インラインデバイスとして IPS または NGFW との統合

侵入防止システム（IPS）や次世代ファイアウォール（NGFW）などのセキュリティデバイスは、ネットワーク攻撃からサーバーを保護します。これらのデバイスはライブトラフィックを検査でき、通常はレイヤ 2 インラインモードで展開されます。Citrix Secure Web Gateway（SWG）は、インターネット上のリソースにアクセスする際に、ユーザーとエンタープライズネットワークのセキュリティを提供します。

Citrix SWGアプライアンスは、1つ以上のインラインデバイスと統合して、脅威を防止し、高度なセキュリティ保護を提供します。インラインデバイスには、IPS や NGFW などの任意のセキュリティデバイスを使用できます。

Citrix SWGアプライアンスおよびインラインデバイス統合を使用すると、次のようなユースケースが利用できます。

• 暗号化されたトラフィックの検査: ほとんどの IPS および NGFW アプライアンスは暗号化されたトラフィックをバイパスするため、サーバーが攻撃に対して脆弱になる可能性があります。Citrix SWGアプライアンスは、トラフィックを復号化し、検査のためにインラインデバイスに送信できます。この統合により、お客様のネットワークセキュリティが強化されます。

• TLS/SSL 処理からのインラインデバイスのオフロード： TLS/SSL 処理はコストがかかり、IPS または NGFW アプライアンスがトラフィックを復号化すると CPU 使用率が高くなる可能性があります。Citrix SWGアプライアンスは、TLS/SSL処理をインラインデバイスからオフロードするのに役立ちます。その結果、インラインデバイスは大量のトラフィックを検査できます。

• インラインデバイスの負荷分散： 負荷の高いトラフィックを管理するために複数のインラインデバイスを構成した場合、Citrix SWGアプライアンスは、これらのデバイスにトラフィックを均等に分散してトラフィックを分散できます。

• トラフィックのスマート選択： アプライアンスは、検査のためにすべてのトラフィックをインラインデバイスに送信する代わりに、トラフィックのスマートな選択を行います。たとえば、インラインデバイスへの検査用のテキストファイルの送信はスキップされます。

インラインデバイスとのCitrix SWGの統合

次の図は、Citrix SWGがインラインセキュリティデバイスとどのように統合されているかを示しています。

インラインデバイスをCitrix SWGアプライアンスに統合すると、コンポーネントは次のように相互作用します。

1. クライアントがCitrix SWGアプライアンスに要求を送信します。

2. アプライアンスは、ポリシー評価に基づいてコンテンツ検査のためにデータをインラインデバイスに送信します。HTTPS トラフィックの場合、アプライアンスはデータを復号化し、コンテンツ検査のためにプレーンテキストでインラインデバイスに送信します。

   注：

   2 つ以上のインラインデバイスがある場合、アプライアンスはデバイスの負荷分散を行い、トラフィックを送信します。

3. インラインデバイスは、データの脅威を検査し、データをドロップ、リセット、またはアプライアンスに戻すかどうかを決定します。

4. セキュリティ上の脅威がある場合、デバイスはデータを修正してアプライアンスに送信します。

5. HTTPS トラフィックの場合、アプライアンスはデータを再暗号化し、要求をバックエンドサーバーに転送します。

6. バックエンドサーバは応答をアプライアンスに送信します。

7. アプライアンスは再びデータを復号化し、検査のためにインラインデバイスに送信します。

8. インラインデバイスがデータを検査します。セキュリティ上の脅威がある場合、デバイスはデータを修正してアプライアンスに送信します。

9. アプライアンスはデータを再暗号化し、応答をクライアントに送信します。

インラインデバイス統合の設定

インラインデバイスを持つCitrix SWGアプライアンスは、次の3つの異なる方法で構成できます。

シナリオ 1：単一のインラインデバイスを使用する

セキュリティデバイス（IPS または NGFW）をインラインモードで統合するには、SWG アプライアンスでグローバルモードでコンテンツ検査と MAC ベース転送（MBF）を有効にする必要があります。次に、コンテンツインスペクションプロファイル、TCP サービス、インラインデバイスのコンテンツインスペクションアクションを追加して、インスペクションに基づいてトラフィックをリセット、ブロック、またはドロップします。また、インラインデバイスに送信するトラフィックのサブセットを決定するためにアプライアンスが使用するコンテンツ検査ポリシーを追加します。最後に、サーバ上でレイヤ 2 接続を有効にしてプロキシ仮想サーバを設定し、コンテンツ検査ポリシーをこのプロキシ仮想サーバにバインドします。

次の手順を実行します。

1. MAC ベース転送（MPF）モードを有効にします。

2. コンテンツ検査機能を有効にします。

3. サービスのコンテンツ検査プロファイルを追加します。コンテンツインスペクションプロファイルには、SWG アプライアンスとインラインデバイスを統合するインラインデバイス設定が含まれます。

4. （任意）TCP モニタを追加します。

   注：

   トランスペアレントデバイスには IP アドレスがありません。したがって、ヘルスチェックを実行するには、モニターを明示的にバインドする必要があります。

5. サービスを追加します。サービスは、インラインデバイスを表します。

6. （任意）サービスを TCP モニタにバインドします。

7. サービスのコンテンツインスペクションアクションを追加します。

8. コンテンツ検査ポリシーを追加し、アクションを指定します。

9. HTTP または HTTPS プロキシ (コンテンツスイッチング) 仮想サーバーを追加します。

10. コンテンツ検査ポリシーを仮想サーバにバインドします。

CLI を使用した設定

コマンドプロンプトで次のコマンドを入力します。例はほとんどのコマンドの後に示されています。

1. MBF を有効にします。

   enable ns mode mbf
   <!--NeedCopy-->
   

2. 本機能を有効にします。

   enable ns feature contentInspection
   <!--NeedCopy-->
   

3. コンテンツ検査プロファイルを追加します。

   add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
   <!--NeedCopy-->
   

   例：

   add contentInspection profile ipsprof -type InlineInspection -ingressinterface "1/2" -egressInterface "1/3"
   <!--NeedCopy-->
   

4. サービスを追加します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。use source IP address (USIP)を YES に設定します。useproxyportをNOに設定します。ヘルスモニタの電源を切ります。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

   add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
   <!--NeedCopy-->
   

   例：

   add service ips_service 198.51.100.2 TCP * -healthMonitor YES -usip YES -useproxyport NO -contentInspectionProfileName ipsprof
   
   <!--NeedCopy-->
   

5. コンテンツインスペクションアクションを追加します。

   add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
   <!--NeedCopy-->
   

   例：

   add contentInspection action ips_action -type INLINEINSPECTION -serverName ips_service
   <!--NeedCopy-->
   

6. コンテンツ検査ポリシーを追加します。

   add contentInspection policy <name> -rule <expression> -action <string>
   <!--NeedCopy-->
   

   例：

   add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
   <!--NeedCopy-->
   

7. プロキシ仮想サーバーを追加します。

   add cs vserver <name> PROXY <IPAddress> <port> -cltTimeout <secs> -Listenpolicy <expression> -authn401 ( ON | OFF ) -authnVsName <string> -l2Conn ON
   <!--NeedCopy-->
   

   例：

   add cs vserver transparentcs PROXY * * -cltTimeout 180 -Listenpolicy exp1 -authn401 on -authnVsName swg-auth-vs-trans-http -l2Conn ON
   <!--NeedCopy-->
   

8. ポリシーを仮想サーバにバインドします。

   bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
   <!--NeedCopy-->
   

   例：

   bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
   <!--NeedCopy-->
   

GUI を使用した設定

1. System > Settingsに移動します。[モードと機能] で、[モードの構成] をクリックします。

   

   

2. System > Settingsに移動します。[モードと機能] で、[高度な機能の構成] をクリックします。

   

   

3. [Secure Web Gateway] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。［追加］ をクリックします。

   

4. [負荷分散] > [サービス] > [サービスの追加と追加]に移動します。[詳細設定]で、[プロファイル] をクリックします。[CI プロファイル名] リストで、以前に作成したコンテンツ検査プロファイルを選択します。[サービス設定] で、[ソース IP アドレスを使用] を [はい]、 [プロキシポートを使用] を [いいえ] に設定します。 [基本設定] で、[ヘルスモニタリング] を [いいえ] に設定します。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

   

   

   

5. [Secure Web Gateway] > [プロキシ仮想サーバー] > [追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で、[ポリシー] を選択します。「+」記号をクリックします。

   

6. [ポリシーの選択] で [コンテンツ検査] を選択します。［続行］ をクリックします。

   

7. ［追加］ をクリックします。名前を指定します。「 アクション」で、「 追加」をクリックします。

   

8. 名前を指定します。「 タイプ」で「 INLINEINSPECTION」を選択します。「 サーバー名」で、以前に作成したTCPサービスを選択します。

   

9. ［作成］ をクリックします。ルールを指定し、[Create] をクリックします。

   

10. ［バインド］ をクリックします。

11. ［完了］ をクリックします。

シナリオ 2：専用インターフェイスを持つ複数のインラインデバイスの負荷分散

2 つ以上のインラインデバイスを使用している場合は、専用のインターフェイスで異なるコンテンツインスペクションサービスを使用して、デバイスを負荷分散できます。この場合、Citrix SWGアプライアンスは、専用インターフェイスを介して各デバイスに送信されるトラフィックのサブセットの負荷分散を行います。サブセットは、設定されたポリシーに基づいて決定されます。たとえば、TXT ファイルやイメージファイルは、検査のためにインラインデバイスに送信されない場合があります。

基本設定は、シナリオ 1 と同じままです。ただし、インラインデバイスごとにコンテンツ検査プロファイルを作成し、各プロファイルで入力および出力インターフェイスを指定する必要があります。インラインデバイスごとにサービスを追加します。負荷分散仮想サーバを追加し、コンテンツインスペクションアクションで指定します。次の追加手順を実行します。

1. サービスごとにコンテンツ検査プロファイルを追加します。

2. デバイスごとにサービスを追加します。

3. 負荷分散仮想サーバーを追加します。

4. コンテンツインスペクションアクションで負荷分散仮想サーバを指定します。

CLI を使用した設定

コマンドプロンプトで次のコマンドを入力します。各コマンドの後に例が示されています。

1. MBF を有効にします。

   enable ns mode mbf
   <!--NeedCopy-->
   

2. 本機能を有効にします。

   enable ns feature contentInspection
   <!--NeedCopy-->
   

3. サービス 1 のプロファイル 1 を追加します。

   add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
   <!--NeedCopy-->
   

   例：

   add contentInspection profile ipsprof1 -type InlineInspection -ingressInterface "1/2" -egressInterface "1/3"
   <!--NeedCopy-->
   

4. サービス 2 のプロファイル 2 を追加します。

   add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
   <!--NeedCopy-->
   

   例：

   add contentInspection profile ipsprof2 -type InlineInspection -ingressInterface "1/4" -egressInterface "1/5"
   <!--NeedCopy-->
   

5. サービス 1 を追加します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。use source IP address (USIP)を YES に設定します。useproxyportをNOに設定します。ヘルスモニタの電源を切ります。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

   add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
   <!--NeedCopy-->
   

   例：

   add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
   <!--NeedCopy-->
   

6. サービス 2 を追加します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。use source IP address (USIP)を YES に設定します。useproxyportをNOに設定します。ヘルスモニタの電源を切ります。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

   add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
   <!--NeedCopy-->
   

   例：

   add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO  -contentInspectionProfileName ipsprof2
   <!--NeedCopy-->
   

7. 負荷分散仮想サーバーを追加します。

   add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
   <!--NeedCopy-->
   

   例：

   add lb vserver lb_inline_vserver TCP 192.0.2.100 *
   <!--NeedCopy-->
   

8. サービスを負荷分散仮想サーバーにバインドします。

   bind lb vserver <LB_VSERVER_NAME> <service_name>
   bind lb vserver <LB_VSERVER_NAME> <service_name>
   <!--NeedCopy-->
   

   例：

   bind lb vserver lb_inline_vserver ips_service1
   bind lb vserver lb_inline_vserver ips_service2
   <!--NeedCopy-->
   

9. コンテンツインスペクションアクションで負荷分散仮想サーバを指定します。

   add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
   <!--NeedCopy-->
   

   例：

   add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
   <!--NeedCopy-->
   

10. コンテンツ検査ポリシーを追加します。ポリシーでコンテンツインスペクションアクションを指定します。

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    例：

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    

11. プロキシ仮想サーバーを追加します。

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    <!--NeedCopy-->
    

    例：

    add cs vserver transparentcs PROXY * * -l2Conn ON
    <!--NeedCopy-->
    

12. コンテンツ検査ポリシーを仮想サーバにバインドします。

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    例：

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

GUI を使用した設定

1. System > Settingsに移動します。[モードと機能] で、[モードの構成] をクリックします。

   

   

2. System > Settingsに移動します。[モードと機能] で、[高度な機能の構成] をクリックします。

   

   

3. [Secure Web Gateway] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。［追加］ をクリックします。

   

   入力および出力インターフェイスを指定します。

   

   2 つのプロファイルを作成します。2 番目のプロファイルで、異なる入力および出力インターフェイスを指定します。

4. [負荷分散] > [サービス] > [サービスの追加と追加]に移動します。[詳細設定]で、[プロファイル] をクリックします。[CI プロファイル名] リストで、以前に作成したコンテンツ検査プロファイルを選択します。[サービス設定] で、[ソース IP アドレスを使用] を [はい]、 [プロキシポートを使用] を [いいえ] に設定します。 [基本設定] で、[ヘルスモニタリング] を [いいえ] に設定します。このサービスを TCP モニターにバインドする場合のみ、ヘルスモニタリングをオンにします。モニタをサービスにバインドする場合は、モニタの TRANSPARENT オプションを ON に設定します。

   

   

   

   2 つのサービスを作成します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。

5. [負荷分散] > [仮想サーバー] > [追加]に移動します。TCP 負荷分散仮想サーバーを作成します。

   

   ［OK］ をクリックします。

6. [負荷分散仮想サーバーサービスのバインド] セクション内をクリックします。「 サービス・バインド」で、 「サービスの選択」の矢印をクリックします。前に作成した 2 つのサービスを選択し、[Select] をクリックします。［バインド］ をクリックします。

   

   

   

7. [Secure Web Gateway] > [プロキシ仮想サーバー] > [追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で、[ポリシー] を選択します。「+」記号をクリックします。

   

8. [ポリシーの選択] で [コンテンツ検査] を選択します。［続行］ をクリックします。

   

9. ［追加］ をクリックします。名前を指定します。「 アクション」で、「 追加」をクリックします。

   

10. 名前を指定します。「 タイプ」で「 INLINEINSPECTION」を選択します。「 サーバー名」で、以前に作成した負荷分散仮想サーバーを選択します。

    

11. ［作成］ をクリックします。ルールを指定し、[Create] をクリックします。

    

12. ［バインド］ をクリックします。

13. ［完了］ をクリックします。

シナリオ 3：共有インターフェイスを持つ複数のインラインデバイスの負荷分散

2 つ以上のインラインデバイスを使用している場合は、共有インターフェイスで異なるコンテンツインスペクションサービスを使用して、デバイスを負荷分散できます。この場合、Citrix SWGアプライアンスは、共有インターフェイスを介して各デバイスに送信されるトラフィックのサブセットの負荷分散を行います。サブセットは、設定されたポリシーに基づいて決定されます。たとえば、TXT ファイルやイメージファイルは、検査のためにインラインデバイスに送信されない場合があります。

基本設定は、シナリオ 2 と同じままです。このシナリオでは、インターフェイスを異なる VLAN にバインドして、各インラインデバイスのトラフィックを分離します。コンテンツインスペクションプロファイルで VLAN を指定します。次の追加手順を実行します。

1. 共有インターフェイスを異なる VLAN にバインドします。

2. コンテンツ検査プロファイルで入力 VLAN と出力 VLAN を指定します。

CLI を使用した設定

コマンドプロンプトで次のコマンドを入力します。各コマンドの後に例が示されています。

1. MBF を有効にします。

   enable ns mode mbf
   <!--NeedCopy-->
   

2. 本機能を有効にします。

   enable ns feature contentInspection
   <!--NeedCopy-->
   

3. 共有インターフェイスを異なる VLAN にバインドします。

   bind vlan <id> -ifnum <interface> -tagged
   <!--NeedCopy-->
   

   例：

   bind vlan 100 –ifnum 1/2 tagged
   bind vlan 200 –ifnum 1/3 tagged
   bind vlan 300 –ifnum 1/2 tagged
   bind vlan 400 –ifnum 1/3 tagged
   <!--NeedCopy-->
   

4. サービス 1 のプロファイル 1 を追加します。プロファイルで入力 VLAN と出力 VLAN を指定します。

   add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
   <!--NeedCopy-->
   

   例：

   add contentInspection profile ipsprof1 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 100 -ingressVlan 300
   <!--NeedCopy-->
   

5. サービス 2 のプロファイル 2 を追加します。プロファイルで入力 VLAN と出力 VLAN を指定します。

   add contentInspection profile <name> -type InlineInspection -egressInterface <interface_name> -ingressInterface <interface_name>[-egressVlan <positive_integer>] [-ingressVlan <positive_integer>]
   <!--NeedCopy-->
   

   例：

   add contentInspection profile ipsprof2 -type InlineInspection -egressInterface "1/3" -ingressinterface "1/2" –egressVlan 200 -ingressVlan 400
   <!--NeedCopy-->
   

6. サービス 1 を追加します。

   add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
   <!--NeedCopy-->
   

   例：

   add service ips_service1 192.168.10.2 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof1
   <!--NeedCopy-->
   

7. サービス 2 を追加します。

   add service <service_name>  <IP> TCP <Port> - contentinspectionProfileName <Name>  -healthMonitor NO  -usip YES –useproxyport NO
   <!--NeedCopy-->
   

   例：

   add service ips_service2 192.168.10.3 TCP * -healthMonitor NO -usip YES -useproxyport NO -contentInspectionProfileName ipsprof2
   <!--NeedCopy-->
   

8. 負荷分散仮想サーバーを追加します。

   add lb vserver <LB_VSERVER_NAME> TCP <IP> <port>
   <!--NeedCopy-->
   

   例：

   add lb vserver lb_inline_vserver TCP 192.0.2.100 *
   <!--NeedCopy-->
   

9. サービスを負荷分散仮想サーバーにバインドします。

   bind lb vserver <LB_VSERVER_NAME> <service_name>
   bind lb vserver <LB_VSERVER_NAME> <service_name>
   <!--NeedCopy-->
   

   例：

   bind lb vserver lb_inline_vserver ips_service1
   bind lb vserver lb_inline_vserver ips_service2
   <!--NeedCopy-->
   

10. コンテンツインスペクションアクションで負荷分散仮想サーバを指定します。

    add contentInspection action <name> -type INLINEINSPECTION -serverName <string>
    <!--NeedCopy-->
    

    例：

    add contentInspection action ips_action -type INLINEINSPECTION -serverName lb_inline_vserver
    <!--NeedCopy-->
    

11. コンテンツ検査ポリシーを追加します。ポリシーでコンテンツインスペクションアクションを指定します。

    add contentInspection policy <name> -rule <expression> -action <string>
    <!--NeedCopy-->
    

    例：

    add contentInspection policy ips_pol -rule "HTTP.REQ.METHOD.NE("CONNECT")" -action ips_action
    <!--NeedCopy-->
    

12. プロキシ仮想サーバーを追加します。

    add cs vserver <name> PROXY <IPAddress> <port> -l2Conn ON
    <!--NeedCopy-->
    

    例：

    add cs vserver transparentcs PROXY * * -l2Conn ON
    <!--NeedCopy-->
    

13. コンテンツ検査ポリシーを仮想サーバにバインドします。

    bind cs vserver <name> -policyName <string> -priority <positive_integer> -gotoPriorityExpression <expression> -type REQUEST
    <!--NeedCopy-->
    

    例：

    bind cs vserver explicitcs -policyName ips_pol -priority 1 -gotoPriorityExpression END -type REQUEST
    <!--NeedCopy-->
    

GUI を使用した設定

1. System > Settingsに移動します。[モードと機能] で、[モードの構成] をクリックします。

   

   

2. System > Settingsに移動します。[モードと機能] で、[高度な機能の構成] をクリックします。

   

   

3. [システム] > [ネットワーク] > [VLAN] > [追加]に移動します。4 つの VLAN を追加し、インターフェイスにタグを付けます。

   

   

   

   

4. [Secure Web Gateway] > [コンテンツ検査] > [コンテンツ検査プロファイル] に移動します。［追加］ をクリックします。

   

   入力 VLAN と出力 VLAN を指定します。

   

   別のプロファイルを作成します。2 番目のプロファイルで異なる入力 VLAN と出力 VLAN を指定します。

   

5. [負荷分散] > [サービス] > [サービスの追加と追加]に移動します。[詳細設定]で、[プロファイル] をクリックします。[CI プロファイル名] リストで、以前に作成したコンテンツ検査プロファイルを選択します。[サービス設定] で、[ソース IP アドレスを使用] を [はい]、 [プロキシポートを使用] を [いいえ] に設定します。 [基本設定] で、[ヘルスモニタリング] を [いいえ] に設定します。

   2 つのサービスを作成します。インラインデバイスを含むどのデバイスにも所有されていないダミー IP アドレスを指定します。サービス 1 でプロファイル 1 を指定し、サービス 2 でプロファイル 2 を指定します。

   

   

   

   

6. [負荷分散] > [仮想サーバー] > [追加]に移動します。TCP 負荷分散仮想サーバーを作成します。

   

   ［OK］ をクリックします。

7. [負荷分散仮想サーバーサービスのバインド] セクション内をクリックします。「 サービス・バインド」で、 「サービスの選択」の矢印をクリックします。前に作成した 2 つのサービスを選択し、[Select] をクリックします。［バインド］ をクリックします。

   

   

   

8. [Secure Web Gateway] > [プロキシ仮想サーバー] > [追加]に移動します。名前、IP アドレス、およびポートを指定します。[詳細設定]で、[ポリシー] を選択します。「+」記号をクリックします。

   

9. [ポリシーの選択] で [コンテンツ検査] を選択します。［続行］ をクリックします。

   

10. ［追加］ をクリックします。名前を指定します。「 アクション」で、「 追加」をクリックします。

    

11. 名前を指定します。「 タイプ」で「 INLINEINSPECTION」を選択します。「 サーバー名」で、以前に作成した負荷分散仮想サーバーを選択します。

    

12. ［作成］ をクリックします。ルールを指定し、[Create] をクリックします。

    

13. ［バインド］ をクリックします。

14. ［完了］ をクリックします。