Firepower Management Center バージョン 6.0 コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年12月13日
章のタイトル: HTTP 応答ページとインタラクティブ ブロッキング
HTTP 応答ページとインタラクティブ ブロッキング
ここでは、システムが Web 要求をブロックしたときに表示されるカスタム ページの設定方法について説明します。
HTTP 応答ページについて
アクセス制御の一部として、アクセス コントロール ルールあるいはアクセス コントロール ポリシーのデフォルト アクションを使って、システムが Web リクエストをブロックしたときに表示する HTTP 応答ページを設定できます。
システム提供の汎用応答ページを選択するか、カスタム HTML を入力できます。表示される応答ページはセッションのブロック方法によって異なります。
-
ブロックまたはリセット付きブロックの場合、ブロックされたセッションはタイムアウトするかリセットされます。ブロック応答ページにより、接続が拒否されたことを示すデフォルトのブラウザ ページまたはサーバ ページは上書きされます。
-
インタラクティブ ブロックまたはリセット付きインタラクティブ ブロックの場合、システムはインタラクティブ ブロック応答ページを表示してユーザに警告しますが、ユーザはボタンをクリック(あるいはページを更新)して要求したサイトをロードできます。応答ページをバイパスした後、ロードされなかったページの要素をロードするために、ページを更新しなければならない場合があります。
システムが Web トラフィックをブロックしたときに必ず HTTP 応答ページが表示されるわけではありません。HTTP 応答ページの制限を参照してください。
HTTP 応答ページの制限
アクセス コントロール ルール以外の設定
システムは、アクセス コントロール ルールまたはアクセス コントロール ルールのデフォルト アクションのいずれかによってブロックされた(またはインタラクティブにブロックされた)暗号化されていない接続または復号された接続の場合にのみ、応答ページを表示します。次の場合、システムは応答ページを表示しません。
-
セキュリティ インテリジェンスによってブラックリストに載せられた接続
-
SSL ポリシーによってブロックされた暗号化接続
プロモートされたアクセス コントロール ルール
Web トラフィックがプロモートされたアクセス コントロール ルール(単純なネットワーク条件のみの早期に適用されたブロッキング ルール)の結果としてブロックされている場合、システムは応答ページを表示しません。
URL 識別の前
システムは、システムが要求された URL を識別する前にトラフィックがブロックされた場合は、応答ページを表示しません。URL フィルタリングの制限を参照してください。
暗号化されたトラフィック
HTTP 応答ページの選択
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
HTTP 応答ページを確実に表示できるかは、ネットワーク設定、トラフィック負荷、およびページのサイズによって異なります。ページが小さいほど、正常に表示される傾向にあります。
)をクリックすると、このページのコードが表示されます。
)をクリックして置換または変更できます。カウンタで使用した文字数が表示されます。次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
HTTP 応答ページでのインタラクティブ ブロッキング
インタラクティブ ブロッキングを設定すると、ユーザは警告を読んだ後に当初要求したサイトを読み込むことができます。応答ページをバイパスした後、ロードされなかったページの要素をロードするために、ページを最新表示しなければならない場合があります。
 ヒント | アクセス コントロール ポリシー全体に対してインタラクティブ ブロッキングを素早く無効にするには、システム提供のページもカスタム ページも表示しないでください。そうすると、システムにより操作なしですべての接続がブロックされます。 |
ユーザがインタラクティブ ブロックをバイパスしない場合、一致するトラフィックは拒否され、追加のインスペクションは行われません。ユーザがインタラクティブ ブロックをバイパスするとアクセス コントロール ルールはトラフィックを許可しますが、引き続きトラフィックはディープ インスペクションやブロッキングの対象となる場合があります。
デフォルトでは、ユーザのバイパスは後続のアクセスで警告ページを表示することなく、10 分(600 秒)間有効です。期間を 1 年に設定したり、ユーザに毎回ブロックをバイパスするように強制できます。この制限は、ポリシー内のすべてのインタラクティブ ブロック ルールに適用されます。ルールごとに制限を設定することはできません。
インタラクティブ ブロックされるトラフィックに関するロギング オプションは、許可されたトラフィックに関するオプションと同じですが、ユーザがインタラクティブ ブロックをバイパスしない場合、システムがログに記録できるのは接続開始イベントだけです。システムが最初にユーザに警告すると、ロギングされた接続開始イベントはシステムにより [インタラクティブ ブロック(Interactive Block)] または [リセットしてインタラクティブ ブロック(Interactive Block with reset)] アクションでマークされます。ユーザがブロックをバイパスすると、セッションが記録される追加の接続イベントに [許可(Allow)] アクションが付きます。
インタラクティブ ブロッキングの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin |
| ステップ 1 | アクセス コントロールの一部として、Web トラフィックと一致するアクセス コントロール ルールを設定します。アクセス コントロール ルールの作成および編集を参照してください。
|
| ステップ 2 | (オプション)アクセス コントロール ポリシーの [HTTP 応答(HTTP Responses)] タブで、カスタム インタラクティブ ブロックの HTTP 応答ページを選択します。HTTP 応答ページの選択を参照してください。 |
| ステップ 3 | (オプション)アクセス コントロール ポリシーの [詳細(Advanced)] タブで、ユーザのバイパス タイムアウトを変更します。ブロックされた Web サイトのユーザ バイパス タイムアウトの設定を参照してください。
ユーザはブロックをバイパスした後、そのページを参照でき、タイムアウト期間が経過するまで警告は表示されません。 |
| ステップ 4 | アクセス コントロール ポリシーを保存します。 |
| ステップ 5 | 設定変更を展開します。設定変更の導入を参照してください。 |
ブロックされた Web サイトのユーザ バイパス タイムアウトの設定
|
スマート ライセンス |
従来のライセンス |
サポートされるデバイス |
サポートされるドメイン |
アクセス(Access) |
|---|---|---|---|---|
|
任意(Any) |
任意(Any) |
任意(Any) |
任意(Any) |
Admin/Access Admin/Network Admin |
次の作業
-
設定変更を展開します。設定変更の導入を参照してください。
フィードバック