Skip to main content

グローバルセキュリティ設定ガイド

このページでは、無効な証明書、パススルー、および内部DNS機能に関するメニューと設定について詳細に説明します。

無効な証明書

無効な証明書タブでは、設定可能な主な無効な証明書状態が6種類あります:

  • 期限切れの証明書 - 期限切れのSSL/TLS証明書を持つWebサーバーへのアクセスを特定し制御する
  • 開始前の証明書 - まだ有効になっていないSSL/TLS証明書を持つWebサーバーへのアクセスを識別し制御する
  • ドメイン名の不一致 - 要求されたドメインと一致しないドメイン名を持つSSL/TLS証明書を特定し制御する
  • 署名の不一致 - 無効または不一致の署名を持つSSL/TLS証明書の特定と制御
  • ルート証明書でない - 無効なルート認証局を含むSSL/TLS証明書チェーンを特定し制御する
  • 信頼できない発行者 - 信頼できない発行者によって署名されたSSL/TLS証明書へのアクセスを識別し制御する

「編集」ボタンをクリックすると、各タイプの設定が可能になります。ブロック、許可、ログ記録の中から選択できます。

image.png

ステータスがブロックに設定されている場合、ブロックページを選択できます

ブロックページは、グローバルセキュリティの「ブロックページ(Web)」タブおよび「ブロックページ(DNS)」タブで設定できます。

Pass-Through

特定のトラフィックをTLS復号化および検査ポリシーから除外するために、パススルー設定を行います。パススルーの対象には、アプリケーション(Application)、FQDN、送信先IP(Destination IP)があります。パススルー設定は、ネットワークを除くZTNA、ウェブ、CASBのセキュリティルールに適用されます。

パススルーの主な項目

  • Application 設定

    • V ボタン: パススルーリストに適用または除外されたアプリケーションを表示します。

  • FQDN 設定

    • V ボタン: パススルーリストに追加されているFQDN値を表示します。

  • Destination IP 設定

    • V ボタン: パススルー リストに追加されている送信先のIPアドレスを表示します。

  • ローカルIP設定

    • V ボタン: パススルーリストに追加されたローカルIPのリストを表示します。

「設定」をクリックすると、各カテゴリの設定が可能になります

image.png

  • ON = バイパスされます
  • OFF = ポリシー規則が適用されます

内部DNS

SASEはデフォルトでエッジDNSサーバーを使用します。

組織が内部DNSサーバーを使用している場合、サーバーのIPアドレスを入力することでここで設定できます。

image.png

画面内に記載されている通り、DNS統合を有効にするには、ポート53経由のTCPおよびポート53経由のUDPを許可してください。