アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
カテゴリ検索
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
よく検索されるキーワード
FAQ
タイトル
InterSafe WebFilter ver8.5SP2にアップデート後の動作について
No.4967  日付:2017-01-24 11:00:00

回答 InterSafe WebFilter ver8.5SP2 Proxy版ではHTTPS通信のセキュリティ対策のため、
デフォルトで有効となる機能があります。
※バージョンアップの場合も有効となります。

■セキュリティ機能
・HTTPS通信のSSL/TLS通信以外のプロトコルを検知
HTTPS通信でのSSL/TLS通信であるか他プロトコルであるかを検知し、
通信を遮断します。SSLv2以前の通信については遮断対象となります。

・HTTPS通信でのホスト名(SNI)の正常性チェック
HTTPS通信でのリクエスト先の偽装を検知し、通信を遮断します。

■有効時の挙動について
上記機能により通信を遮断された場合、クライアント側では通信エラーの
挙動となります。

例)
ブラウザでアクセスした際に、セキュリティ機能により通信を遮断された場合、
規制画面は表示されず、「このページは表示できません」の表示となります。
※ブラウザで遮断される例はSSLv2プロトコルにて通信を行なった場合となります。

遮断された通信はInterSafe_notice.logに出力され、接続をしているクライアント
および接続先情報が確認できます。

例)
009022 Unknown protocol detected on CONNECT.(~) [client=XXX.XXX.XXX.XXX; method=CONNECT; elapsedTime=XX; Host=xxx.xxx.com; User-Agent=XXXXXX; ]

■設定について
設定は以下となります。
 Windows <インストールフォルダ>\conf\proxy.inf
 Linux <インストールディレクトリ>/conf/proxy.inf
  デフォルト値
  [BLOCK_CFG]
  BLOCK_TUNNEL_PROTOCOL=1(プロトコルの検知)
  BLOCK_INVALID_SNI=TRUE(ホスト名(SNI)の正常性チェック)

  どちらも実施しない場合の設定
  [BLOCK_CFG]
  BLOCK_TUNNEL_PROTOCOL=0
  BLOCK_INVALID_SNI=FALSE

※バージョンアップ前と同じ動作にしたい場合は
「どちらも実施しない場合の設定」を行ってください。

設定変更後はフィルタリングサービスの再起動を行なってください。
マスタ/スレーブ構成の場合は設定同期(amsdata -sys)を実施後、
フィルタリングサービスを再起動してください。

InterSafe_notice.logなどにてホスト名が判明している場合は、
フィルタリングバイパスにて回避することが可能です。
フィルタリングバイパス機能についてはこちらを参照ください。

対象製品 InterSafe WebFilter
対象バージョン 8.5SP2 対象ビルド  
一般情報
アンケートにご協力ください