サービス、インラインデバイスのコンテンツインスペクションアクションを追加して、インスペクションに基づいてトラフィックをリセット、ブロック、またはドロップします。また、インラインデバイスに送信するトラフィックのサブセットを決定するためにアプライアンスが使用するコンテンツ検査ポリシーを追加します。最後に、サーバ上でレイヤ 2 接続を有効にしてプロキシ仮想サーバを設定し、コンテンツ検査ポリシーをこのプロキシ仮想サーバにバインドします。

単一インラインデバイス

次の手順を実行します。

  1. MAC ベース転送(MPF)モードを有効にします。

  2. コンテンツ検査機能を有効にします。

  3. サービスのコンテンツ検査プロファイルを追加します。コンテンツ検査プロファイルには、SSL 転送プロキシアプライアンスとインラインデバイスを統合するインラインデバイス設定が含まれています。

  4. (任意)TCP モニタを追加します。

    注:

    トランスペアレントデバイスには IP アドレスがありません。したがって、ヘルスチェックを実行するには、モニターを明示的にバインドする必要があります。

  5. サービスを追加します。サービスは、インラインデバイスを表します。

  6. (任意)サービスを TCP モニタにバインドします。

  7. サービスのコンテンツインスペクションアクションを追加します。

  8. コンテンツ検査ポリシーを追加し、アクションを指定します。

  9. HTTP または HTTPS プロキシ (コンテンツスイッチング) 仮想サーバーを追加します。

  10. コンテンツ検査ポリシーを仮想サーバにバインドします。

CLI を使用した設定

コマンドプロンプトで次のコマンドを入力します。例はほとんどのコマンドの後に示されています。

  1. MBF を有効にします。

    enable ns mode mbf
    
  2. 本機能を有効にします。

    enable ns feature contentInspection
    
  3. コンテンツ検査プロファイルを追加します。

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    例:

    add contentInspection profile ipsprof -type InlineInspection -ingressinterface “1/2” -egressInterface “1/3”
    
  4. サービスを追加します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。use source IP address (USIP)を YES に設定します。useproxyportをNOに設定します。デフォルトでは、ヘルスモニタリングは ON で、サービスをヘルスモニタにバインドし、モニタの [トランスペアレント] オプションも設定します。

    add service <service_name>  <IP> TCP * - contentinspectionProfileName <Name>  -healthMonitor YES  -usip YES –useproxyport NO
    

例:

    add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof

  1. ヘルスモニタを追加します。デフォルトでは、ヘルスモニターはオンになっており、必要に応じて無効にするオプションもあります。コマンドプロンプトで、次のように入力します。

    add lb monitor <name> TCP -destIP <ip address> -destPort 80 -transparent <YES, NO>

例:

add lb monitor ips_tcp TCP -destIP 192.168.10.2 -destPort 80 -transparent YES

  1. サービスをヘルスモニターにバインドする

ヘルスモニターを構成したら、サービスをヘルスモニターにバインドする必要があります。コマンドプロンプトで、次のように入力します。

bind service <name> -monitorName <name>

例:

bind service ips_svc -monitorName ips_tcp

  1. コンテンツインスペクションアクションを追加します。

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    

    例:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
    
  2. コンテンツ検査ポリシーを追加します。

    add contentInspection policy <name> -rule <expression> -action <string>
    

    例:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    
  3. プロキシ仮想サーバーを追加します。

    add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
    

    注:

    HTTP/SSL タイプの負荷分散仮想サーバーもサポートされています。

    例:

    add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
    
  4. ポリシーを仮想サーバにバインドします。

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    

    例:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    

GUI を使用した設定

  1. [システム] > [設定]に移動します。[モードと機能] で、[モードの構成] をクリックします。

    システム設定

    Mac ベースの転送を有効にする

  2. [システム] > [設定]に移動します。[モードと機能] で、[高度な機能の構成] をクリックします。

    上級設定

    コンテンツ検査を有効にする

  3. [Secure Web Gateway] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。[追加] をクリックします。

    コンテンツ検査プロファイル

  4. [負荷分散] > [サービス] > [サービスの追加と追加] に移動します。[詳細設定]で、[プロファイル] をクリックします。[CI プロファイル名] リストで、以前に作成したコンテンツ検査プロファイルを選択します。[サービス設定] で、[ソース IP アドレスを使用] を [はい]、 [プロキシポートを使用] を [いいえ] に設定します。 [基本設定] で、[ヘルスモニタリング] を [いいえ] に設定します。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

    コンテンツ検査プロファイルをサービスにリンクする

    その他の設定

    健全性監視の設定

  5. [Secure Web Gateway] > [プロキシ仮想サーバー] > [追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で、[ポリシー] を選択します。「+」記号をクリックします。

    ポリシーの追加

  6. [ポリシーの選択] で [コンテンツ検査] を選択します。[続行] をクリックします。

    コンテンツ検査ポリシー

  7. [追加] をクリックします。名前を指定します。「 アクション」で、「 追加」をクリックします。

    アクションを追加

  8. 名前を指定します。「 タイプ」で「 INLINEINSPECTION」を選択します。「 サーバー名」で、以前に作成したTCPサービスを選択します。

    コンテンツ検査アクション

  9. [作成] をクリックします。ルールを指定し、[Create] をクリックします。

    ポリシールールの追加

  10. [バインド] をクリックします。

  11. [完了] をクリックします。

シナリオ 2:専用インターフェイスを持つ複数のインラインデバイスの負荷分散

2 つ以上のインラインデバイスを使用している場合は、専用のインターフェイスで異なるコンテンツインスペクションサービスを使用して、デバイスを負荷分散できます。この場合、SSL 転送プロキシ アプライアンスは、専用インターフェイスを介して各デバイスに送信されるトラフィックのサブセットを負荷分散します。サブセットは、設定されたポリシーに基づいて決定されます。たとえば、TXT ファイルやイメージファイルは、検査のためにインラインデバイスに送信されない場合があります。

複数のインラインデバイス

基本設定は、シナリオ 1 と同じままです。ただし、インラインデバイスごとにコンテンツ検査プロファイルを作成し、各プロファイルで入力および出力インターフェイスを指定する必要があります。インラインデバイスごとにサービスを追加します。負荷分散仮想サーバを追加し、コンテンツインスペクションアクションで指定します。次の追加手順を実行します。

  1. サービスごとにコンテンツ検査プロファイルを追加します。

  2. デバイスごとにサービスを追加します。

  3. 負荷分散仮想サーバーを追加します。

  4. コンテンツインスペクションアクションで負荷分散仮想サーバを指定します。

CLI を使用した設定

コマンドプロンプトで次のコマンドを入力します。各コマンドの後に例が示されています。

  1. MBF を有効にします。

    enable ns mode mbf
    
  2. 本機能を有効にします。

    enable ns feature contentInspection
    
  3. サービス 1 のプロファイル 1 を追加します。

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    例:

    add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
    
  4. サービス 2 のプロファイル 2 を追加します。

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    例:

    add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
    
  5. サービス 1 を追加します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。use source IP address (USIP)を YES に設定します。useproxyportをNOに設定します。ヘルスモニタの電源を切ります。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    例:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    
  6. サービス 2 を追加します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。use source IP address (USIP)を YES に設定します。useproxyportをNOに設定します。ヘルスモニタの電源を切ります。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    例:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO  -contentInspectionProfileName ipsprof2
    
  7. 負荷分散仮想サーバーを追加します。

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    

    例:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    
  8. サービスを負荷分散仮想サーバーにバインドします。

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    

    例:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    
  9. コンテンツインスペクションアクションで負荷分散仮想サーバを指定します。

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    

    例:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    
  10. コンテンツ検査ポリシーを追加します。ポリシーでコンテンツインスペクションアクションを指定します。

    add contentInspection policy <name> -rule <expression> -action <string>
    

    例:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    
  11. プロキシ仮想サーバーを追加します。

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    

    例:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    
  12. コンテンツ検査ポリシーを仮想サーバにバインドします。

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    

    例:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    

GUI を使用した設定

  1. [システム] > [設定]に移動します。[モードと機能] で、[モードの構成] をクリックします。

    システム設定

    Mac ベースの転送を有効にする

  2. [システム] > [設定]に移動します。[モードと機能] で、[高度な機能の構成] をクリックします。

    上級設定

    コンテンツ検査を有効にする

  3. [Secure Web Gateway] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。[追加] をクリックします。

    コンテンツ検査プロファイル

    入力および出力インターフェイスを指定します。

    入力および出力インターフェイスの指定

    2 つのプロファイルを作成します。2 番目のプロファイルで、異なる入力および出力インターフェイスを指定します。

  4. [負荷分散] > [サービス] > [サービスの追加と追加] に移動します。[詳細設定]で、[プロファイル] をクリックします。[CI プロファイル名] リストで、以前に作成したコンテンツ検査プロファイルを選択します。[サービス設定] で、[ソース IP アドレスを使用] を [はい]、 [プロキシポートを使用] を [いいえ] に設定します。 [基本設定] で、[ヘルスモニタリング] を [いいえ] に設定します。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

    コンテンツ検査プロファイルをサービスにリンクする

    その他の設定

    健全性監視の設定

    2 つのサービスを作成します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。

  5. [負荷分散] > [仮想サーバー] > [追加]に移動します。TCP 負荷分散仮想サーバーを作成します。

    負荷分散仮想サーバー

    [OK] をクリックします。

  6. [負荷分散仮想サーバーサービスのバインド] セクション内をクリックします。「 サービス・バインド」で、 「サービスの選択」の矢印をクリックします。前に作成した 2 つのサービスを選択し、[Select] をクリックします。[バインド] をクリックします。

    クリックの矢印

    バインドするサービスを選択

    サービスを仮想サーバにバインドする

  7. [Secure Web Gateway] > [プロキシ仮想サーバー] > [追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で、[ポリシー] を選択します。「+」記号をクリックします。

    ポリシーの追加

  8. [ポリシーの選択] で [コンテンツ検査] を選択します。[続行] をクリックします。

    コンテンツ検査ポリシー

  9. [追加] をクリックします。名前を指定します。「 アクション」で、「 追加」をクリックします。

    アクションを追加

  10. 名前を指定します。「 タイプ」で「 INLINEINSPECTION」を選択します。「 サーバー名」で、以前に作成した負荷分散仮想サーバーを選択します。

    コンテンツ検査アクション

  11. [作成] をクリックします。ルールを指定し、[Create] をクリックします。

    ポリシールールの追加

  12. [バインド] をクリックします。

  13. [完了] をクリックします。

シナリオ 3:共有インターフェイスを持つ複数のインラインデバイスの負荷分散

2 つ以上のインラインデバイスを使用している場合は、共有インターフェイスで異なるコンテンツインスペクションサービスを使用して、デバイスを負荷分散できます。この場合、SSL 転送プロキシ アプライアンスは、共有インターフェイスを介して各デバイスに送信されるトラフィックのサブセットを負荷分散します。サブセットは、設定されたポリシーに基づいて決定されます。たとえば、TXT ファイルやイメージファイルは、検査のためにインラインデバイスに送信されない場合があります。

共有インターフェイスを備えた複数のインラインデバイス

基本設定は、シナリオ 2 と同じままです。このシナリオでは、インターフェイスを異なる VLAN にバインドして、各インラインデバイスのトラフィックを分離します。コンテンツインスペクションプロファイルで VLAN を指定します。次の追加手順を実行します。

  1. 共有インターフェイスを異なる VLAN にバインドします。

  2. コンテンツ検査プロファイルで入力 VLAN と出力 VLAN を指定します。

CLI を使用した設定

コマンドプロンプトで次のコマンドを入力します。各コマンドの後に例が示されています。

  1. MBF を有効にします。

    enable ns mode mbf
    
  2. 本機能を有効にします。

    enable ns feature contentInspection
    
  3. 共有インターフェイスを異なる VLAN にバインドします。

    bind vlan <id> -ifnum <interface> -tagged
    

    例:

    bind vlan 100 –ifnum 1/2 tagged
    bind vlan 200 –ifnum 1/3 tagged
    bind vlan 300 –ifnum 1/2 tagged
    bind vlan 400 –ifnum 1/3 tagged
    
  4. サービス 1 のプロファイル 1 を追加します。プロファイルで入力 VLAN と出力 VLAN を指定します。

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    例:

    add contentInspection profile ipsprof1 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 100 -ingressVlan 300
    
  5. サービス 2 のプロファイル 2 を追加します。プロファイルで入力 VLAN と出力 VLAN を指定します。

    add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
    

    例:

    add contentInspection profile ipsprof2 -type InlineInspection -egressInterface “1/3” -ingressinterface “1/2” –egressVlan 200 -ingressVlan 400
    
  6. サービス 1 を追加します。

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    例:

    add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
    
  7. サービス 2 を追加します。

    add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
    

    例:

    add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
    
  8. 負荷分散仮想サーバーを追加します。

    add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
    

    例:

    add lb vserver lb_inline_vserver TCP 192.0.2.100 *
    
  9. サービスを負荷分散仮想サーバーにバインドします。

    bind lb vserver <LB_VSERVER_NAME> <service_name>
    bind lb vserver <LB_VSERVER_NAME> <service_name>
    

    例:

    bind lb vserver lb_inline_vserver ips_service1
    bind lb vserver lb_inline_vserver ips_service2
    
  10. コンテンツインスペクションアクションで負荷分散仮想サーバを指定します。

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    

    例:

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    
  11. コンテンツ検査ポリシーを追加します。ポリシーでコンテンツインスペクションアクションを指定します。

    add contentInspection policy <name> -rule <expression> -action <string>
    

    例:

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    
  12. プロキシ仮想サーバーを追加します。

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    

    例:

    add cs vserver transparentcs PROXY * * -l2Conn ON
    
  13. コンテンツ検査ポリシーを仮想サーバにバインドします。

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    

    例:

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    

GUI を使用した設定

  1. [システム] > [設定]に移動します。[モードと機能] で、[モードの構成] をクリックします。

    システム設定

    Mac ベースの転送を有効にする

  2. [システム] > [設定]に移動します。[モードと機能] で、[高度な機能の構成] をクリックします。

    上級設定

    コンテンツ検査を有効にする

  3. [システム] > [ネットワーク] > [VLAN] > [追加]に移動します。4 つの VLAN を追加し、インターフェイスにタグを付けます。

    VLAN 100 を作成します。

    VLAN 200 を作成します。

    VLAN 300 を作成します。

    VLAN 400の作成

  4. [Secure Web Gateway] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。[追加] をクリックします。

    コンテンツ検査プロファイル

    入力 VLAN と出力 VLAN を指定します。

    プロファイル 1 のインターフェイスおよび VLAN の指定

    別のプロファイルを作成します。2 番目のプロファイルで異なる入力 VLAN と出力 VLAN を指定します。

    プロファイル 2 のインターフェイスおよび VLAN の指定

  5. [負荷分散] > [サービス] > [サービスの追加と追加] に移動します。[詳細設定]で、[プロファイル] をクリックします。[CI プロファイル名] リストで、以前に作成したコンテンツ検査プロファイルを選択します。[サービス設定] で、[ソース IP アドレスを使用] を [はい]、 [プロキシポートを使用] を [いいえ] に設定します。 [基本設定] で、[ヘルスモニタリング] を [いいえ] に設定します。

    2 つのサービスを作成します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。サービス 1 でプロファイル 1 を指定し、サービス 2 でプロファイル 2 を指定します。

    コンテンツインスペクションプロファイル 1 をサービス 1 にリンクする

    コンテンツインスペクションプロファイル 2 をサービス 2 にリンクする

    その他の設定

    健全性監視の設定

  6. [負荷分散] > [仮想サーバー] > [追加]に移動します。TCP 負荷分散仮想サーバーを作成します。

    負荷分散仮想サーバー

    [OK] をクリックします。

  7. [負荷分散仮想サーバーサービスのバインド] セクション内をクリックします。「 サービス・バインド」で、 「サービスの選択」の矢印をクリックします。前に作成した 2 つのサービスを選択し、[Select] をクリックします。[バインド] をクリックします。

    クリックの矢印

    バインドするサービスを選択

    サービスを仮想サーバにバインドする

  8. [Secure Web Gateway] > [プロキシ仮想サーバー] > [追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で、[ポリシー] を選択します。「+」記号をクリックします。

    ポリシーの追加

  9. [ポリシーの選択] で [コンテンツ検査] を選択します。[続行] をクリックします。

    コンテンツ検査ポリシー

  10. [追加] をクリックします。名前を指定します。「 アクション」で、「 追加」をクリックします。

    アクションを追加

  11. 名前を指定します。「 タイプ」で「 INLINEINSPECTION」を選択します。「 サーバー名」で、以前に作成した負荷分散仮想サーバーを選択します。

    コンテンツ検査アクション

  12. [作成] をクリックします。ルールを指定し、[Create] をクリックします。

    ポリシールールの追加

  13. [バインド] をクリックします。

  14. [完了] をクリックします。

SSLフォワードプロキシを使用したインラインデバイスとしてのIPSまたはNGFWとの統合