Acheter ou Renouveler
Acheter ou Renouveler
annuler
Activer les suggestions
La fonction de suggestion automatique permet d'affiner rapidement votre recherche en suggérant des correspondances possibles au fur et à mesure de la frappe.
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 
cancel
Créer un nouvel article
7493
Visites
15
Compliment
0
Commentaires

Umbrella: Intelligent Proxy の仕組みと対応するポート番号について

tkitahar
Cisco Employee
Cisco Employee

‎2018-01-18 05:54 PM - modifié ‎2019-07-16 05:38 PM

 

※ 2019 年 7 16 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、まず Intelligent Proxy の仕組みについて簡単に説明し、その後、Intelligent Proxy が対応するポート番号について説明します。

 

※ Intelligent Proxy を使用するには、Umbrella Insights 以上のサブスクリプションが必要です

 

2. Intelligent Proxy の仕組み

 

Umbrella の DNS サーバー (208.67.222.222/208.67.220.220) は、問い合わせのあったドメインの危険性を調べ、「白」の場合は通常の IP アドレスを、「黒」の場合はブロック ページ用サーバーの IP アドレスを返します。

 

pic1.png

 

この時、Activity Search レポートには、以下のようにドメイン白 (Allowed)黒 (Blocked) と判断されたことが記録されます。

 

ex1.png

 

もし、ポリシーで Intelligent Proxy を有効にした場合、通常「白」と判定されるドメインの中で、「危険性が疑われるが、その確証がないドメイン」または「正常な通信の中に危険性が高い通信が紛れ込む可能性のあるドメイン」を「グレー」と判定し、Umbrella クラウド上の Intelligent Proxy サーバーの IP アドレスを返します。

 

pic2.png

 

この時、Activity Search レポートには、以下のようにドメイングレー (Proxied) と判断されたことが記録されます。

 

ex2.png

 

これにより、グレーと判定されたドメインへのその後の通信は、すべてクラウド上の Intelligent Proxy サーバーに送られることになります。

 

Intelligent Proxy サーバーは文字通り「プロキシ サーバー」として動作します。送られてきた HTTP/S リクエストの URL から危険性を調べ、「白」と判定された場合、実際の Web サーバーに対して HTTP/S リクエストを行い、そのレスポンスをユーザーに返します。

 

flow2.png

 

この時、Activity Search レポートには、以下のように URL が白 (Allowed) と判断されたことが記録されます。

 

ex3.png

 

一方、URL の危険性が「黒」と判断された場合は、ブロック ページにリダイレクトされる HTTP レスポンスをユーザーに返します。

 

flow3.png 

 

この時、Activity Search レポートには、以下のように URL が黒 (Blocked) と判断されたことが記録されます。

 

ex4.png

 

なお、もしポリシーで「File Inspection」を明示的に有効にしている場合、実際の Web サーバーから返される HTTP レスポンスに含まれる「ファイル」の調査も行われるようになります。そして、このファイルの調査で「黒」と判定された場合は、同様にブロック ページがユーザーに返ります。File Inspection については、こちらの記事で別途紹介しています。

  

3. Intelligent Proxy が対応するポート番号

 

前項で説明したとおり、Intelligent Proxy サーバーは「プロキシ サーバー」として動作します。そのため、Intelligent Proxy が対応するポート番号は、TCP 80 と TCP 443 (ポリシーで SSL Decryption を有効にしている場合) のみとなります。

 

もし、TCP 80443 以外のパケットが Intelligent Proxy に送られてきた場合、それに対する応答は一切ありません。例えば、インターネット上にある SSH サーバーのドメインが「グレー」と判断される場合、その時に行われる SSH 通信 (TCP 22) Intelligent Proxy サーバーに向けて行われますが、Intelligent Proxy サーバーは応答を返さないため、結局 SSH 通信は失敗に終わります。

 

pic3.png

 

この場合の回避方法としては、当該のドメインをポリシーの Destination Lists の Allow Lists に加えることになります。

 

なお、補足となりますが、Roaming Client IP Layer Enforcement に関しては、ユーザーの通信が TCP 80443 以外であっても受け付けます。

 

4. 参考情報

 

Cisco Umbrella User Guide - Enable the Intelligent Proxy

https://docs.umbrella.com/product/umbrella/enable-the-intelligent-proxy/

 

Cisco Umbrella User Guide - Test the Intelligent Proxy

https://docs.umbrella.com/deployment-umbrella/docs/testing-the-intelligent-proxy

Étiquettes :
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents