ChromeブラウザでWebBlockerで設定した禁止カテゴリが見れてしまう場合、どうしたらよいですか?

原因

ChromeブラウザではQUICというGoogle独自の実験的なプロトコルが使用されています。
QUICは同じ80/443ポートでもUDPを使用するため、通常の80/443 TCPのプロキシポリシーをすり抜けてしまうことがあります。

たとえばWebBlockerの禁止カテゴリにYouTubeを指定した場合、EdgeやFirefoxでは閲覧をブロックできるのに、QUICプロトコルを使うChromeでは閲覧できてしまう、ということがあります。

解決策

1.Chromeの設定でQUICを無効にする
Chromeブラウザのアドレスバーに chrome://flags でアクセスし、
Experimental QUIC protocol
の項をDisabledに変更します。

2.QUICを拒否するカスタムポリシーを作成する
1 の方法ですと、社内のすべてのクライアントの設定変更作業が必要となるので、台数によっては現実的ではないかもしれません。

全社にQUICを禁止するには、QUICを拒否するカスタムポリシーを作成するのが確実な方法です。
以下はWeb UIで UDPの80番および443番ポートの通信を拒否するポリシーの作成方法です。

  1. ファイアウォール > ファイアウォールポリシーを選択
  2. [ポリシーの追加]をクリックします。
    ファイアウォールポリシー/ファイアウォールポリシーの追加ページが表示されます。
  3. カスタムラジオボタンを選択します。
  4. [追加] ボタンをクリックします。
    [ファイアウォールポリシー/ファイアウォールポリシーの追加/ポリシーテンプレートの追加]ページが表示されます。
  5. [ 名前]テキストボックスに「QUIC 」と入力します。
  6. 「タイプ」で、「パケット・フィルター」ラジオ・ボタンを選択します。
  7. [ 追加]をクリックします。
    [プロトコルの追加]ダイアログが表示されます。
  8. 種類は、タイプドロップダウンリストで単一ポートを選択します。
  9. [ プロトコル]ドロップダウンリストからは[ UDP]を選択します。
  10. [ サーバーポート]テキストボックスに「80」と入力します。
  11. [ OK]をクリックします。
    [UDPポート80]が[プロトコル]リストに表示されます。
    手順6-10をUDPポート443で繰り返します。
  12. [ 保存]をクリックします。
    ファイアウォールポリシー/ファイアウォールポリシーの追加ページが表示され、QUICポリシーテンプレートが選択されています。
  13. [ ポリシーの追加]をクリックします。
    [ファイアウォールポリシー/追加]ページが表示されます。[名前]テキストボックスにはQUICが含まれています。
  14. 「接続」ドロップダウン・リストから、「拒否」を選択します。
  15. デフォルトでは、FromフィールドにAny-Trustedが含まれています。必要に応じてエイリアスを追加または削除して、FROMフィールドに、QUICでインターネットサイトにアクセスしたくないユーザーを含む特定のネットワークが含まれるようにします。
  16. デフォルトでは、ToフィールドにはAny-Externalが含まれます。特定の外部インターフェイスへのトラフィックに対してQUICトラフィックを許可しない場合は、これを変更しないでください。
  17. [ 保存]をクリックしてこのポリシーを設定に追加します。

QUICのカスタムポリシーを追加すると、Policy Manager では以下のようになります。

カテゴリー:

タグ:
最新の脅威に対応するための Gateway AntiVirus エンジンの提供について