アルプスシステムインテグレーション株式会社[ALSI(アルシー)]
キーワード検索
キーワード
製品名
カテゴリ
含まないキーワード
カテゴリ検索
-
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 ├
 └
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
よく検索されるキーワード
FAQ
タイトル
(InterSafe WebFilter ver8.5SP2以降)セキュリティ機能について
No.4967  日付:2017-01-24 11:00:00
質問 Ver.8.5SP2以降のバージョンにアップデート後、クライアントがHTTPSサイト接続時に
ブラウザエラーが発生する場合があります。

回答 InterSafe WebFilter ver8.5 SP2 以降のProxy版製品では、HTTPS通信の
セキュリティ対策のため、デフォルトで有効となる機能があります。
※バージョンアップの場合も有効となります。

■セキュリティ機能
1)HTTPS通信のSSL/TLS通信以外のプロトコルを検知
 HTTPS通信でのSSL/TLS通信であるか他プロトコルであるかを検知し、
 通信を遮断します。SSLv2以前の通信については遮断対象となります。

2)HTTPS通信でのホスト名(SNI)の正常性チェック
 HTTPS通信でのリクエスト先の偽装を検知し、通信を遮断します。

■有効時の挙動について
上記機能により通信を遮断された場合、クライアント側では通信エラーの
挙動となります。

例)
ブラウザでアクセスした際に、セキュリティ機能により通信を遮断された場合、
規制画面は表示されず、「このページは表示できません」の表示となります。
※ブラウザで遮断される例はSSLv2プロトコルにて通信を行なった場合となります。

遮断された通信はInterSafe_notice.logに出力され、接続をしているクライアント
および接続先情報が確認できます。

例)
009022 Unknown protocol detected on CONNECT.(~) [client=XXX.XXX.XXX.XXX; method=CONNECT; elapsedTime=XX; Host=xxx.xxx.com; User-Agent=XXXXXX; ]

■設定について
以下の項目にて設定しております。

設定ファイル保存先
・Windows版:<インストールフォルダ>\conf\proxy.inf
・Linux版:<インストールディレクトリ>/conf/proxy.inf

デフォルト値
 [BLOCK_CFG]
 BLOCK_TUNNEL_PROTOCOL=1(プロトコルの検知)
 BLOCK_INVALID_SNI=TRUE(ホスト名(SNI)の正常性チェック)

どちらも実施しない場合の設定
 [BLOCK_CFG]
 BLOCK_TUNNEL_PROTOCOL=0
 BLOCK_INVALID_SNI=FALSE

※バージョンアップ前と同じ動作にしたい場合は、
 「どちらも実施しない場合の設定」を行ってください。

設定変更後はフィルタリングサービスの再起動を行なってください。
マスタ/スレーブ構成の場合は設定同期(amsdata -sys)を実施後、
フィルタリングサービスを再起動してください。

InterSafe_notice.logなどにてホスト名が判明している場合は、
フィルタリングバイパスにて回避することが可能です。
フィルタリングバイパス機能についてはこちらを参照ください。

対象製品 InterSafe WebFilter
対象バージョン 8.5SP2 , 9.0 対象ビルド  
一般情報
アンケートにご協力ください