インターネットとSaaSへのセキュアなアクセス(ZIA)
QUICプロトコルの管理
Googleは、HTTPSとHTTP(TCP 443とTCP 80)接続のパフォーマンスを向上させるためにQUICプロトコルを開発しました。Chromeブラウザーでは2014年から実験的にサポートされており、ChromiumやAndroid端末でも使用されています。
QUIC接続では、TCPハンドシェイクは必要ありません。しかし、SSLインスペクションはTCPセッションの情報を必要とします。このため、ユーザーがSSLインスペクションを有効にしている場合、ZscalerはQUICセッションを検査することができません。QUICを使用する場合、ユーザーは証明書エラーを経験する可能性もあります。
Zscalerのベスト プラクティスは、QUICをブロックすることです。ブロックされた場合、QUICはTCPにフォールバックするフェイルセーフを備えています。これにより、ユーザー エクスペリエンスに悪影響を与えることなく、SSLインスペクションを有効化することができます。
QUICのブロック化
Zscalerへのトラフィックの転送方法に基づいて、QUICをブロックする方法を選択します。
GREまたはIPSecトンネルとZscaler Client Connector (Z-Tunnel 2.0)
GREやIPSecトンネル、またはZ-Tunnel 2.0を使用したZscaler Client Connectorを通してZscalerにアウトバウンド インターネット トラフィックを送信する場合、ファイアウォール フィルタリング ルールを作成することによって、QUICを実質的にブロックすることが可能です。これにより、QUICのUDPフローがブロックされ、ブラウザーがTCP 80/443をデフォルトにするように強制されます。
通常、デフォルトのファイアウォール フィルタリング ルール(最もランクの低いルール)は、特に許可されない限りQUICをブロックします。ただし、管理者は、過度に寛容で、明示的にQUICの使用を除外しない、より一般的な接続ルールまたはルールのグループ(たとえば、ユーザーXまたは送信元IPアドレスYから宛先グループIPアドレスYへの接続が許可される)を作成することがよくあります。このため、管理者が定義した許可ルールよりも上位のQUICブロック ルールが1つ以上必要になる場合があります。
次の手順で設定されるように、ファイアウォール フィルタリング ルールはネットワーク サービス レベルでQUICをブロックします。Zscalerで設定されたネットワーク サービスは、ポートとプロトコルを使用して最初のパケットで識別され、即時のポリシー アクションにつながります。パケットが設定したルールに一致すると、Zscalerサービスはルールに一致するすべてのパケットをドロップし、クライアントにタイプ3 (宛先到達不能)およびコード13 (通信管理上禁止)のICMPエラー メッセージを送信します。
- ファイアウォールのフィルタリングルールでQUICをブロックする
QUICをFirewall Filteringルールでブロックする場合。
- ZIA管理ポータルで、[ポリシー]>[ファイアウォール コントロール]に移動します。
ファイアウォールフィルタリングルールの追加 をクリックします。
[ファイアウォールフィルタリングルールの追加]ウィンドウが表示されます。
- [ファイアウォール フィルタリング ルールの追加]ウィンドウで次の操作を行います。
組織の希望するポリシーに沿って、[ルールの順序]を可能な限り高いランクに設定します。
Zscalerでは、最初のパケット識別を使用するルールによってブロックされるトラフィックからのパケットが不必要に許可されるのを防ぐために、ネットワーク サービスのルールをネットワーク アプリケーションのルールよりも上位にランク付けすることを推奨しています。
- [ルールのステータス]が[有効]であることを確認します。
- [ユーザー]、[グループ]、[部署]、[ロケーション]、および[ロケーション グループ]に対して[任意]が選択されていることを確認します。
- [時間]で[常時]が選択されていることを確認します。
[ネットワーク トラフィック]で[ブロック/ICMP]を選択します。
- [サービス]タブをクリックし、[ネットワーク サービス]の下の[QUIC]を選択します。
画像を参照してください。
- [保存]をクリックし、変更を有効にします。
UDP宛先ポート443に加えて、QUICはUDP宛先ポート80を使用できます。QUICのネットワーク サービス定義にポート80を含めるには、定義済みのネットワーク サービスを変更するか、カスタム ネットワーク サービスを設定します。詳細は、定義済みのネットワーク サービスの変更およびネットワーク サービスの設定を参照してください。
Zscaler Client Connector (Z-Tunnel 1.0)
Z-Tunnel 1.0を使用するZscaler Client ConnectorトラフィックのみをZscalerに送信する(またはリモート ユーザーを利用する)場合は、UDP 80および443をブロックするブロック ルールをデバイス ファイアウォールに作成します。これは通常、IT管理者によって行われ、組織ごとに異なります。
TCP 80/443 のみ
Zscalerにトンネル経由でTCP 80/443を送信するだけなら、ブランチ ファイアウォールでQUICをブロックしてください。
- Fortigate FirewallでQUICをブロックする
Fortigateファイアウォールを使用している場合は、新しいサービスを作成してから、新しく作成したサービスをブロックする最上位のポリシーを作成する必要があります。
サービスを作成するには
- FortiGateポータルで、[ポリシーとオブジェクト]>[サービス]に移動します。
- [新規サービスの作成]をクリックします。
以下を完了してください。
- [名前]:
QUICと入力します。 - [プロトコル タイプ]: [TCP/UDP/SCTP]を選択します。
Destination Port: デスティネーションポートを設定します。
- [宛先ポート]: [UDP]を選択します。
- [低]:
443と入力します。 - [高]:空白のままにします。
- [低]:
- [追加]アイコンをクリックして、宛先ポートを追加します。
- [宛先ポート]: [UDP]を選択します。
- [低]:
80と入力します。 - [高]:空白のままにします。
- [低]:
その他のフィールドは、デフォルト値のままにしておきます。
- [宛先ポート]: [UDP]を選択します。
- [名前]:
- [OK]をクリックし、サービスを保存します。
ポリシーを作成するには
- FortiGateポータルで、[ポリシーとオブジェクト]>[IPv4ポリシー]に移動します。
- [新規作成]をクリックします。
以下を完了してください。
- [名前]:このポリシーの名前を入力します(例:
ServiceDeny)。 - [着信インターフェイス]: [内部]を選択します。
- [発信インターフェイス]: [wan]を選択します。
- [ソース]: [すべて]を選択します。
- [宛先]: [すべて]を選択します
- [スケジュール]: [常時]を選択します。
- [サービス]:作成した[QUIC]サービスを選択します。
- [アクション]: [拒否]を選択します。
- [違反トラフィックをログに記録する]:このオプションを有効にします。
- [このポリシーを有効にする]:このオプションを有効にします。
- [名前]:このポリシーの名前を入力します(例:
- [OK]をクリックしてポリシーを保存します。
- Palo Alto NetworksのファイアウォールでQUICをブロックする
Palo Alto Networks FirewallでQUICをブロックするには、新しいセキュリティポリシーを作成する必要があります。
セキュリティ ポリシーを作成するには、次の操作を行います。
- Palo Alto Networksポータルで、[ポリシー]>[セキュリティ]に移動します。
- [追加]をクリックします。
- [一般]タブでルールの[名前]を入力します。
画像を参照してください。 - [ソース]タブで、ルールの[ソース ゾーン]を選択します。
画像を参照してください。 - [ユーザー]タブで、ユーザーの値として[任意]を選択します。
画像を参照してください。 - [宛先]タブで、[信頼できない]を選択するか、インターネットに接続しているものを[宛先ゾーン]として選択します。
画像を参照してください。 - [アプリケーション]タブで、次の操作を行います。
- [ 追加] を選択します。
- 検索バーに
quicと入力します。 - quicアプリケーションを選択します。画像を参照してください。
- [サービス/URLカテゴリー]タブで、すべてのフィールドをデフォルト値のままにします。
画像を参照してください。 - [アクション]タブで、アクションとして[ドロップ]を選択し、必要に応じて他のフィールドを設定します。
画像を参照してください。 - [OK]をクリックして、ポリシーを保存します。
画像を参照してください。
![一般]タブの画面イメージ](/downloads/zia/documentation-knowledgebase/troubleshooting/managing-quic-protocol/pan-general.png "名前を追加")
![[ソース]タブの画面イメージ](/downloads/zia/documentation-knowledgebase/troubleshooting/managing-quic-protocol/pan-source.png "ソースゾーンを選択する")
![[ユーザー]タブの画面](/downloads/zia/documentation-knowledgebase/troubleshooting/managing-quic-protocol/pan-user.png "ユーザーに対して任意に選択")
![[宛先]タブの画面イメージ](/downloads/zia/documentation-knowledgebase/troubleshooting/managing-quic-protocol/pan-destination.png "信頼しない、またはインターネットに接続しているネットワークを選択します。")
お使いのファイアウォールがリストにない場合、QUICをブロックする方法の詳細については、メーカーのドキュメントを参照してください。
代替措置
代替措置として、Chrome自体でQUICをブロックすることも可能です。
- Google ChromeでQUICをブロックする
Google Appsの管理者アクセスがある場合は、すべてのユーザーに対してChromeをブロックするポリシーを作成できます。詳細は、Google Chrome Enterpriseヘルプを参照してください。管理者アクセスがない場合でも、個々のマシンでQUICを無効にすることができます。
Chromeがアップデートされるたびに、設定がデフォルト値に戻るため、再度QUICを無効にする必要があります。
個々のマシンでQUICを無効にするには:
- Chromeを開きます。
- アドレス バーに
chrome://flagsと入力します。
画像を参照してください。 - 検索バーに
quicと入力します。
画像を参照してください。 - ドロップダウン メニューをクリックし、[無効]を選択します。
画像を参照してください。
[デフォルト]を選択すると、ChromeはQUICの使用を試みます。 - プロンプトが表示されたら、[今すぐ再起動]をクリックして、Chromeを再起動し、変更を適用します。
画像を参照してください。
