アクセスルール機能の概要
- デフォルトルール
デフォルトルールは、削除いただくことができません。
デフォルトルールは、通常ルールの最下部に位置し、どのルールにも該当しなかった場合に、どのようなアクション(許可/拒否)とするかを設定いただく場合が一般的です。
デフォルトルールの設定は、デフォルトルールをダブルクリックすることで設定いただくことができます。
アクセスルールを使用する場合、最終的にルールに適合しない接続をどのようなアクション(許可/拒否)とするかを検討ください。)設定例としては、以下のようなケースが考えられます。
・ルールでは禁止したいユーザーやサイトを指定して、それ以外の場合は、許可させる。 = デフォルトルールは「許可」
・ルールでは、許可したユーザーやサイトを指定して、それ以外の場合は、ブロックする。 = デフォルトルールは「アクセスを拒否して次を表示」 - アクセスルールの順序
アクセスルールは、追加されるアクセスルールの上から順番にチェックされ、一致する場合に、そのルールが適用されます。
分岐条件などは設定いただくことができません。
ルールの順序は、アクセスルール内で、移動するルールを選択して右クリックより表示されるメニューより変更いただけます。
アクセスルールの基本的な設定手順は、以下の通りとなります。
- WinGate マネージメントへログインし、「アクセスルール」を開きます。
- デフォルトルールの結果を設定します。
デフォルトルールをダブルクリックしてプロパティを表示します。
これから追加するルール(他のルール)に一致しなかった場合の結果を設定します。
「アクセスを許可」、「アクセスを拒否して次を表示」のどちらかを選択します。
選択が完了したら「OKボタン」ボタンで終了します。 - ルールを追加します。
アクセスルール画面内で右クリックより表示されるメニューから「ルールの追加」をクリックします。
- 「全般」ダイアログが表示されます。
設定項目の内容は以下の通りとなります。ルールは有効 チェックがされている場合、ルールは有効となります。
チェックされていない場合、設定がされていれもルールは動作いたしません。ルール名 任意のルール名を入力してください。ここで入力された名前が、アクセスルールの一覧に表示されます。 ルールの結果 「アクセスを許可」
このルールに一致した場合、アクセスを許可します。
「アクセスを拒否して次を表示」
このルールに一致した場合、アクセスを拒否して、右のドロップダウンメニューで表示されたブロックページをクライアントに表示します。(HTTP接続、またはHTTPSインセプションの場合のみ)
「クライアントへ(再)認証を強制
クライアントに対して、認証要求を強制します。ルールを全てのWWW Proxyに適用 複数のWWW Proxy ServerをWinGateで構成している場合に、このルールをどのWWW Proxy Serverに適用させるかを選択することができます。
「ルールを全てのWWW Proxyに適用」がチェックされている場合、このルールはWinGate内で構成されている全てのWWW Proxy Serverに適用されます。
チェックを外し、下の一覧よりルールを適用させるWWW Proxy Serverを選択することもできます。設定が完了したら「次へ」をクリックします。
- 「誰が」ダイアログが表示されます。
ここでは、ルールを適用/適用しないユーザー(グループ)を指定します。
※ここでユーザー/グループを指定した場合、WinGateはユーザーを識別するために自動的にユーザー認証を要求いたします。ドロップダウンメニューから以下の内容が選択できます。全員 全てのユーザーが、このルールの対象となります。
ユーザーを指定せずIPアドレスによる制限などを実施する場合は、「全員」を選択してください。指定されたユーザーのみ 指定されたユーザー/グループだけがこのルールの対象となります。 指定されたユーザー以外の全員 ここで指定したユーザー/グループ以外のユーザーがルールの対象となります。 ユーザー/グループの追加
指定されたユーザーのみ、指定されたユーザー以外の全員を選択した場合、ルールを適用するユーザー/グループを右下(キャンセルボタン上)の追加ボタンをクリックします。
オブジェクトの選択ダイアログが表示されます。
検索ボタンによりユーザー/グループを検索することができます。
WinGateで設定したユーザーデーターベースのユーザー/グループが表示されます。
対象となるユーザー/グループを選択してOKボタンをクリックします。
複数のユーザーやグループを指定する場合は、この内容を繰り返してください。
ユーザー/グループの追加が完了したら「次へ」をクリックします。 - 「場所」ダイアログが表示されます。
ここでは、ルールを適用/除外するIPアドレス(IPアドレス範囲)を設定します。
ドロップダウンメニューから以下の内容が選択できます。全てのIP 全てのIPアドレスが、このルールの対象となります。 指定されたこれらのIPのみ 指定したIP(IPアドレス範囲)だけがこのルールの対象となります。 これらの指定されたものを除く全てのIP ここで指定したIP(IPアドレス範囲)以外のIPアドレスがルールの対象となります。 「指定されたこれらのIPのみ」、「これらの指定されたものを除く全てのIP」を選択した場合、ルールを適用するIPアドレスを追加するために、右下(キャンセルボタン上)の追加ボタンをクリックします。
単一のIPアドレスを指定する場合は、開始IPに対象とするIPアドレスを入力してください。範囲による指定を行う場合、「範囲の指定」をチェックして「開始IP」と「終了IP」を入力してください。
「データリストと一致」を選択した場合、WinGateのデーター機能のリストで作成したリストを使用することができます。(WinGateのデーター機能でIPアドレスのリストを作成する必要があります。)
IPアドレスの指定が完了したらOKボタンでダイアログを終了します。
設定した内容が追加されたことを確認して「次へ」をクリックします。 - 「何を」ダイアログが表示されます。
ここでは、ルールの対象となるカテゴリー(Lumen for WinGate使用時)、サイトを指定することができます。ドロップダウンメニューから以下の内容が選択できます。全て 全てのサイト/カテゴリーが、このルールの対象となります。 指定されたサイト/カテゴリーのみ 指定したサイト/カテゴリーだけがこのルールの対象となります。 指定されたものを除く全てのサイト/カテゴリー ここで指定したサイト/カテゴリー以外サイト/カテゴリーがルールの対象となります。 ※サイトの定義:サイトとは「www.wingate.jp」や「wingate.jp」のようにURLの形式ではありません。よってhttp://www.wingate.jp/test.html のようにサイト内のディレクトリやページを指定することができません。また、サイトの指定によりHTTPだけではなくHTTPSサイトもルールの対象となります。
URLによる指定を行う場合、「手動分類」による制限が必要となります。この方法については、ユーザーガイドをご参照ください。サイトの指定
サイトを指定する場合、サイトの追加ボタン(キャンセルボタンの上、左端のボタン)をクリックします。
「特定のサイトに対して一致」を選択した場合、下の欄へルールの対象となるサイト(www.wingate.jp など)を入力します。
「データリスト内のサイトに対して一致」を選択した場合、WinGateのデータ機能で定義されたリストを使用することができます。(WinGateのデータ機能でサイトが記述されたリストを作成する必要があります。)カテゴリーの指定
カテゴリーを指定する場合、カテゴリーの追加ボタン(キャンセルボタンの上、中央のボタン)をクリックします。
「特定のカテゴリーに対して一致」を選択した場合、ボタン(キャンセルボタンの上)より表示される「カテゴリーの選択」ダイアログよりカテゴリーを選択します。
追加するカテゴリーを選択して「OK」ボタンをクリックすることで追加いただけます。(※複数のカテゴリーを同時に追加することはできません。カテゴリーの追加ボタンから繰り返し操作を行ってください。
「データリスト内のカテゴリーに対して一致」を選択した場合、WinGateのデータ機能で定義されたリストを使用することができます。(WinGateのデータ機能でサイトが記述されたリストを作成する必要があります。)
設定した内容が追加されたことを確認して「次へ」をクリックします。 - 「いつ」ダイアログが表示されます。
ここでは、このルールを適用する曜日、時刻を指定することができます。
「ルールを常に適用」がチェックされている場合、このルールは常に適用されます。
曜日、時刻を指定する場合は、「ルールを常に適用」のチェックを外し、ルールを適用する曜日、時刻をしてします。
曜日、時刻の指定は、適用する曜日、時刻をマウスでクリックして「セット」ボタンをクリックすることで選択できます。
設定した内容が追加されたことを確認して「完了」をクリックします。 - アクセスルール画面に戻ります。
ルールが設定した内容で追加されているかをご確認ください。 - 実際にクライアントマシンからアクセスして、ルールが正しく動作するかをご確認ください。
ルールに適合すると追加したルールの「ヒット」の項目がカウントアップします。(カウントは、WinGateの再起動によりクリアされます。また、ルールを選択して右クリックより表示されるメニューから「ヒットカウントをリセット」を選択することでクリアすることもできます。)
設定のヒント
- アクセスルールでは、「誰が」、「場所」、「何を」、「いつ」の項目が設定可能ですが、この全てで何らかの項目が追加されている必要はありません。
例えばクライアントのIPアドレスによってWWW Proxy Serverの使用をさせたくない場合は、「誰が」、「何を」、「いつ」の項目は「全て」となり「ルールの結果」は「拒否」で「場所」で禁止するIPアドレスだけが追加されるべきでしょう。
ユーザー/グループによって、表示させたくないサイトやカテゴリーを指定する場合は、「誰が」と「何を」が指定(場合によっては「いつ」)が指定され、「場所」は「全てのIP」となるべきでしょう。また、このようにユーザーやグループによって表示させないサイト/カテゴリーを追加した場合、ユーザーデーターベスの種類によっては、その制限されるサイトをリクエストして始めて認証ダイアログが表示されます。 - ユーザー/グループの指定では、Active Directlyユーザーデーターベースを使用している場合、ブラウザの種類によっては、自動的に自身のAD認証情報を自動的に送信するためシングルサインオン(認証ダイアログを表示しない)運用が可能となります。認証情報に不一致が生じた場合や異なるユーザーである場合には、認証ダイアログが表示されます。
WinGateユーザーデーターベース、Windowsユーザーデーターベースの使用では、認証ダイアログが表示されるでしょう。 - LocalSystemアカウントを使用するアプリケーションが、ユーザー/グループが指定したアクセスルールを使用する場合、LocalSystemアカウントは、ADユーザーとは異なるため、接続がブロックされるケースがあります。
この場合、Domain Computersで認証を必要とするルールを追加いただくことにより、現象を解決いただける可能性がございます。
設定内容としては、新規に「クライアントへ(再)認証を強制」を持つルールを追加し「誰が」でユーザー/グループにDomain Computersを指定します。このルールに追加により、Domain Computersで接続を試みるユーザーは、認証(再認証)が必要となり自身のユーザー情報をWinGateへ送信します。(Domain Computersで接続を試みるサイトを許可する場合、このルールは制限されるルールよりも上位に位置するべきです。)