2.10. SSLO Guided ConfigurationによるSSLOの設定¶
SSL Orchestrator >> Configuration を選択します。DNS と NTP と Route が Configure となっているのを確認し、Next ボタンを押します。
任意の名前 を設定し、SSL Orchestrator Topologiesとして、L3 Explicit Proxy を選択し、Save&Next ボタンを押します。
任意の名前 を設定し、右上の Show Advanced Setting をクリックし、Client-side SSL にて、利用したい TLSのバージョン を選択します。
CA Certificate KeyChain にて、既にインポート済みのCAファイルを選択して Done を押します。
Server-side SSL も同様に利用したい TLSバージョン を選択します。
期限切れの証明書や自己署名証明書に対しての動作も確認し、Save&Next を押します。
Add Service を押します。
Generic HTTP Service を選択し、Add ボタンを押します。
任意の名前 を設定します。
Service Definition にて、Auto Manage Addresses のチェックをはずし、SSLOからi-FILTER ProxyへHTTPトラフィックを転送するVLAN, Self IPの情報を入力します。 (ここでは、検証環境の都合でAuto Manage Addressesは利用しておりません。)
注釈
- SSL可視化ゾーン(ここではi-FILTER Proxy版)では、HTTPトラフィックは暗号化されておりませんので、第三者からのアクセスを避ける必要があります。そこで、SSLOでは、Auto Manage Addresses(RFC2544に定められているインターナル利用アドレス)をセキュリティ機器に利用頂くことを推奨しております。
i-FILTER Proxyのインライン側の IPアドレス と ポート番号 を入力し、Done を押します。
i-FILTER ProxyからSSLOへHTTPトラフィックを転送するVLAN, Self IPの情報を入力します。
検証環境では Auto Map を設定し、作成済みのiRuleを右に移動させ、Save を押します。
Serviceが追加されるとこのような画面になります。Save&Next を押します。
Add をクリックし、サービスチェーンを作成します。
任意の名前 を設定し、作成済みのServiceを右に移動させ、Save ボタンを押します。
サービスチェーンが作成されると、このような画面になります。Save&Next ボタンを押します。
All Trafficeの ペンマーク をクリックします。
先程作成した Service Chain を選択し、OK ボタンを押します。
All TrafficeにService Chainが追加されると以下のような画面になります。
Save & Next ボタンを押します。
Proxy Server Settings にクライアントからプロキシとしてアクセスさせるIPアドレスを入力し、既に作成済みの Access Profile を選択し(プロキシ認証しない場合は不要)、Ingress Network として、クライアントからアクセス可能な VLAN を選択し、Save&Next ボタンを押します。
本テスト構成では、Manage SNAT Settings で Auto Map、Gateways で Default Route を選択し、Save&Next ボタンを押します。(設定は検証環境に合わせてください。)
Save&Next ボタンを押します。
必要に応じて、設定内容を見直し、Save&Next ボタンを押します。
OK ボタンを押し、Deployに成功すると以下のような緑色の DEPLOYED マークが表示されます。
右上の System Settings アイコンを選択します。
SSLOがExplicit Proxyとして利用する DNS を設定し、Deploy を押します。
注釈
- セキュリティデバイスがICAPサービス、HTTPサービスの場合、SSL復号していないトラフィックをサービスチェーンに流せません。