SSL 複合化を実施せずに HTTPS セッション上で URL 応答ページを表示する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Serve a URL Response Page Over an HTTPS Session Without SSL Decryption
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Serve-a-URL-Response-Page-Over-an...

 

詳細

このドキュメントは SSL 複合化を実施せずに HTTPS セッション上で URL 応答ページを表示する方法 について記述しています。

 

必要条件

  • セキュリティ ポリシー内の URL フィルタリング プロファイル にて、対象のHTTPS サイトへのアクセスに対して "Block" アクションが設定されていること
  • 応答ページを有効にする必要があります。V-wire インターフェイスで応答ページを表示するためには SSL 復号化が必要になるため、V-wireでは実行することができません
    1. Network > ネットワーク プロファイル > インターフェイス管理
      応答ページを有効にしたインターフェイス管理プロファイルを作成します
    2. Network > インターフェイス > Ethernet?/? > 詳細 > 管理プロファイル
      a で作成した管理プロファイルを選択します
  • 証明書は Palo Alto Networks デバイス上でフォワード プロキシ用の信頼された証明書として使用されます。それは次のいずれかとなります:
    • "認証局" にチェックされた自己署名/自己生成した証明書
      注: 自己署名/自己生成した証明書を使用している場合、ブラウザ上に表示される証明書エラーを回避するためにはクライアント PC の証明書ストアにこの証明書をインポートする必要があります。
    • 組織内の内部CAによって生成された Palo Alto Networks デバイス用の中間CA証明書
  • "認証局" にチェックされた自己署名/自己生成したフォワードプロキシ用の信頼されない証明書。この証明書は受け取った全てのクライアントで信頼されません

注: BrightCloudのダイナミック URL フィルタリングを使用する場合、全てのURL フィルタリング プロファイル上でダイナミック URL フィルタリングを有効にした上、デバイス全体でも有効にしてください。デバイスのCLIで configure モードから次のコマンドを入力します:
# set deviceconfig setting url dynamic-url yes
上記のコマンドはファイアウォール上で BrightCloud の URL フィルタリング ライセンスが有効な場合にのみ動作します。PAN-DB URL フィルタリングでは動作しません。

 

上記の要件が満たされた時点で、次のコンフィグレーション コマンドを実行するとPalo Alto Networks デバイスが HTTPS セッション上で URL フィルタリング レスポンス ページを表示できるようにします。このコマンドは BrightCloud か PAN-DB に関わらず動作します:

# set deviceconfig setting ssl-decrypt url-proxy yes

 

クライアント PC では HTTPS セッション上で URL フィルタリング ポリシーによって指定された URL フィルタリング レスポンス ページが表示されます。

 

アクション タイプ "continue(続行)" と "override(オーバーライド)" に関する注意

今日のウェブサイトのサーバー コンテンツは複数の送信元から提供されているため、URL フィルタリング レスポンス ページのアクション タイプを "continue" または "override" で提供する場合、ページ上の一部のコンテンツが正しく表示されない可能性があります。アクションを "block(ブロック)" や "continue"、"override" に設定しているカテゴリのサイトからコンテンツが提供される場合に発生し、ファイアウォールはそれぞれの埋め込まれたリンクに対して "continue" や "override" のレスポンスページを表示しません。

 

注:
有効期限を更新するために証明書を置き換えた場合は、データプレーンの再起動かデバイスの再起動を実施します。
これによりデータプレーン上の有効期限切れ証明書のキャッシュが削除されます。