HTTPSトンネル

HTTPSトンネルを使用すると、通常はNAT、ファイアウォール、またはプロキシサーバの内側にある、接続が制限されたネットワーク間で通信できます。一般に接続が制限されるのは、TCP/IPポート、ネットワーク外部からのトラフィック、またはほとんどのネットワークプロトコルがブロックされている場合です。具体的には、あるネットワークをどのようにロックダウンすれば、ネットワークをその内外の脅威から保護できるかによって異なります。

TMWSaaSを使用して信頼できるドメインまたはURLのリストを管理できます。エンドユーザは、信頼されたドメインのHTTPSトラフィックにいつでもアクセスでき、TMWSaaSによる復号および検査は実施されません。

TMWSaaSには例外リストもあり、管理者は信頼されたドメイン内の特定のページ、リンク、サブドメインを追加して、トンネリングから除外できます。例外リストに追加したURLは、以降、設定されたTMWSaaSポリシールールに従って復号および検査されます。

HTTPSトンネルを設定する前に、[グローバル設定] の [HTTPSトンネリングを有効にする] が [オン] になっていることを確認してください。

[ポリシー] > [HTTPSインスペクション] > [HTTPSトンネル] に移動します。

[トンネルドメイン] タブを次のように設定します。

照合方法として、ドメイン名全体またはキーワードのどちらかを選択します。

一致モード	説明
Web	ドメインをドメイン名全体で照合します。この一致モードでは、完全一致のみサポートされます。たとえば、`example.com`はexample.comに一致しますが、sub.example.comやexample2.comには一致しません。
キーワード	キーワードを含むドメインを照合します。この一致モードでは、部分一致がサポートされます。たとえば、`example`は、example.com、sub.example.com、example2.comに一致すると見なされます。注: TMWSaaSによって、キーワードの前後にアスタリスク (*) が自動的に追加されます。そのため、キーワードにアスタリスクを追加すると誤検出の可能性が高くなります。追加する際には注意してください。

一致モード

説明

Web

ドメインをドメイン名全体で照合します。

この一致モードでは、完全一致のみサポートされます。

たとえば、example.comはexample.comに一致しますが、sub.example.comやexample2.comには一致しません。

キーワード

キーワードを含むドメインを照合します。

この一致モードでは、部分一致がサポートされます。

たとえば、exampleは、example.com、sub.example.com、example2.comに一致すると見なされます。

注:

TMWSaaSによって、キーワードの前後にアスタリスク (*) が自動的に追加されます。そのため、キーワードにアスタリスクを追加すると誤検出の可能性が高くなります。追加する際には注意してください。

選択した一致モードに基づいて、複数のドメイン名またはキーワードを、それぞれ半角スペースで区切って入力します。
[[トンネルドメイン] リストに追加] または [[例外] リストに追加] をクリックします。
[トンネルドメインリスト] または [例外リスト] に、各ドメインの追加日時とともにドメインまたはキーワードが追加されます。

注:
ドメインまたはURLへのHTTPSリクエストは、ブロックするURLリストまたはクラウドアクセスルールによってブロックされると、以降の検査のためにTMWSaaSによって復号されます。リクエストがブロックするURLリストまたはクラウドアクセスルールによってブロックされなかった場合、TMWSaaSで復号が必要となるかどうかは、対象のドメインまたはURLがトンネルドメインリストに含まれているかどうかに応じて決まります。
リストから1つまたは複数のドメインまたはキーワードを削除するには、削除対象を選択して [削除] をクリックします。

[失敗したHTTPSアクセス] タブを次のように設定します。

SSLハンドシェイクに失敗したり、Webサーバから予期せず切断されたりすることにより、HTTPS復号が失敗する場合があります。その場合、該当するドメインまたはURLを [トンネルドメインリスト] または [例外リスト] に追加してHTTPSトラフィックを自動的にエンドユーザまでトンネリングするか、設定済みのTMWSaaSポリシールールに従って検査を実施するかを選択できます。

失敗したHTTPSアクセスは追跡して記録し、ログを時刻およびドメインで照会できます。

必要に応じて[オン] または [オフ] をクリックして、致命的なエラーに対して自動トンネリングを有効または無効にします。
指定した期間内のあるドメインへのHTTPSアクセスエラーを検索するには、ドロップダウンリストから期間を選択し、ドメイン名を入力して検索アイコンをクリックします。
期間の意味については、期間の範囲を参照してください。

以下のタスクを実行します。

タスク	詳細
失敗したHTTPSアクセスの詳細を確認する	[ドメイン名] でドメインまたはURLをクリックします。ユーザ名: ドメインまたはURLへのHTTPSリクエストを開始したユーザ。警告: HTTPS復号が失敗した理由。生成時間: HTTPS復号に失敗した日時。
ドメインまたはURLを [トンネルドメインリスト] または [例外リスト] に追加する	TMWSaaSのエラーが原因でHTTPSリクエストを復号できなかった場合、対象のドメインまたはURLは自動的に [トンネルドメインリスト] に一定期間追加されます。その間、HTTPSトラフィックは復号されません。注: HTTPSリクエストがブロックするURLリストまたはクラウドアクセスルールによってブロックされた場合は、対象のドメインまたはURLは、自動的に [トンネルドメインリスト] に追加されることはなく、アクセスできなくなります。このドメインまたはURLへのHTTPSリクエストを常にトンネリングするには、ドメインまたはURLを選択して [[トンネルドメイン] リストに追加] をクリックします。このドメインまたはURLへのHTTPSリクエストを設定済みのTMWSaaSポリシールールに従って常に検査するには、ドメインまたはURLを選択して [[例外] リストに追加] をクリックします。

タスク

詳細

失敗したHTTPSアクセスの詳細を確認する

[ドメイン名] でドメインまたはURLをクリックします。

ユーザ名: ドメインまたはURLへのHTTPSリクエストを開始したユーザ。
警告: HTTPS復号が失敗した理由。
生成時間: HTTPS復号に失敗した日時。

ドメインまたはURLを [トンネルドメインリスト] または [例外リスト] に追加する

TMWSaaSのエラーが原因でHTTPSリクエストを復号できなかった場合、対象のドメインまたはURLは自動的に [トンネルドメインリスト] に一定期間追加されます。その間、HTTPSトラフィックは復号されません。

注:

HTTPSリクエストがブロックするURLリストまたはクラウドアクセスルールによってブロックされた場合は、対象のドメインまたはURLは、自動的に [トンネルドメインリスト] に追加されることはなく、アクセスできなくなります。

このドメインまたはURLへのHTTPSリクエストを常にトンネリングするには、ドメインまたはURLを選択して [[トンネルドメイン] リストに追加] をクリックします。
このドメインまたはURLへのHTTPSリクエストを設定済みのTMWSaaSポリシールールに従って常に検査するには、ドメインまたはURLを選択して [[例外] リストに追加] をクリックします。

[保存] をクリックします。