弊社のネットワークの問題を調査するように依頼されました。 Sonicwallアプライアンスはすでにセットアップされており、セットアップしたものはすでに会社を辞めています。
問題は、指定された通常のユーザーIPの下にあるホストがHTTPSサイトにアクセスできないことです(これまでに見た唯一の例外はGoogleです)。それが役立つ場合、ユーザーがアクセスしようとしているHTTPSサイトは、ビジネス関連のサイトであり、政府が所有するサイトですらあります。奇妙なことに、Sonicwallを経由しないIPアドレスが割り当てられたホストは、HTTPSサイトへのアクセスに問題がありませんでした(セットアップした人が私に言ったので、私はこの用語を大まかに使用しました)。悲しいことに、私はもうその男に連絡することができないので、私はこれを一人で調査することを余儀なくされています。
CFSの許可されたドメインでHTTPSサイトのアドレスを適用しようとしましたが、それでも機能しませんでした。また、ファイアウォールアクセスルールを確認し、任意の送信元から任意の宛先に移動するように設定されているIP割り当てを見つけました。当然、これだと思いました。興味深いことに、それは有効にさえされていませんでした。それに合わせたチェックボックスは空でした。これを見て、ユニットのIPアドレスをこの割り当てのアドレスに変更してみました。驚いたことに、HTTPSサイトが読み込まれました。
ユニットの1つでのスクリーンショットは次のとおりです。
私は困惑しています。それはCFSにはなく、アクセスルールにもありません。 HTTPS接続の通過を明示的に許可するアクセスルールを追加しようとしましたが、それでも機能しませんでした。 SonicwallがファイアウォールとCFS以外のトラフィックをフィルタリングする他の方法はありますか?おそらくそれがIP割り当ての除外が設定されている場所だからです。
ここに到達しましたが、スクリーンショットから、これらはXPマシンであると想定しています。さらに、コンテンツフィルターが透過的に適用されている(プロキシ設定なし)と想定します)。その場合、HTTPSサイトはIEで機能しません。理論をテストするには、CFSをオンに戻し、Firefoxを試してください。さらに、誰かがgoogleをフィルタリングから除外していると思われるので、そこにたどり着くことができます。
私が正しければ、ブラウザでSNIがサポートされていないことが原因です。ブラウザ(IE以外)、OS(Vista + IEは問題ありません))をアップグレードするか、明示的なプロキシを使用します。
Sonicwallは、App Controlルールに基づいてトラフィックをブロックすることもできます(この機能のライセンスを取得している場合)。これを一時的に無効にして、HTTPSトラフィックに影響を与えないようにすることができます。
LANゾーンでのアプリケーション制御の無効化: