購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
13580
閲覧回数
6
いいね!
0
コメント

Umbrella: SIG が使用するグローバル IP アドレスについて

tkitahar
Cisco Employee
Cisco Employee

‎2023-02-08 04:02 PM ‎2025-02-07 12:55 AM 更新

 

2025 2 月 6 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、Umbrella SIG (Secure Internet Gateway) サービスで使用されるグローバル IP アドレスについて紹介します。

 

2. SIG のグローバル IP アドレス

 

Umbrella はもともとパブリック DNS サーバー (208.67.222.222/208.67.220.220) を利用した DNS セキュリティ サービスでしたが、その後、クラウド上で動作する Web フル プロキシ サーバー (Secure Web Gateway: SWG) およびクラウド上で動作するファイアウォール (Cloud-Delivered Firewall: CDFW) が導入されました。

 

これらの後発の 2 つのサービスのことをまとめて SIG と呼んでおり、SIG を利用するには、基本的に “SIG” を冠する専用のサブスクリプション契約が必要となります。

 

SIG はユーザーが行うインターネット通信の仲介役を果たしているため、基本的に、クライアント (送信元) が外部に対して送った通信はまず SIG に到達し、その後、SIG から目的のサーバー (送信先) へ送られます。

 

tkitahar_0-1675836947813.png

 

現在、Umbrella サービス全体で以下の IP アドレス空間を保持していますが、SIG はこの中の一部のグローバル IP アドレスをこれらの通信のために使います。

 

67.215.64.0/19
146.112.0.0/16
151.186.0.0/16
155.190.0.0/16
185.60.84.0/22
204.194.232.0/21
208.67.216.0/21
208.69.32.0/21

 

では、 クライアントから SIG への通信、および SIG から目的のサーバーへの通信で使われる具体的なグローバル IP アドレスを次項以降で見ていきます。

 

3. クライアントから SIG への通信の送信先 IP アドレス

 

CDFW を利用する場合、組織側のルータと SIG の間でネットワークトンネルを構築する必要がありますが、この時の送信先のグローバル IP アドレスは以下の公開文書に記載があります。

 

Connect to Cisco Umbrella Through Tunnel

https://docs.umbrella.com/umbrella-user-guide/docs/cisco-umbrella-data-centers

 

一方、SWG への送信先には、proxy.sig.umbrella.com (または swg-url-proxy-https.sigproxy.qq.opendns.com) というドメインが指定されています。このドメインの名前解決をする際、ドメインを管理する権威 DNS サーバーは、DNS リクエストが送られてきた地域を識別し、その最寄りのデータセンターのグローバル IP アドレスを返します。

 

なお、SWG の送信先 IP アドレスは、今後、拡張されることが予想されており、あらかじめ組織内のファイアウォールなどで、前項で述べた Umbrella 全体の IP アドレス空間を許可しておくことが推奨されています。詳しくは、以下のサポート文書を参照してください。

 

What IPs and Domains Should Be Allowed in Customer Firewalls for Secure Web Gateway?

https://support.umbrella.com/hc/en-us/articles/360047136412-What-IPs-and-Domains-Should-Be-Allowed-in-Customer-Firewalls-for-Secure-Web-Gateway

  

4. SIG から目的のサーバーへの通信の送信元 IP アドレス

 

SIG から目的のサーバーへの通信の送信元 IP アドレスは、以下の公開文書に記載があるとおり、決められた 3 つのネットワーク セグメントの中から無作為に選ばれます。

 

Cisco Umbrella SIG User Guide - Welcome to Cisco Umbrella

https://docs.umbrella.com/umbrella-user-guide/docs

> Public IP traffic from SIG will come from 146.112.0.0/16, 151.186.0.0/16, and 155.190.0.0/16.

 

そのため、目的のサーバー上で IP アドレスの制限を行っている場合、これらの IP アドレス空間からのアクセスを許可する設定をしておく必要があります。

 

なお、SIG からの Web 通信のグローバル IP アドレスを固定化したい場合のために、Reserved IP という機能が用意されています (追加の契約が必要)。詳しくは以下の公開文書を参照してください。

 

Cisco Umbrella SIG User Guide - Reserved IP

https://docs.umbrella.com/umbrella-user-guide/docs/reserved-ip

 

また、Reserved IP と類似した IP Persistent という機能もあり、こちらは、Web 通信の "セッション" が続く間は、同一のグローバル IP アドレスを使用し続けるというもので、デフォルトで有効になっています。詳しくは以下のサポート記事を参照してください。

 

SWG: IP Persistence

https://support.umbrella.com/hc/en-us/articles/360059095552-SWG-IP-Persistence

 

5. IP 確認サイト上での見え方について

 

SWG を使用しているクライアントが、自身のグローバル IP アドレスを確認するサイトを開いた際、一般的に、画面には SWG のグローバル IP アドレス (IP アドレスの所有者は Cisco Umbrella または OpenDNS) が表示されます。

 

ただし、いくつかのサイトでは、クライアントに割り振られているグローバル IP アドレス (IP アドレスの所有者は個人や組織が契約しているサービスプロバイダ) が表示される場合があります。

 

これは、SWG が目的のサーバーに Web リクエストを送信する際、X-Forwarded-For (XFF) という HTTP ヘッダーにクライアントに割り振られているグローバル IP アドレスを書き込んでいるためです。この動作の目的については、以下のサポート文書を参照してください。

 

How Does Umbrella's Geo-Location Support for Google Work

https://support.umbrella.com/hc/en-us/articles/4407444615956-How-Does-Umbrella-s-Geo-Location-Support-for-Google-Work

 

つまり、IP 確認サイトは、パケットの送信元 IP アドレスと XFF の情報、2 種類の IP アドレスを知ることができます。そして、このうちのどちらの IP アドレスが画面に表示されるかは、そのサイトの実装に依存しており、Umbrella 側がコントロールしているものではありません。

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents