キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
McAfee Employee skubo
McAfee Employee
不適切なコンテンツを報告
メッセージ1/1

MWG Integration with iFIlter (Digital Arts) / MWGとiFIlter(DigitalArts社)との連携設定例

□目次□

■機能概要

■サポートされる構成、及び確認済のバージョンについて

■iFilterの設定例

■MWGの設定例

■ICAPレスポンスヘッダ例とiFilterのブロック画面サンプル

■Gateway Anti-Malwareにおける設定例

■マルウェア検知時のレスポンスヘッダサンプルとブロック画面例

 

=======

■機能概要

・iFilterをProxyとして動作させた際に、Web GatewayにICAPで通信することによって、
 URLレピュテーションやAnti-Virus機能を実装することができます。

・ICAPでの接続の際に、OPTIONヘッダによりベンダー判定を行い、
 ブロック画面はiFilter側で独自に表示させる機能を実装しています。(iFilterのAV Adapter機能)

m1.PNG

 

 

■サポートされる構成、及び確認済のバージョンについて

・Web Gateway
  • v7.8.2.6で動作確認
  • ICAP Serverとして動作

 

• iFilter
  • Ver.10.30R01 (次期リリースバージョン/2019年6月27日リリース版)
  • 要AV Adapterオプション
  • ICAP Client (Proxy)として動作

 

■iFilterの設定例

 ①[オプション]⇒[AV Adapter]⇒[基本設定]

m2.PNG

 

m3.png

 

 ②[オプション]⇒[AV Adapter]⇒[ICAPサービス設定]

m4.PNG

 

 

・サービスURLにMWGのIPとREQMOD orRESPMODのパス指定。

 [設定取得]をクリックすると自動的にICAP Optionヘッダからベンダーが自動判別される。

 

[MWG_REQMOD]

m5.PNG

 

 

[MWG_RESPMOD]

m6.PNG

 

 

 

 ③[オプション]⇒[AV Adapter]⇒[ICAPサーバ転送ポリシー設定]

m7.PNG

 

> REQMOD: MWGでRequest Cycleで処理されます
> RESPMOD: MWGでResponse Cycleで処理されます

m8.PNG

 

■MWGの設定例

通常ICAPサーバは検知した場合に、ICAPサーバ側のブロック画面をICAPクライアントに転送します。

今回の実装では、iFilter側でアクションの判定とブロック画面に表示するブロック理由を

MWGが送信するICAPのヘッダ情報から取得しています。

 

MWG側にICAPヘッダに特定の文字列を返す設定が必要です。

 

今回MWGでICAPのレスポンスに追加する拡張ヘッダは以下の2つです

  > X-Action: Blockの場合のみブロック画面を出します

  > X-Block-Reason: ブロック理由。マルウェア名やレピュテーション評価を変数から返します。
  iFilterはこの文字列をブロックした理由としてブロック画面に表示します。

 

※ LDAP認証、NTLM認証、Windows NTLM認証をiFilterで行っている場合、

 ICAPのX-Authenticated-UserヘッダとX-Authenticated-Groupsヘッダに

 それぞれユーザ、グループ情報をiFilterが付与してMWGのログに記録することが可能です。

 

 

①URLレピュテーション(風評)における設定例

 

・Configuration>Appliance>Proxies>ICAP Server

 Enable ICAP Serverをオンにして、Port 1344を追加。

m9.PNG

 

 

・Policy>URL Filtering>Unlock Viewをクリック

m10.PNG

 

 

・Block URLs With Bad Reputationを選択>Edit

m11.PNG

 

・4. Events>Add>Eventをクリック

m12.PNG

 

 

・Event:にheader.ICAPを入力して、Header.ICAP.Response.Add (String,String)を選択
 Parameters…をクリック

m13.PNG

 

 

・Header Nameを選択し、Parameter Valueに「X-Action」と入力

m14.PNG

 

 

・Header Valueを選択し、Parameter Valueに「Block」と入力

m15.PNG

 

 

・[OK] > [OK]をクリック

m16.PNG

 

 

・4. Events>Add>Eventをクリック

m17.PNG

 

 

・Event:にheader.ICAPを入力して、Header.ICAP.Response.Add (String,String)を選択
 Parameters…をクリック

m18.PNG

 

 

・Header Nameを選択し、Parameter Valueに「X-Block-Reason」と入力

m19.PNG

 

・Header Valueを選択し、Parameter propertyを選択し「url.repu」と入力して「URL.ReputationString」を選択
 Setting:のプルダウンメニューをクリック
 URL Filtering Settingsから使用する設定名をクリック

 (デフォルトはDefaultをクリック)

m20.PNG

 

・[OK] > [OK]をクリック
 Header.ICAP.Response.Add(“X-Action”, “Block”)
 Header.ICAP.Response.Add(“X-Block-Reason”, URL.ReputaionString<Default>)の2つの

 イベントが追加されていることを確認し、[Finish]をクリック。[Save Changes]で設定を反映

m21.PNG

 

■ICAPレスポンスヘッダ例とiFilterのブロック画面サンプル

 

・ICAPレスポンスヘッダ例

m22.PNG

 

・iFilterのブロック画面サンプル

m23.PNG

 

⇒URLレピュテーションの場合、REQMODでの検知になるため、
 ウイルス感染検出(アップロード)と表示される

 

 

■Gateway Anti-Malwareにおける設定例

 

・Configuration>Appliance>Proxies>ICAP Server
 Enable ICAP Serverをオンに、Port 1344を追加

m24.PNG

 

 

・Policy>Gateway Anti-Malware>Unlock Viewをクリック

m25.PNG

 

 

・Block If Virus was Foundを選択>Edit

m26.PNG

 

・4. Events>Add>Eventをクリック

m27.PNG

 

・Event:にheader.ICAPを入力して、Header.ICAP.Response.Add (String,String)を選択
 Parameters…をクリック

m28.PNG

 

 

・Header Nameを選択し、Parameter Valueに「X-Action」と入力

m29.PNG

 

 

・Header Valueを選択し、Parameter Valueに「Block」と入力

m30.PNG

 

 

 

・[OK] > [OK]をクリック

m31.PNG

 

・4. Events>Add>Eventをクリック

m32.PNG

 

・Event:にheader.ICAPを入力して、Header.ICAP.Response.Add (String,String)を選択
 Parameters…をクリック

m33.PNG

 

 

・Header Nameを選択し、Parameter Valueに「X-Block-Reason」と入力

m34.PNG

 

 

・Header Valueを選択し、Parameter propertyを選択し「list.ofstring.tostring」
 と入力して「List.OfString.ToString(List of String, String)」を選択、
 Parameters…をクリック

 Parameter propertyを選んで、Antimalware.VirusNamesを選択、Parameters…をクリック

m35.PNG

 

 

・プルダウンメニューからAnti-Malware Settingsを選択
(デフォルトではGateway Anti-Malware)

m36.PNG

 

 

・2. Delimiter (string) を選択し、Parameter valueに「,」(カンマ)を入力

m37.PNG

 

 

・[OK] > [OK]>[OK]をクリック
 Header.ICAP.Response.Add(“X-Action”, “Block”)
 Header.ICAP.Response.Add(“X-Block-Reason”,
 List.OfString.ToString(Antimalware.VirusNames<Gateway Anti-Malware>,”,”))
 の2つのイベントが追加されていることを確認し、[Finish]をクリック。

 [Save Changes]で設定を反映

m38.PNG

 

 

■マルウェア検知時のレスポンスヘッダサンプルとブロック画面例

 

・マルウェア検知時のレスポンスヘッダサンプル

m39.PNG

 

 

・ブロック画面例

m40.PNG

 

⇒ファイルのダウンロードでの検知の場合、RESPMODでの検知
 になるため、ウイルス感染検出(ダウンロード)と表示される

 

 

More McAfee Tools to Help You
  • Subscription Service Notification (SNS)
  • How-to: Endpoint Removal Tool
  • Support: Endpoint Security
  • eSupport: Policy Orchestrator
  • Community Help Hub

      New to the forums or need help finding your way around the forums? There's a whole hub of community resources to help you.

    • Find Forum FAQs
    • Learn How to Earn Badges
    • Ask for Help
    Go to Community Help

    Join the Community

      Thousands of customers use the McAfee Community for peer-to-peer and expert product support. Enjoy these benefits with a free membership:

    • Get helpful solutions from McAfee experts.
    • Stay connected to product conversations that matter to you.
    • Participate in product groups led by McAfee employees.
    Join the Community
    Join the Community