除外と包含の設定

既定では、DPI-SSL を有効にすると、それが装置上のすべてのトラフィックに適用されます。DPI-SSL 検査を適用するトラフィックを、以下のようにカスタマイズできます。

• 「除外/包含」リストで、除外/包含するオブジェクトとグループを指定します。
• 「コモンネーム」除外では、指定したホスト名が除外されます。
• 「CFS 種別基準の除外/包含」では、指定した種別が CFS 種別に基づいて除外または包含されます。

このカスタマイズにより、同じサーバ (証明書) でサポートされるドメインのリストに含まれているドメインに対する代替名の個別の除外/包含が可能になります。大量のトラフィックを処理する配備において、DPI-SSL が CPU に及ぼす影響を軽減し、DPI-SSL 検査の同時接続が最大数に達するのを防ぐために、信頼できる送信元を除外することが有効となる場合があります。

Google ドライブ、Apple iTunes、または証明書がピン留めされたその他任意のアプリケーションの使用時にファイアウォールで DPI-SSL が有効になっている場合、こうしたアプリケーションはサーバに接続できない可能性があります。アプリケーションが接続できるようにするには、関連するドメインを DPI-SSL から除外します。例えば、Google ドライブが機能するようにするには、以下のドメインを除外します。

.google.com

.googleapis.com

.gstatic.com

Google のすべてのアプリケーションは 1 つの証明書を使用しているので、これらのドメインを除外すれば各種 Google アプリケーションが DPI-SSL をバイパスできるようになります。

あるいは、クライアント マシンを DPI-SSL から除外します。

 

• オブジェクト/グループの除外/包含
• コモンネームによる除外/包含
• CFS 種別基準の除外/包含の指定
• コンテンツ フィルタ
• アプリケーション ルール