(1)動的ポリシーの設定方法
Bluecoat SGの動的ポリシーは外部に設置したCPLを定期的に取得することで実装する。よってCPLを出力するセキュリティ機器であれば、どんな機器とも連携できる。場合によってはCPLを出力できなくても、WEBサーバ上でCPLに変換するスクリプトを組んでしまえば良い。基本的にはFireEyeなどのマルウェアを検知する機器との連携となる。
SGが外部CPLを定期的に取り込む方法ためにはCentral Fileを使う。Central Fileに外部URLを指定し、定期的に取得する設定にすればいいので、仕組みとしてはシンプルで分かりやすく、設定も簡単だ。CPLを出力する機器から、WEBサーバにCPLをアップロードする仕組みも必要になる。
CPLを使用することを前提に記載したが、Bluecoatが外部ファイルをポリシーに組み込む方法はもう一つある。ローカルデータベースを用いる方式だ。ローカルデータベースはURLを列挙するだけの外部ファイルであり、基本的にはVPMで設定しきれないほと多くのURLを登録する必要がある時に使用するケースが多いと思うが、ローカルデータベースも定期的に取り込んでポリシーに自動反映することができるので、動的ポリシーに利用できる。構文がCPLよりも簡単なのが良いところかもしれない。ただ、CPLもローカルデータベースも1ファイルしか選択できない事に注意する必要がある。前述のようにローカルデータベースを動的ポリシー以外の用途でも使いたい場合にはCentralFileを用いるほうが良いと考える。
(2)Central Fileを使う場合の設定手順
[Configuration][Policy][Policy Files]を開く
Install Central File from:のセレクトボックスにRemote URLを選択してInstallボタンを押す
Install Central Fileの画面でInstallation URLにCPLのURLを入力してOKボタンを押す
Automatically install new Policy when central file changesにチェックを入れる
CPLは、以下のような記述になるように連携先のアプリケーションでアウトプットを整形する。
url.domain=”www.example.com” Deny;
(3)Local Databaseを使う場合の設定手順
[Configuration][Content Filtering]
URLにローカルデータベースのパスを入力する
Automatically check for updatesにチェックを入れる
ローカルデータベースは以下のように、FQDNやドメイン名を記載するだけのテキストファイルである。
;(;はコメント行)define行で任意のカテゴリ名を定義する。カテゴリの最後にはendを記述する。
define dynamic_policy
www.example.com
www.example2.com
end
CPLとは違い、ローカルデータベースにはPermitやDenyまでの定義はない。ローカルデータベースを使用する場合にはVPMのWEBアクセスレイヤでDenyルールを定義し、そのDestinationにローカルデータベースで指定したカテゴリ名をセットする。