Citrix Secure Web Gateway

SSL 代行受信のための SSL ポリシーインフラストラクチャ

May 1, 2021

寄稿者:

ポリシーは、着信トラフィックに対するフィルタのように動作します。Citrix Secure Web Gateway（SWG）アプライアンスのポリシーは、プロキシ接続と要求の管理方法を定義するのに役立ちます。処理は、そのポリシーに対して設定されているアクションに基づきます。つまり、接続要求のデータはポリシーで指定された規則と比較され、規則に一致する接続にアクションが適用されます (式)。ポリシーのアクションを定義し、ポリシーを作成したら、プロキシサーバーにバインドして、そのプロキシサーバーを通過するトラフィックに適用されます。

SSLインターセプションの SSL ポリシーは、着信トラフィックを評価し、ルール（式）に一致する要求に事前定義されたアクションを適用します。接続の代行受信、バイパス、またはリセットは、定義された SSL ポリシーに基づいて決定されます。ポリシーに対して、INTERCEPT、BYPASS、または RESET の 3 つのアクションのいずれかを設定できます。ポリシーの作成時にアクションを指定します。ポリシーを有効にするには、アプライアンスのプロキシサーバーにポリシーをバインドする必要があります。ポリシーが SSLインターセプションを対象とするように指定するには、プロキシサーバーにポリシーをバインドするときに、タイプ（バインドポイント）を INTERCEPT_REQ として指定する必要があります。ポリシーのバインドを解除するときは、タイプを INTERCEPT_REQ として指定する必要があります。

注:

プロキシサーバは、ポリシーを指定した場合にだけ、インターセプトを決定できます。

トラフィックインターセプションは、任意の SSL ハンドシェイク属性に基づいて行うことができます。最も一般的に使用されるのは SSL ドメインです。SSL ドメインは通常、SSL ハンドシェイクの属性によって示されます。これは、SSL Client Hello メッセージから抽出されたサーバー名インジケータ値（存在する場合）、または元のサーバー証明書から抽出されたサーバー別名（SAN）値になります。Citrix SWGのSSLiポリシーでは、DETECTED_DOMAINという特別な属性が表示されます。これにより、お客様はオリジンサーバー証明書からのSSLドメインに基づいてインターセプトポリシーを簡単に作成することができます。顧客は、ドメイン名を文字列、URL リスト（URL セットまたはpatset）、またはドメインから派生した URL カテゴリと照合できます。

Citrix SWG CLIを使用してSSLポリシーを作成する

コマンドプロンプトで、次のように入力します。

add ssl policy <name> -rule <expression> -action <string>
<!--NeedCopy-->

例:

次の例は、detected_domain 属性を使用してドメイン名をチェックする式を持つポリシーの例です。

XYZBANKなどの金融機関へのトラフィックを傍受しない

add ssl policy pol1 -rule client.ssl.detected_domain.contains("XYZBANK") -action BYPASS
<!--NeedCopy-->

ユーザーが企業ネットワークから YouTube に接続することを許可しないでください。

add ssl policy pol2 -rule client.ssl.client.ssl.detected_domain.url_categorize(0,0).category.eq ("YouTube") -action RESET
<!--NeedCopy-->

すべてのユーザトラフィックをインターセプトします。

add ssl policy pol3 –rule true –action INTERCEPT
<!--NeedCopy-->

お客様が detected_domain を使用したくない場合は、任意の SSL ハンドシェイク属性を使用してドメインを抽出および推測できます。

たとえば、ドメイン名が、クライアントの hello メッセージの SNI拡張に見つかりません。ドメイン名は、オリジンサーバー証明書から取得する必要があります。次の例は、オリジンサーバー証明書のサブジェクト名でドメイン名をチェックする式を持つポリシーの例です。

任意の Yahoo ドメインへのすべてのユーザトラフィックを傍受します。

add ssl policy pol4 -rule client.ssl.origin_server_cert.subject.contains("yahoo") –action INTERCEPT
<!--NeedCopy-->

カテゴリ「ショッピング/小売」のすべてのユーザトラフィックをインターセプトします。

add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.URL_CATEGORIZE(0,0).CATEGORY.eq("Shopping/Retail") -action INTERCEPT
<!--NeedCopy-->

未分類 URL へのすべてのユーザトラフィックをインターセプトします。

add ssl policy pol_url_category -rule client.ssl.origin_server_cert.subject.url_categorize(0,0).category.eq("Uncategorized") -action INTERCEPT
<!--NeedCopy-->

次の例は、URL セットのエントリに対してドメインを照合するポリシーの例です。

SNI のドメイン名が URL セット「top100」のエントリと一致する場合、すべてのユーザートラフィックをインターセプトします。

add ssl policy pol_url_set  -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top100") -action INTERCEPT
<!--NeedCopy-->

オリジンサーバー証明書が URL セット「top100」のエントリと一致する場合、ドメイン名のすべてのユーザートラフィックをインターセプトします。

add ssl policy pol_url_set  -rule client.ssl.origin_server_cert.subject.URLSET_MATCHES_ANY("top100") -action INTERCEPT
<!--NeedCopy-->

SWG GUI を使用してプロキシサーバーへの SSL ポリシーを作成する

[ Secure Web Gateway] > [SSL] > [ポリシー]に移動します。
[SSL ポリシー] タブで、[追加] をクリックし、次のパラメータを指定します。
- ポリシー名
- ポリシーアクション：代行受信、バイパス、またはリセットから選択します。
- 式
［作成］ をクリックします。

SWG CLI を使用して SSL ポリシーをプロキシサーバーにバインドする

コマンドプロンプトで、次のように入力します。

bind ssl vserver <vServerName> -policyName <string> -priority <positive_integer> -type  INTERCEPT_REQ
<!--NeedCopy-->

例:

bind ssl vserver <name> -policyName pol1 -priority 10 -type INTERCEPT_REQ
<!--NeedCopy-->

Citrix SWG GUIを使用してSSLポリシーをプロキシサーバーにバインドする

[ Secure Web Gateway] > [プロキシ仮想サーバー] に移動します。
仮想サーバを選択し、[Edit] をクリックします。
[詳細設定]で、[SSL ポリシー] をクリックします。
[SSL ポリシー] ボックスの内側をクリックします。
「ポリシーの選択」で、バインドするポリシーを選択します。
「 タイプ」で「 INTERCEPT_REQ」を選択します。
[バインド] をクリックし、[OK] をクリックします。

コマンドラインを使用して SSL ポリシーをプロキシサーバーにバインド解除する

コマンドプロンプトで、次のように入力します。

unbind ssl vserver <vServerName> -policyName <string> -type INTERCEPT_REQ
<!--NeedCopy-->

SWG の SSL ポリシーで使用される SSL 式

式	説明
`CLIENT.SSL.CLIENT_HELLO.SNI.*`	SNI 拡張を文字列形式で返します。文字列を評価して、指定したテキストが含まれているかどうかを確認します。例：client.ssl.client_hello.sni.contains(`"xyz.com"`)
`CLIENT.SSL.ORIGIN_SERVER_CERT.*`	バックエンドサーバーから受け取った証明書を、文字列形式で返します。文字列を評価して、指定したテキストが含まれているかどうかを確認します。例：client.ssl.origin_server_cert.subject.contains(`"xyz.com"`)
`CLIENT.SSL.DETECTED_DOMAIN.*`	SNI 拡張またはオリジンサーバー証明書からドメインを文字列形式で返します。文字列を評価して、指定したテキストが含まれているかどうかを確認します。例：client.ssl.detected_domain.contains(`"xyz.com"`)

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

SSL 代行受信のための SSL ポリシーインフラストラクチャ

May 1, 2021

寄稿者:

May 1, 2021

寄稿者:

この記事の概要

Citrix SWG CLIを使用してSSLポリシーを作成する
SWG GUI を使用してプロキシサーバーへの SSL ポリシーを作成する
SWG CLI を使用して SSL ポリシーをプロキシサーバーにバインドする
Citrix SWG GUIを使用してSSLポリシーをプロキシサーバーにバインドする
コマンドラインを使用して SSL ポリシーをプロキシサーバーにバインド解除する
SWG の SSL ポリシーで使用される SSL 式

この情報は役に立ちましたか?