ビュー:

ルールシミュレーターを使用してルールをテストおよび検証し、インターネットアクセスルールが特定のトラフィックシナリオにどのように反応するかを確認してから、変更を本番環境に展開します。

ルールシミュレーターは、指定されたトラフィックシナリオに対してインターネットアクセスの構成とルールがどのように反応するかをテストし、本番環境に影響を及ぼす前に問題を特定して修正するのに役立ちます。
ルールシミュレーション機能は、URL、ユーザ、時間、場所などのリクエスト属性に基づいて、与えられたリクエストが設定されたルールに一致するかどうかを分析する静的ポリシー評価ツールです。完全なスキャナーパイプラインを実行しないため、実際のトラフィックの傍受、ネットワーク交渉、または動的分析に依存するランタイム動作はサポートされません。
Limitations
シミュレーションには次の制限事項があります。
  • HTTPおよびHTTPSプロトコルのみがサポートされています。
  • クラウドアプリのアクションフィルタリングは評価されません。
  • シミュレーション環境と本番環境では復号結果が異なる場合があります。
  • 特定の状況では、本番環境で強制的にHTTPS復号化が行われますが、シミュレーションではサポートされていません。
    • ローミングユーザ (ブラウザからのアクセス): 本番環境では、SWGがユーザ認証なしでパブリックIPアドレスからのHTTPSトラフィックを受信することがあります。その場合、スキャナーはポリシー評価のためにリクエストの詳細を抽出するためにトラフィックを強制的に復号化する必要があります。このシナリオは、シミュレーションAPIがユーザIDフィールドを必要とするため、シミュレーションではサポートされていません。
    • 接続段階でのブロックアクション: シミュレーションはポリシーの一致を評価するだけで、エンドユーザにブロックページを表示しないため、シミュレーション機能ではブロックページのレンダリングのための強制HTTPS復号化は実装されていません。
  • シミュレーションでは次のランタイム動作はサポートされていません:
    • TLS/SSL証明書の検証とピンニング
    • 強制的なHTTPS復号化と中間者攻撃による傍受
    • ページレンダリングとインジェクションをブロックする
    • 認証の課題とリダイレクト
    • HTTPリダイレクトの追跡 (301, 302, 307, 308)
For HTTPS traffic:
  • すべての証明書は有効として扱われます。
  • TLSの復号化は、一度開始されると常に成功したものと見なされます。
  • ターゲットURLは常に到達可能として扱われます。DNS解決の失敗やサーバエラーはシミュレーションされません。
  • SNI値はターゲットURLのホスト名と同一であると仮定され、平文で送信されます。

手順

  1. Secure Access Rules[Internet Access] の順に選択し、[ルールシミュレーター] をクリックします。
    [ルールシミュレーター] パネルが表示されます。
  2. シミュレーションするトラフィックシナリオの詳細を指定してください。
    フィールド
    説明
    [URL](必須)
    テストする宛先URL。HTTPまたはHTTPSを使用する必要があります。
    [User / IP address](必須)
    シミュレーションリクエストの送信元を指定するためのユーザメールアドレスまたはパブリックIPアドレス。
    エンドポイント
    リクエストに関連付けるエンドポイントデバイス。指定されている場合、シミュレーションはSecure Access Moduleがインストールされたモジュールユーザの視点から実行されます。[指定なし]のままにすると、シミュレーションはブラウザユーザの視点から実行されます。
    Source location
    リクエストの発信元としてシミュレートするゲートウェイまたはネットワーク上の場所。場所に基づくマッチングを省略するには[指定なし]のままにしてください。
    日時
    シミュレーションに使用する日時。指定しない場合は、現在の日時が使用されます。時間に基づくルールのテストに便利です。
  3. [シミュレート]をクリックしてください。
    シミュレーターは、優先順位に従ってインターネットアクセスルールに対してシナリオを評価し、結果を表示します。各チェックは、シナリオが一致したかどうかを示します。シミュレーションは最初に一致したルールで停止します。
    結果には次のチェックが含まれています。
    • [許可リスト][拒否リスト]: URL が設定された許可リストまたは拒否リストに表示されるかどうか。
    • HTTPSインスペクション: いずれかのHTTPSインスペクションルールが一致したかどうか。
    • インターネットアクセスルール: 設定されたルールの優先順位に基づく評価で、どのルールが一致し、トラフィックに適用されたアクションを示します。