購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
4226
閲覧回数
5
いいね!
0
コメント

Umbrella: Web プロキシ使用時の注意事項について (後編)

tkitahar
Cisco Employee
Cisco Employee

‎2018-06-01 04:35 PM

 

※ 2018 年 6  日現在の情報をもとに作成しています

 

1. はじめに

 

前回の記事では、Umbrella と Web プロキシを併用する際の注意事項と、大きく以下の 2 つの対応策が考えられることについて述べました。

 

  • Web プロキシ サーバー側でも Umbrella を使うようにする
  • クライアント PC 側で DNS サーバーへの問い合わせを行わせる

 

今回の記事では、実装方法ごとの具体的な対応策について説明します。

 

2. Network

 

Network Identity にグローバル IP アドレスを登録して運用している場合、そのグローバル IP アドレスからUmbrella の DNS サーバー (208.67.222.222/208.67.220.220) に送られた DNS リクエストは Umbrella によって守られることになります。

 

そのため、下図のように Web プロキシ サーバーの DNS サーバーの設定を Umbrella の DNS サーバーにしてしまえば問題はありません。

 

proxy2-3.png

 

なお、もし Web プロキシ サーバーの DNS サーバーの設定を変更することが難しい場合は、 後述する「クライアント PC で問い合わせを行わせる方法」を検討してください。

 

3. Roaming Computer

 

Roaming Computer (Roaming Client および AnyConnect Umbrella Roaming Security Module) はクライアント PC にインストールされ、クライアント PC 上 DNS リクエストを Umbrella DNS サーバーに転送します。

 

もし、このクライアント PC Web ブラウザで Web プロキシを設定すると、クライアント PC 上で DNS リクエストが発生しなくなるため、結果的に Umbrella によって守られません。

 

この場合の対応策としては、後述する「クライアント PC で問い合わせを行わせる方法」になります

 

4. Virtual Appliance

 

Virtual Appliance はクライアント PC からの DNS リクエストを Umbrella DNS サーバーに転送する役割をします。

 

もし、Web プロキシの設定によりクライアント PC DNS リクエストが発生しなくなると、Virtual Appliance 自体が使われず、当然 Umbrella によって守られません。

 

この場合の対応策も、後述する「クライアント PC で問い合わせを行わせる方法」になります。

 

なお、もう 1 つの対応策として、Web プロキシ サーバーの DNS サーバーの設定を Virtual Appliance に変更することが考えられますが、以下の図のように Virtual Appliance が受け取る DNS リクエストの送信元が全て Web プロキシ サーバーになってしまいます。

 

 proxy3.png 

 

これにより、送信元 IP アドレスをもとにした機能「Internal Networks」や「Active Directory Integration」による粒度の細かいポリシー設定やレポート表示機能が使えません

 

5. Network Device

 

ISR 4K ルーターなどの Network Device は、流れてくる DNS リクエストを Umbrella DNS サーバーに転送する機能を持ちます。

 

この場合の対応策も、後述する「クライアント PC で問い合わせを行わせる方法」になります。

 

なお、もう 1 つの対応策として、Web プロキシ サーバーからの DNS リクエストが Network Device を経由するように構成することが考えられますが、この場合も DNS リクエストの送信元が全て Web プロキシ サーバーとなり、Network Device Identity が備える粒度の細かいポリシー設定やレポート表示機能が使えません。

  

6. クライアント PC で問い合わせを行わせる方法

 

クライアント PC 側で DNS サーバーへの問い合わせを行わせる方法として、PAC (Proxy Auto-Configuration) ファイルを使う方法があります。

 

PAC ファイルとは、Web ブラウザのプロキシ設定画面で指定可能なスクリプト ファイルのことで、Web プロキシが使われるたびに自動的に実行されます。この PAC ファイルに以下の処理を含めることで、これを実現できます。

 

  • クライアント PC 上で DNS リクエストを行ってから、HTTP リクエストを Web プロキシ サーバーに送る
  • その DNS レスポンスが Umbrella IP アドレス (ブロック ページや Intelligent Proxy など) の場合、Web プロキシ サーバーを介さずに直接 HTTP リクエストを行う

 

このうち、後者が必要な理由としては、例えば、以下の図のようにクライアント PC にブロック ページの IP アドレスが返ってきた場合の配慮のためです。

 

proxy4.png 

この配慮をしないと、Web プロキシ サーバーでも DNS リクエストが行われ (4)、通常の IP アドレスが返ってきます (5)。そして、通常の Web サーバーに HTTP リクエストが送信されてしまい (6)、最終的にブロック ページが表示されません。

 

なお、以下のサポート文書には上記の処理を行うサンプルの PAC ファイルが記載されています。

 

Using Umbrella with an HTTP proxy

https://support.umbrella.com/hc/en-us/articles/230563527-Using-Umbrella-with-an-HTTP-proxy

 

また、上記の文書にはこれまで説明したような明示的に Web プロキシを使う場合の他に、経路にあるルーターが暗黙的に HTTP リクエストを Web プロキシ サーバーに転送する Transparent Proxy についての説明もあります。

ラベル:
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents