最初の TLS 検査 ポリシーの構成を簡単に行うには、TLS 検査 ウィザードを使用するか、ユーザー インターフェイスを使用してポリシーを手動で作成します。このトピックでは、ウィザードでの構成については説明しません。手動による構成手順についてのみ説明します。

ウィザードには、Tier-1 ゲートウェイ ファイアウォールの TLS 検査 構成ワークフローの概要が表示されます。ウィザードでは、最初のポリシーにのみ TLS 検査 のホーム ページが表示されますが、このウィザードには [すべての共有ルール] タブと [ゲートウェイ固有のルール] タブでアクセスできます。開始ページで [スキップ] をクリックすると、構成ウィザードをスキップして、ポリシーの作成と復号アクション プロファイルの設定を手動で完了できます。

前提条件

これらの前提条件は TLS 検査 ポリシーに対して有効です。

次の設定を有効にします。デフォルトでは、無効になっています。
  • ゲートウェイごとに TLS 検査 設定を有効にします。

    [セキュリティ] > [TLS 検査] の順に移動して、[設定] タブを選択します。TLS が有効なゲートウェイのリストからゲートウェイを選択し、[有効にする] をクリックします。

  • Edge クラスタで URL データベースを有効にします。

    [セキュリティ] > [全般設定] > [URL データベース] の順に移動します。NSX Threat Intelligence Cloud Service (NTICS) が URL データベースのダウンロードを完了できるようにするため、Edge ノードにはインターネット接続が必要です。

  • [セキュリティ] ダッシュボードを使用して TLS 検査 統計を表示するには、NSX-T Data Center 3.2 以降の環境に NSX Application Platform を展開し、良好な状態にする必要があります。時系列のモニタリングを行うには、特定のライセンスが必要です。詳細については、セキュリティ統計のモニタリングにある『NSX Application Platform の展開と管理』を参照してください。

手順

  1. 管理者権限で NSX Manager にログインします。
  2. [セキュリティ] > [TLS 検査] の順に選択します。
  3. ポリシーを定義するカテゴリを選択して、[ポリシーの追加] をクリックします。
  4. 新しいポリシーの名前を入力します。
  5. (オプション)このセクションを複数のユーザーが変更しないようにするには、[高度な設定] アイコンをクリックして [ロック済み] をクリックし、[適用] をクリックします。
  6. 作成したポリシー名を選択して、[ルールを追加] をクリックします。
    変数 説明
    送信元、宛先、L4 サービス 受信トラフィックでゲートウェイのファイアウォール ルールと同じフィールドを照合します。
    コンテキスト プロファイル URL カテゴリ、レピュテーション、ドメイン名に基づいてトラフィックを分類するためのコンテキスト プロファイルを定義し、選択します。詳細については、コンテキスト プロファイルを参照してください。
    復号アクション プロファイル 一致したトラフィックの復号プロファイルを定義して選択します。これは、外部プロファイル、内部プロファイル、バイパス プロファイルの場合があります。詳細については、TLS 復号アクション プロファイルの作成を参照してください。
    適用先 1 つ以上の Tier-1 ゲートウェイを選択します。
  7. [公開] をクリックします。
    これで、ポリシーの作成が完了しました。