透過型モードにおけるHTTPSサイトのURLフィルタリングについて
製品 Email and Web Security Appliance v5.5/5.6 Version 5.5, 5.6
OS - 問題番号 EW512120602
問題の詳細

透過型(ブリッジ、ルーター)モードにおけるHTTPSサイトのURLフィルタリングには動作の仕組みによる制限がございます。

原因

透過モードでHTTPSサイトのURLフィルタリングを行うためにはEmail and Web Security(以下EWS)によるDNSの逆引き参照が有効である必要があります。
これは、透過モードの場合クライアントからのアクセス要求は暗号化されており、EWSで要求をデコードすることができないためです。
HTTPSサイトへの接続に対してEWSは以下のような仕組みでURLフィルタリングを提供します。

  1. クライアントから名前解決した該当のWEBサーバーのIPアドレスへアクセス
  2. EWSはIPアドレスをDNS逆引き参照して名前に解決し、URLのブラックリストに対して名前を評価
  3. 名前が合致すれば接続を拒否

EWSでのDNS逆引き参照が無効の場合、2の動作が行われないため、URLフィルタリングがうまく動作しません。
また、IPアドレスは複数のDNSホスト名を有する場合があります(マルチドメインなどの理由から)。
例えば以下のようなケースの場合、そのIPアドレスに対する接続を完全に防ぐことはできませんのでご注意ください。

IPアドレス:10.11.12.34 というホストは www.sample.comwww.blocked.net という二つのホスト名を持ちます。
EWSには拒否されるURLとして www.blocked.net が設定されています。
ところがDNS逆引き参照の結果、10.11.12.34 に対して応答されたホスト名はwww.sample.comのみでした。
この場合、www.sample.com は 拒否リストのwww.blocked.netと一致しないため、URLフィルタリングによるアクションは動作しません。
これは透過モードにおけるHTTPS URLフィルタリングの仕組みによる正しい動作です。

解決策
  1. HTTPにおけるDNS逆引き参照の設定は以下の項目にございます。

    WEB構成HTTP接続設定DNSの逆引き参照を有効にする

    HTTPSにおけるURLフィルタリングを利用する場合は上のチェックボックスをチェックしてDNSの逆引き参照を有効にしてください。

  2. HTTPSにおけるURLフィルタリングの有効化は以下の設定から実施します。

    WEBポリシーWEBレピュテーションとWeb分類HTTPS Web分類 – HTTPS URL向けにブラックリストおよびホワイトリストのチェックを有効にする

    上の設定を有効にすることでHTTPS URLに対してブラックリストおよびホワイトリストのチェックが有効になります。

  3. フィルタリングデータベースを用いたMcAfee GTI Web分類を有効にする場合には以下の設定を有効にします。

    WEBポリシーWEBレピュテーションとWeb分類HTTPS Web分類 – McAfee GTI Web 分類 – HTTPS URL向けにMcAfee GTI Web分類を有効にする

掲載日 2012/12/06

サポート情報充実のためアンケートにご協力をお願いします。問題は解決しましたか?

  

目的の情報と異なる場合は、下記「キーワード検索」より再度検索いただく事をお勧めします。
製品・エンジンのサポート期間
プレインストール版製品・エンジンのサポート期間

・最新Q&A:過去1週間に掲載された項目を表示

情報解析ツール(MERTool)
自己診断ツール(MVT)
テクニカルサポートにお問い合わせいただく際にお使いください。

キーワード検索①〜③を入力して検索ボタンを押してください。
  • キーワード、または問題番号を入力(半角スペースでand検索可能)
      
  • 検索対象を選択 
  • 製品または製品群を選択