27-1. 概要
Zscalerは独自のエージェントソフトとして、Zscaler Appを公開しています。
本項では、Zscaler Appのインストール方法及び設定項目について説明します。
27-2. インストール方法
Windows
端末でのインストール方法 27-2-1.
Zscalerサービスポータルの「ポリシー」→「Zscalerアプリの設定」→「Zscalerアプリのポー
(1)
タル」をクリックし、Zscaler Appのポータルにアクセスします。
Zscaler Appのポータルの「Administration」→「Zscaler App Store」をクリックし、「Windows」
(2)
の該当バージョンのインストーラをダウンロードします。
93
ダウンロードしたファイルを解凍し、クライアント端末にインポートします。AD環境の場合、
(3)
GPO機能を使用してユーザに自動的に展開することができます。
MAC
端末でのインストール方法 27-2-2.
「Zscalerサービスポータルの「ポリシー」→「Zscalerアプリの設定」→「Zscalerアプリの (1)
ポータル」をクリックし、Zscaler Appのポータルにアクセスします。
Zscaler Appのポータルの「Administration」→「Zscaler App Store」をクリックし、「Mac OS
(2)
X」の該当バージョンのインストーラをダウンロードします。
ダウンロードしたファイルを解凍し、クライアント端末にインポートします。
(3)
94 Android
端末でのインストール方法 27-2-3.
Google Play Storeより「Zscaler」と検索し「Zscaler App」をインストールします。
(1)
95 iOS
端末でのインストール方法 27-2-4.
Apple Storeより「Zscaler」と検索し、「Zscaler App」をインストールします。
(1)
96
27-3. ForwardingProfile の設定
Zscaler Appのポータルにて「Administration > Settings > Forwarding Profile」からForwarding (1)
Profileの設定画面に遷移します。
「Add Forwarding Profile」をクリックし、新規プロファイルの設定を行います。
(2)
97
Profile Name: Forwarding Profileの名前を指定
Trusted Network Criteria: Trusted Networkを定義
DNS Servers:
クライアントが参照するDNSサーバのIPアドレスを基にTrusted
Networkに所属しているか判断します。
DNS Search Domains:
クライアントが参照する検索ドメイン情報を基に
Trusted Netwrokに所属しているか判断します。
Host Name and IP:
指定されたホスト名に対する名前解決のIPアドレスを基に
Trusted Networkに所属しているか判断します。
Forwarding Profile Action: 各NW帯においてのProxyアクションを設定
各Network帯の概要
On Trusted Network: 「Trusted Network Criteria」に定義したNW帯
VPN Trusted Network: VPN経由でアクセスしたTrusted Network(iosは非対応)
Off Trusted Network: Trusted Network以外のNW帯
Proxy方法の概要
Tunnel
Zscaler AppがZENと簡易的なHTTPトンネルを確立し、HTTP、HTTPS
トラフィックについてはトンネル経由でZENにフォワーディングされます。
ユーザ識別については、確立されたトンネルIDにて識別されます。
SSLバイパスの設定は適用されます。
Tunnel With Local Proxy
基本的にTunnelモードと同じ動作ですが、VPNクライアントソフトや他のProxyサー
バとの併用ができるようになります。
また当該モードを利用する際は参照する PAC ファイルでの Proxy 先を必ず変数
${ZAPP_LOCAL_PROXY}として設定する必要があります。
SSLバイパスの設定は適用されます。iOS及びAndroidでは利用できません。
98
Enforce PAC
指定したPACファイルをシステムプロキシとして強制的に参照させる設定です。
Zscaler Appを介した通信にならないため、ブラウザによるCookieベースのユーザ認証
が必要です。
iOS及びAndroidでは利用できません。
None
Zscaler AppによるProxyは発生しません。
ブラウザ等で別途Proxy設定が読み込まれている場合は、そちらの設定を参照するよう になります。
「Save」をクリックします。
(3)
Tunnel With Local Proxyで指定するPACファイルの設定
※指定するPACファイルについてはZscaler上にホスティングされている必要があります。
99
「管理 > PACファイル」よりPACファイルの追加および変更が可能です。
設定例
if ( shExpMatch(host, "www.dailymotion.com")) return "DIRECT";
---- > 「www.dailymotion.com」へのアクセスについては、直接アクセスする。
if (localHostOrDomainIs(host, "www.sanspo.com")) return “PROXY 52.229.160.222:8080”;
---- > 「www.sanspo.com」へのアクセスについては、
社内Proxyサーバ(52.229.160.222:8080)へProxyする。
return "PROXY ${ZAPP_LOCAL_PROXY}; DIRECT";
---- > その他のアクセスについては、Zscaler Appが確立したトンネル経由で
ZscalerにProxyする。
27-4. App Profile の設定
Zscaler Appのポータルにて「App Profile」からApp Profileの設定画面に遷移します。
(1)
100
App profileの追加ウィンドウで必要な項目を設定します。
(2)
Groups: Profileを適用するユーザグループを指定
Logout Password: アプリ上で認証ログアウトしようとした際に入力が必要なパスワード
Disable Password: アプリをDisableしようとした際に入力が必要なパスワード
Custom PAC URL: 宛先ノードを指定するためのPACファイルのURL
※Proxy除外の設定は適用されない
Forwarding Profile: App Profileに紐付けるForwarding Profileを指定
Install Zscaler SSL Certificate:
アプリインストール時にSSLクライアント証明書を自動インストールする設定
Log Mode: 内部に蓄積するログについて、ログモードの設定(推奨はDebug)
Log File Size in MIB: 内部蓄積するログの容量を指定
Disable Loopback Restriction:
「Forwarding Profile」の設定にて、「Tunnel With Local Proxy」を指定して いる時に、他アプリケーションの制約によるLoopback I/Fとの通信のブロ ックを回避
Override WPAD: 「Forwarding Profile」の設定にて、「Tunnel With Local Proxy」を指定して
101
いる時の、WPADによりインポートされたPACファイルの設定の上書き
Restart WinHTTP service:
「Forwarding Profile」の設定にて、「Tunnel With Local Proxy」を指定し ている時の、キャッシュされたWPADの設定削除とZscaler AppのProxy 設定の読み込み
「Save」をクリックします。
(3)
27-5. Zscaler App 操作方法
Zscaler App起動 27-5-1.
Zscaler Appを起動し、ログインIDを入力します。
(1)
102
ログインIDの入力後、パスワードを入力します。
(2)
パスワード入力後、ログインが完了しますので、「Username」が入力したユーザ名になって (3)
いるか確認してください。
103 Zscaler App
操作画面
27-5-2.
Username:Zscaler AppにログインしているユーザID情報
Status: 現在のNWステータス(Trusted Network/VPN Trusted Network/Off Trusted Network)
Turn OFF:クリックすることで一時的にZscalerへのProxyを無効化
Server: Tunnelの接続先ノードのIPアドレス
Client: Tunnelの接続元クライアントのIPアドレス
104
Export Logs: 内部蓄積されているログの出力(ENC形式)
※解凍できるのはZscaler TACエンジニアのみ
Restart Service: Zscaler Appの再起動
Repair App: アプリケーションの修復
Clear Logs: 内部蓄積されているログの削除
Log Mode: ログモードの選択(Error/Warn/Info/Debug)
Update App: 手動でのバージョンアップを実施
Update Policy: Appポリシーのアップデートを実施
無効なサーバ証明書のサイトをブロックしました:
無効なサーバ証明書のサイトへのアクセスをブロック
105 Zscaler App FAIL OPEN
の設定 27-5-3.
「Administration > Zscaler App Support > APP FAIL OPEN」をクリックします。
(1)
各項目を設定 (2)
「If Captive Portal Detected, then disable Web Security for」:
ホテルWifiなどを利用する際、ZscalerではCaptive Portalを検知し、ポータルでの認証を実施 できるよう、Zscaler AppにおけるProxyを一定時間停止。停止時間はデフォルトで10分に設定 されていますが、上記画面で変更可能
「If Zscaler Proxy Node (ZEN) is not reachable, then」:
Zscalerノードへのアクセス不可が発生した場合のトラフィック処理を選択
「If Zscaler App Tunnel Setup Fails, then」:
Tunnelの確立に失敗した際のトラフィック処理を選択