Ver8.0 SP2へのバージョンアップにより、運用に影響が発生する可能性のある項目について記述します。
8-1. 注意事項
バージョンアップ時の注意事項について、以下の弊社FAQに詳細を記載した資料が掲載されていますので、ご参照の上別途設定 を行なってください。
No.2244「バージョンアップ時の注意点などありますか?」
http://support.alsi.co.jp/faq_detail.html?id=2244&category=
● Ver8.5 SP2に追加された機能につきましては、WebFilterの管理者マニュアルをご参照の上、必要に応じて別途設定を行って
ください。
8-2. バージョンアップによる機能追加
Ver8.5からVer8.5 SP2へのバージョンアップにより追加された機能の概要を一覧にまとめました。
表 8-1
項目 内容
新機能
上位プロキシ指定の拡張(Proxy版のみ)
上位プロキシ指定機能の拡張を行いました。
・グループ
・宛先ホスト
・宛先IPアドレス
・リクエスト元IP
・各サーバ(マスタ/スレーブ)
ごとに上位プロキシを指定する事が可能です。
条件が重複する場合は優先順位が高い設定(並び替え可能)が適用されます。
SNMPエージェント SNMP により、InterSafe WebFilter の稼働状況を取得する事が可能です。ポート 番号はデフォルトでUDP:10161を使用します。
フィルタリングバイパス設定(Proxy版のみ)
特定の宛先ホストまたは User-Agent のリクエストをフィルタリングの対象から外 すことが可能です。バイパスされたリクエストはログに出力されません。HTTPS解 析を行った詳細URLは対象外です。HTTP Over FTPは対象外です。
コンテンツキャッシュ(Proxy版のみ) Webコンテンツをキャッシュします。
サイバー攻撃対策製品との連携(Proxy版のみ) FireEyeと連携可能になります。
管理画面
管理画面の拡張
管理画面から設定できる項目を追加しました。
・セーフサーチロック(Proxy版のみ)
・HTTP接続禁止ポート番号
・HTTPS接続許可ポート番号
・フィルタリングサービスクライアントIPアドレス制限
・GoogleApps機能設定(Proxy版のみ)
・保存復旧設定の最大保存件数
・ディスク残量警告設定
・認証除外User-Agent
・認証除外宛先ホスト HTTPS 通信時のタイムアウト処理(Proxy 版の
み) HTTPS通信時のタイムアウト時間を管理画面から設定できるようになりました。
サービスフィルタ Webサービス単位のフィルタリングが可能です。
例外URL
規制専用カテゴリの新設 規制を優先するカテゴリです。
例外URLの自動削除 有効期限が過ぎた例外URLを自動的に削除します。
例外URLのホスト単位での登録
複数のプロトコル・ポート番号を持つホストについてホストのみを記載することで すべてのプロトコル・ポート番号が対象となります。
例外URLの自動削除
URLを記載したファイルを指定した場所に指定のフォーマットで保存することで自 動的に例外URLに登録します。
認証機能
ケルベロス認証(Proxy版のみ) Kerberos認証によるシングルサインオンに対応します。
LDAP連携機能冗長化
LDAP サーバ設定の冗長構成に対応し、LDAP サーバが停止していた場合に認 証先が切り替わるようになりました。その際に認証を行う LDAP サーバの優先順 位を設定する事が可能です。
規制画面
スレーブ規制画面 規制画面のサーバ指定をマスタ/スレーブ別に指定できるようになりました。
グループ管理
グループ作成の改善 新規作成グループを作成する際に、親グループに適用されているルールのコピ ーまたは参照を選択できるようになりました。
ログ管理
ログの追加
処理失敗時に下記の情報をnotice.logに出力します。
・失敗時の補助情報出力の有効化設定
・アカウント認証の失敗時の宛先ホスト、User-Agentの出力
・HTTPSデコード失敗時の宛先ホスト、User-Agentの出力(Proxy版のみ) HTTPS解析機能(Proxy版のみ)
デコード対象URL 特定のホストを指定してHTTPS解析を行うことが可能になります。
管理画面で従来の方式と切り替えることが可能です。
カテゴリごとのデコード カテゴリごとにデコードのON/OFFが可能です。
透過プロキシ環境でのHTTPSデコード対象 透過プロキシ環境でHTTPSデコードを有効にできます。
その他
サポート補助機能 再起動を行わないでデバッグモードに切り替えられるようになりました。(フィルタリ ングサービスのみ対象)
CONNECT通信時のセキュリティ対応(Proxy版) CONNECTの初期通信中にSSL/TLS通信以外のプロトコルを検知してフィルタリ ングが可能です。
8-3. 設定ファイルの違い
Ver8.0~Ver8.5 SP2の設定ファイルの初期値の違いについて一覧にまとめました。(☆・・・Proxy版のみ ★・・・ICAP版のみ)
表 8-2
項目名 Ver8.5 SP2 Ver8.5 SP1 Ver8.5 Ver8.0 内容
[SYSTEM_GLOBAL] セクション
MAX_JVHEAP 256 256 128 128 プロキシプロセスが使用するJava最大ヒープメモリサイズ。
CACHE_PORT 5963 5963 5963 なし NsCache各プロセスは本ポート番号を用いて通信用ポート番号 NsCacheへの接続を行う。
[CONNECTION_CFG] (☆) セクション
DATATUNNEL_TIME
OUT 90000 90000 なし なし HTTPSプロキシへのCONNECT後のトンネリング通信時のタイ
ムアウト値。0の場合はタイムアウトしない。単位はミリ秒
ALLOW_GROUP_PR
OXY FALSE FALSE なし なし
グループ毎に上位プロキシ設定の許可を設定するフラグ。
TRUE : グループ毎に上位プロキシ設定を許可し、設定された
プロキシを使用する。
FALSE : グループ毎の上位プロキシ設定を禁止し、設定され
ていたプロキシは使用しない。
DNSRESOLVEWAR
N_TIMEOUT 15000 15000 なし なし
ホスト名正引き時の警告ログ用タイムアウト値。
ホスト名の正引きの経過時間がこの設定値を超えた場合に警 告ログを出力する。0の場合は出力しない。単位はミリ秒 SERVERCONNECT
WARN_TIMEOUT 15000 15000 なし なし
上位サーバへ接続する際の警告ログ出力用タイムアウト値。
上位サーバへ接続する際の経過時間がこの設定値を超えた場 合に警告ログを出力する。0の場合は出力しない。単位はミリ秒
BUFF_POST 8192 なし なし なし
上位サーバへPOST/PUT転送を行う際の受信バッファのサイ ズ
※上りの転送時に使用され、下りの転送時は通常と同様に BUFF値が使用される。
※0が指定された場合はBUFFの値と同じ数値を使用する。
SERVER_TCPNODE LAY
TRUE なし なし なし
上位側とのTCP接続のTCPNODELAYの設定 TRUE:有効にする。
FALSE:無効にする。
※TRUEの場合、連続する小さいパケットの送信を遅延する
Nagleアルゴリズムが無効化され、逐次送信する。
※FALSEの場合、逆で、Nagleアルゴリズムが有効化され、遅延 送信する。
CLIENT_TCPNODEL
AY TRUE なし なし なし
下位側とのTCP接続のTCPNODELAYの設定 TRUE:有効にする。
FALSE:無効にする。
※TRUEの場合、連続する小さいパケットの送信を遅延する
Nagleアルゴリズムが無効化され、逐次送信する。
※FALSEの場合、逆で、Nagleアルゴリズムが有効化され、遅延 送信する。
KEEPALIVE_TIMEO
UT_MODE ADJUST なし なし なし
上位からの応答にKeep-Aliveヘッダが存在し、Timeout値が指 定されている場合の動作の設定
IGNORE : Keep-Aliveヘッダは修正せずに、後続のリクエストの 受信タイムアウトにCLIENT_TIMEOUTを使用する。※SP1互換 動作
DELETE : Keep-Aliveヘッダを削除し、後続のリクエストの受信 タイムアウトにCLIENT_TIMEOUTを使用する。
ACCEPT : Keep-Aliveヘッダは修正せずに、後続のリクエストの 受信タイムアウトをヘッダに指定されていた値を使用する。
FORCE : Keep-Alive ヘ ッ ダ を 修 正 し 設 定 さ れ た 固 定 値 を
Timeoutに記述する。後続のリクエストの受信タイムアウトも設
定された固定値(FORCE_KEEPALIVE_TIMEOUT)を使用する。
ADJUST: 通常時はIGNOREで動作し、デコード時と上位サーバ でSPNEGOの場合はACCEPTで動作する。
FORCE_KEEPALIVE_
TIMEOUT 5 なし なし なし
KEEPALIVE_TIMEOUT_MODEがFORCEの場合のTimeout値を 設定(単位は秒)
上位からの応答にKeep-Aliveヘッダが含まれており、Timeout 値が設定されていた場合に、その値をこの設定値に補正する。
SNI_CAPABLE_UA TLS/SSL
Client なし なし なし HTTPSンションが取得できた場合の疑似透過プロキシの疑似CONNECTUser-Agent処理時のの設定。 SNIエクステ UNSUPPORTED_SNI
_UA
Unknown Protocol Client
なし なし なし HTTPSロコルの場合の疑似透過プロキシの疑似User-AgentCONNECTの設定。 処理時の判別不能なプ
DISABLE_OTHER_P
ROTOCOLS FALSE なし なし なし
HTTP/2 及び QUICの利用を抑制します。
TRUEの時、平文のHTTP/1.1のサーバからのレスポンスHTTP ヘッダに含まれる
Alternate-Protocolヘッダ Alt-Svcヘッダ Upgradeヘッダ
項目名 Ver8.5 SP2 Ver8.5 SP1 Ver8.5 Ver8.0 内容
[LOG_CFG] セクション
LOG_ROTATE 1 1 1 0
ログのローテートのタイミングの設定。
0 : [LOG_CFG]LOG_MAXで設定したサイズを超えた時、ローテ ート。
1 : 日付が変わる毎に、ローテート。
2 : 週が変わる毎に、ローテート。(日曜日)
3 : 月が変わる毎に、ローテート。
LOG_MAX_LIMIT TRUE TRUE TRUE なし FALSEの場合、2G上限による自動ローテートを実施しない TUREの場合、2G自動ローテートを実施
LOG_CTG_HTTPS_U
RL_OUTPUT ALL ALL ALL なし
HTTPSデコード機能にて、HTTP/POSTログにパス部を出力す
るカテゴリIDの一覧。
","区切りで小カテゴリのID(XXYY)を列挙。
ALL:全カテゴリIDの列挙と等価 LOG_TYPE_CONTEN
TTYPE FALSE なし なし なし
LOG_TYPE の 判 定 時 に[MIME-TYPE]と レ ス ポ ン ス ヘ ッ ダ の Content-Typeを判定対象とする。
TRUE:レスポンスヘッダのContent-Typeを対象とする。
FALSE:レスポンスヘッダのContent-Typeを対象としない。
[BLOCK_CFG] セクション
HTTPS_DECODE_LI
ST_MATCH (☆) DENY DENY なし なし
HttpsDecodeListファイルに定義されているホスト名に対するデ コード動作を設定する。
ALLOW:ファイルに定義されているホストのデコードのみ許可す る。
DENY リストに定義されているホストのみデコードの対象から除 外する。
PRIORITYCATEGOR Y_INCLUDE_CASCA DE
FALSE FALSE なし なし
カスケードマッチによって付与されたカテゴリも優先カテゴリの対 象にするかを設定する。
TRUE:対象にする FALSE:対象にしない
PRIORITYCATEGOR
Y_INCLUDE_USRDB FALSE FALSE なし なし
例外URLによって付与されたカテゴリも優先カテゴリの対象にす るかを設定する。
TRUE:対象にする FALSE:対象にしない
BLOCK_TUNNEL_PR
OTOCOL (☆) 1 なし なし なし
CONNECTのトンネリング通信の開始時のプロトコルチェックを
実施するかの設定 0: 実施しない。
1: 実施する。
2: 実施する。(SSLv3を遮断する) 3: 実施する。(SSLv3とTLS1.0も遮断する) 不明プロトコルの場合は接続が切断される。
※規制画面は表示できないため切断となる。
BLOCK_INVALID_SN I (☆)
TRUE なし なし なし
CONNECTリクエストのホスト名とSNIのホスト名の正常性チェッ クを実施するかの設定
FALSE: 実施しない。
TRUE: 実施する。
不一致の場合は接続は切断される。
※規制画面は表示できないため切断となる。
HTTPS_DECODE_EX
CLUDE_CTG (☆) - なし なし なし
HTTPSデコード機能にて、デコードから除外するカテゴリIDの
一覧。
","区切りで小カテゴリのID(XXYY)を列挙。
ALL:全カテゴリIDの列挙と等価
BLOCK_CHUNKED_
POST 2 なし なし なし
Transfer-Encodeing: chunkedのPOST/PUTのリクエストの動作 を設定する。
0: 転送しない。(下位互換動作)
1: 無条件で上位に転送する。(規制処理対象外となる) 2: 書き込み規制が設定されている場合はサイズによらず規制 対象とする。それ以外の場合は転送する。
3: 書き込み規制の設定値を超えるまでは転送し、設定サイズを 超えた時点で規制対象とする。
[MANAGEMENT_CFG] セクション
CONFIG_AUTO_SYN
C TRUE TRUE TRUE なし
スレーブサーバ同期設定 TRUE:自動で同期する。
FALSE:自動で同期しない。
MAX_EXURL_REG 10000 なし なし なし
システム全体で登録可能な例外URLの上限値
上限値を100000とし、これを超える値が設定された場合は上限
値10000が使われる。