購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
3361
閲覧回数
5
いいね!
0
コメント

[Secure Endpoint] ConnectorのCloudへのアクセスのためのProxy/DNS/Firewall設定について

Kenichiro Kato
Cisco Employee
Cisco Employee

‎2016-04-22 07:34 PM - 最終編集日: ‎2025-01-24 10:15 PM 、編集者: Level 8

     

    はじめに

    ConnectorはFile Hashのマルウェア確認やソフトウェアアップデートのために、Internet上のCloudサーバと通信が必要になりますが、自動的にProxyサーバを検出する仕組みを備えております。そのためファイアウォールやProxyサーバにてインターネットへのアクセスを制限している場合に注意が必要であり、適切な通信許可を行う必要があります。
    本記事では、ConnectorがどのようにProxyサーバを選択し、どのようにFirewallで通信許可を行う必要があるかを説明いたします。

     

     

    前提条件

    • Connectorが接続するInternet上のCloudサーバはTechNotesを参照ください。
    • Windows 11 / Connector 8.4.3.30374にて確認しております。
    • 本内容は2025/1時点の情報です。実装は将来的に変更される可能性もございます。

     

     

    Proxyの選択

    ConnectorはCloud上の各サーバにアクセスする際、Proxyサーバを経由してアクセスするか、使わずに直接アクセスするかを判断します。
    Connectorは以下の優先順位でProxyサーバを参照し、Proxyサーバを参照できない場合に、Proxyなしの直接アクセスを行います。
    優先度の高いProxyにアクセス不可能な場合、自動的に優先度の低いProxyに切り替わる動きであるため、業務PCを外出先等でInternet接続する場合等も、自動的にProxyを切り替え、適切にCloudを参照することが可能です。

     

    Proxy選択の優先度

    ConnectorによるProxy自動選択の優先度は以下の順番となります。Proxyが自動選択で検出されない場合、直接接続となります。

     

    PolicyによるProxyサーバ設定/PAC設定

    以下、PolicyによるProxyサーバ設定と、PAC設定の手順を説明します。

    Secure Endpoint Consoleにログインし、Management -> Policiesを実行し、対象となるPolicyを選択し、Editをクリックします。

    takhara_0-1737691785607.png

     

    Proxyを選択し、以下必要な設定をします。

    takhara_0-1737694777412.png

     

    基本的な設定として、ProxyのIP/Hostname、Proxyの待ち受けPort、ProxyのType(通常はHTTP)を設定します。User Name / PasswordはProxyで認証を行っていなければ入力不要です。

    また、PACを使用する場合は、PACのURLを設定します。

    設定完了後、Saveをクリックし、PC上のpolicyを更新して、設定完了となります。

     

    Local PCのProxyサーバ使用時の注意

    Windows PCのProxy設定は注意が必要です。ブラウザのProxy設定は、Connectorから参照できません。PCの管理者権限で全体に反映させた設定(System Proxy)である必要があります。

    システム全体に反映させる方法はいくつかございますが、本記事ではWinhttpで設定する方法を紹介します。

    以下のコマンドでSystem Proxyを設定し、Connectorに参照させることが可能です。

    (cmdは、管理者権限で実行する必要があります。)

    netsh winhttp set proxy <proxyservername>:<portnumber>

    C:\Windows\system32>netsh winhttp set proxy 1.1.1.1:8989

     

     

    DNSの選択方法

    Connectorが接続するサーバに対するDNS名前解決は、ブラウザによるHTTP接続と異なり、デフォルトではLocal PCに設定されたDNSサーバを参照して、Proxyサーバ経由でCloudサーバへの接続を試みます。

    デフォルト動作では、Local PCに設定されたDNS名前解決に失敗した場合、Proxyサーバでの名前解決に自動的に切り替えられます。

    ただし、Policy上で以下、Use Proxy server for DNS Resolution(デフォルト無効)を有効にすることで、最初から名前解決をProxyサーバで行うことが可能です。

    takhara_1-1737694839056.png


    しかし、Use Proxy Server for DNS Resolutionにチェックを入れた場合、Local PCのDNS設定を参照しなくなるため、ProxyサーバでDNS名前解決できない場合は、ConnectorをCloudに接続することが出来ません。

     

     

     

    Firewall/Proxyの許可ルールについて

    Firewall/Proxyで許可が必要なCloud上のサーバ(FQDN)とPortについては、以下をご参照ください。

    Required Server Addresses for Proper Cisco Secure Endpoint & Malware Analytics Operations

    その上で、設定すべき許可ルールはConnectorがインストールされたPCと、Proxyサーバ、DNS、Firewallの設置場所によって異なります。

    以下、その典型的なパターンについて説明します。

    ※下記はDNS名前解決が出来ている前提での説明となっておりますので、必要に応じて、DNS名前解決のFirewallのルール(UDP53)を追加してください。

    パターン 許可が必要なルール
    PCとProxyの間にFirewallが設置 PCからProxyサーバの待ち受けポートのみ、許可ルールを設定
    PC/ProxyとInternetの間にFirewallが設置

    上記リンクに掲載されたサーバ群への許可ルールを設定。

    注意事項として、Cloudサーバは動的IPを含むため、IPアドレス変更によるFirewallルール更新が必要な場合があります。
    ProxyでURL Filterが設定 上記リンクに記載されたFQDNに対して許可ルールを設定

     

    Getting Started

    検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

    シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

    Customers Also Viewed These Support Documents