1.11. SSL復号バイパスルールの設定(クライアントIPサブネット)¶
SSLOでは、SSL復号をバイパスするためのルールを柔軟に設定可能です。ここでは、特定のクライアントIPサブネットからのアクセスは、SSL復号をバイパスする設定を行います。
SSL Orchestrator >> Configuration にて、Security Policies を選択します。
作成済みのポリシーを選択します。
前項で作成したバイパスルールを一旦削除します。
OK ボタンを押します。
Add を押します。
Name に任意の名前を設定し、Conditions にて Client IP Subnet Match を選択し、バイパスさせたいサブネットを設定し(F5ハンズオンでは、10.1.10.0/24)、SSL Forward Proxy Action にて Bypass を選択し、SSL復号していないトラフィックもセキュリティデバイスに転送したい場合は、Service Chain も選択し、OK を押します。
バイパスルールが設定されていることを確認し、Deploy を押します。
編集の確認が表示されるので、OK ボタンを押します。
Successポップアップが表示されます。OK ボタンを押します。
Note
- URL Filteringカテゴリ、宛先のIPサブネット、ポート番号、プロトコルタイプ、URL、IPジオロケーションなどでもSSL復号パイパスの設定が可能です。
- セキュリティデバイスがICAPサービス、HTTPサービスの場合、SSL復号していないトラフィックをサービスチェーンに流せません。