HTTPSサイトの特定のURLのみアクセスを拒否する (5.9&6.2)
Description
HTTPSサイトはDPI-SSL機能と併用することでアクセス制御が可能です。
本記事では「https://www.facebook.com/Sonicwall/」にはアクセスを禁止し、「https://www.facebook.com/」にはアクセスを許可する例をご紹介します。
-kA1VN0000000Bzc0AE-0EMVN00000EnhS2.png)
TIP: 下記KBも参考ください
アプリケーションルールを使用してあるサイトへのアクセスをブロックするときに、特定のURL(ページ)だけはアクセスを許可する方法(SonicOS 5.9.0)
Resolution
アプリケーションルール:
a.禁止するURLの一致オブジェクトの作成
1. ファイアウォール > 一致オブジェクトに移動します
2. 一致オブジェクトの作成をクリックします
------------------------------
オブジェクト名:Forbidden specified sites
一致オブジェクト種別:HTTP URL
一致種別:完全一致
入力形式:英数字
不一致検索を有効にする:なし
リスト:www.facebook.com/SonicWall/
-kA1VN0000000Bzc0AE-0EMVN00000EnhSB.png)
b.アプリケーションルールの作成
3. ファイアウォール > アプリケーションルールに進みます。
4. アプリケーションルールを有効にするにチェックを入れます。
-kA1VN0000000Bzc0AE-0EMVN00000EnhS3.png)
5. 「ポリシーを追加する」をクリックします
------------------------------
ポリシー名:Block facebook specified sites
ポリシー種別:HTTPクライアント要求
一致オブジェクト:/包含:Forbidden specified sites 一致オブジェクト:/除外:なし
動作オブジェクト:リセット/破棄
接続側:クライアント側
方向:基本/送信
-kA1VN0000000Bzc0AE-0EMVN00000EnhS9.png)
DPI-SSLクライアントの有効化:
-kA1VN0000000Bzc0AE-0EMVN00000EnhSD.png)
NOTE: 設定を反映にするためには装置の再起動が必要です
1. DPI-SSL > クライアントSSLに進みます。
2. 一般設定にて、「SSLクライアント検査を有効にする」、「アプリケーションファイアウォール」にチェックを入れ、適用をクリックします。
-kA1VN0000000Bzc0AE-0EMVN00000EnhS5.png)
3. 証明書再署名の認可の証明書:ダウンロードにてルート証明書をダウンロードします。
ダウンロードした証明書はクライアントの信頼されたルート証明書機関にインポートします
-kA1VN0000000Bzc0AE-0EMVN00000EnhSF.png)
EXAMPLE: Windowsの場合のインポート例
ダウンロードした証明書ファイルを右クリックし、証明書のインストールをクリックします。
証明書のインポートウィザードの開始にて、証明書をすべて次のストアに配置するにチェックを入れ、参照から信頼されたルート証明書機関を選択し次へをクリック、完了をクリックします。
テスト:
1. 「https://www.facebook.com/」へのアクセスは成功します。
-kA1VN0000000Bzc0AE-0EMVN00000EnhS7.png)
2. 「https://www.facebook.com/Sonicwall/」へのアクセスは失敗します。
-kA1VN0000000Bzc0AE-0EMVN00000EnhSH.png)
