McAfee Web Gateway 7.5.0 リリース ノート

リリース ノート
改訂 B
McAfee Web Gateway 7.5.0
目次
このリリースについて
新機能と機能強化
解決された問題点
インストール手順
既知の問題
製品マニュアルの検索
このリリースについて
この資料には、このリリースに関する重要な情報が含まれていますので、ぜひご一読いただくようお願いいたします。
®
McAfee Web Gateway (Web Gateway) バージョン 7.5.0 は限定リリースとして提供されます。 このバージョ
ンでは、新機能の追加と機能強化を行い、以前のリリースに存在した問題を解決しています。
新機能と機能強化
このリリースで追加された機能と強化された機能は次のとおりです。
このリリースの新機能と機能強化を導入する前に、Web Gateway アプライアンスを実行する物理または
仮想プラットフォームのメモリーをアップグレードすることをお勧めします。
このアップグレードの詳細については、『Web Gateway インストール ガイド』の「McAfee Web
Gateway のセットアップ」を参照してください。
1
送信 IP アドレスの制御
負荷分散などで Web Gateway から Web サーバーへの接続に異なる送信 IP アドレスを使用している場合、接続の
問題 (セッション中の IP アドレスの変更など) を回避するため、これらのアドレスを 1 つの IP アドレスに置換でき
ます。
単一 IP アドレスを使用するには、新しいイベントとプロパティを含むルールを作成して設定します。
送信 IP アドレスの制御方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してくださ
い。
WCCP での FTP トラフィックのフィルタリング
クライアント リダイレクトの方法に WCCP を設定している場合、FTP プロトコルでもトラフィックがリダイレクト
されます。
トラフィックのリダイレクトは、アクティブ FTP モードで実行されます。この機能を使用するには、クライアント
でパッシブ FTP モードのオプションを無効にする必要があります。
WCCP で FTP トラフィックをフィルタリングする方法については、『McAfee Web Gateway 製品ガイド』の「プ
ロキシ」を参照してください。
VLAN でのトラフィックのフィルタリング
VLAN で送受信される Web トラフィックを Web Gateway で傍受し、フィルタリングできます。
フィルタリングは、次のネットワーク モードで実行できます。
•
明示的プロキシ
•
プロキシ HA
•
透過型ブリッジ
•
透過型ルーター
VLAN のネットワーク インターフェースはユーザー インターフェースで追加できます。
VLAN でトラフィックをフィルタリングする方法については、
『McAfee Web Gateway 製品ガイド』の「プロキシ」
を参照してください。
TCP ウィンドウ スケーリング
TCP 通信レベルでデータ パッケージを受信できるようにウィンドウ サイズをスケーリングできます。 ウィンドウ
サイズは、0 から 14 の単位でスケーリングできます。
TCP ウィンドウのスケーリング方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照して
ください。
ネットワーク全体でのハードウェア セキュリティ モジュールの使用
ルート CA とサーバー証明書キーが保存されている Web Gateway アプライアンスのハードウェア セキュリティ
モジュール (HSM) をネットワーク内の他のアプライアンスでも使用できます。
使用可能なキーのリストが Web Gateway のユーザー インターフェースに表示されます。
ハードウェア セキュリティ モジュールの使用方法については、『McAfee Web Gateway 製品ガイド』の「Web フ
ィルタリング」を参照してください。
2
クラウド シングル サインオンの新しいコネクター
クラウド シングル サインオン (クラウド SSO の設定で使用可能な新しいクラウド コネクター。次のコネクターが
使用できます。
•
汎用 SAML2 コネクター
•
汎用 IceToken コネクター
•
112 個の個別のコネクターまたはコネクター テンプレートが事前に定義されています。
クライド シングル サインオンのコネクターの詳細については、『McAfee Web Gateway 製品ガイド』の「クラウ
ド シングル サインオン」を参照してください。
削除された MCSSO コンポーネント
®
Web Gateway と Web Gateway 製品の統合操作を有効にするために実装された McAfee Cloud Single Sign
On のコンポーネントが削除されました。後者の製品はまもなく マカフィー サポートの対象外になります。
残りのクライド シングル サインオン機能の詳細については、『McAfee Web Gateway 製品ガイド』の「クラウド
シングル サインオン」を参照してください。
FTP でのネクスト ホップ プロキシへの接続
FTP プロトコルでネクスト ホップ プロキシに接続するときに、異なるログオン コマンドを使用できます。 これに
より、以前の標準コマンドを拒否するネクスト ホップ プロキシにも Web Gateway から接続できます。
FTP 接続の詳細については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してください。
コンテンツ関連のヘッダー処理の向上
コンテンツ関連のヘッダー処理が変更されました。Web Gateway のプロキシ機能で制御される Web トラフィッ
クの受信と転送プロセスが向上しています。 content-length ヘッダーの全般的な処理と content-type ヘッダー
名の変更処理が変更されています。
プロキシ機能の詳細については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してください。
64 ビット マルウェア対策スキャン プロセス
Web Gateway の 32 ビット プロセスで使用されていたマルウェア対策スキャンが 64 ビット プロセスにも実装さ
れました。
マルウェア対策スキャンの詳細については、
『McAfee Web Gateway 製品ガイド』の「Web フィルタリング」を参
照してください。
Avira スキャンで処理可能なアーカイブ ファイルの最大サイズ
Avira エンジンがウイルスなどのマルウェアの感染をスキャンするアーカイブのメンバーに最大サイズを設定できま
す。 このサイズを超えるメンバーはスキャンされず、アーカイブはブロックされます。
マルウェア対策スキャンの詳細については、
『McAfee Web Gateway 製品ガイド』の「Web フィルタリング」を参
照してください。
RAR ファイル処理の向上
RAR アーカイブのファイル処理機能が改善されました。複数のコンテンツとファイル名を抽出し、フィルタリングで
使用できます。 RAR5 アーカイブのファイル処理もサポートしています。
3
フィルタリング ポリシーの詳細については、『McAfee Web Gateway 製品ガイド』の「Web フィルタリング」を
参照してください。
別のタブで表示されるテンプレート エディター
テンプレート エディターがポリシー最上位タブのタブとして表示されます。このタブは常に表示されています。
テンプレート エディターの詳細については、
『McAfee Web Gateway 製品ガイド』の「ユーザー メッセージ」を参
照してください。
ICAP 接続追跡の向上
ICAP プロトコルで Web Gateway をクライアントとして実行しているときに発生した問題を接続追跡で解決する
ときに、ICAP 要求と応答のヘッダーなど、追加情報が使用できるようになりました。
接続追跡の詳細については、『McAfee Web Gateway 製品ガイド』の「トラブルシューティング」を参照してくだ
さい。
VMware バージョン 5.5 のサポート
Web Gateway を仮想アプライアンスとしてセットアップする場合、バージョン 5.5 の VMware ESXi を使用して、
アプライアンスのプラットフォームとして仮想マシンを作成できます。
仮想アプライアンスのセットアップ方法については、『McAfee Web Gateway インストール ガイド』の「Web
Gateway のセットアップ」を参照してください。
新しいハードウェア
次世代の Web Gateway アプライアンスとして WBG-5000-C と WBG-55000-C に続き WBG-4500-C がリリ
ースされました。
これらのアプライアンス モデルの詳細については、『McAfee Web Gateway インストール ガイド』の「Web
Gateway のセットアップ」を参照してください。
解決された問題点
以下では、この製品リリースで解決された問題点について説明します。
括弧内の番号は Bugzilla の参照番号です。
ネットワーク通信
4
•
2 つの Web Gateway アプライアンスが透過型ルーター モードとブリッジ モードで実行されているときに、片
方のアプライアンスのアップグレード中に残りのアプライアンスが処理を引き継ぐと、トラフィックの重複エラ
ーが発生し、アプライアンスをインターネットに接続している Bluecoat デバイスの負荷が非常に高くなる場合
があります。 (934846)
•
Web Gateway が ICAP プロトコルでデータ損失防止のサーバーを使用していると、サーバーが使用不能になっ
ても Web Gateway にエラー メッセージが通知されず、問題の解決が認識されません。 (968741)
•
FTP プロトコルでファイルをアップロードするときにアクティブ FTP モードが使用されると、FTP データ接続が
オープンしない場合があります。 (970543)
•
IFP プロトコルでトラフィックを処理しているときに問題が発生すると、2 つのアプライアンスでコア プロセス
が失敗します。 (971436)
•
Web Gateway が "Transfer-Encoding: Chunked" というヘッダーを持つチャンク形式でないデータを Web
サーバーに送信します。 (971935)
•
FTP プロトコルで Web サーバーからクライアントにデータを転送すると、Web Gateway が制御接続でクライ
アントに確認を送信できません。このため、クライアントがデータ接続に応答できず、Web Gateway が接続を
終了します。 (972546)
•
Web Gateway がデータ損失防止のサーバーを ICAP プロトコルで使用している場合、サーバーの URL が変更
された後も接続が機能します。 ただし、ユーザーの要求は拒否され、最大接続数に達したと通知されます。
(978164)
•
ポリシーに従って転送を行うデバイスが Web トラフィックをフェールオーバー モードの 2 つの Web
Gateway アプライアンスに送信すると、転送を行うデバイスが FTP トラフィックを正しく処理できなくなり、
片方のアプライアンスの負荷が非常に高くなります。 (978861)
•
接続情報の取得を試みると、Web Gateway のコア プロセスが終了信号 6 で終了します。 (989661)
•
Web Gateway は、HTTP プロトコルで負荷分散装置から Web アクセス要求を受信すると、Web サーバーに要
求を転送する前に宛先の IP アドレスを変更します。これはプロキシ モードでは適切な処理ですが、一部のサー
バーは元の IP アドレスを必要とします。 (989815)
Web フィルタリング
•
URL.GeolocationForURL プロパティが内部的に処理されると、URL フィルタリングで分類済みの Web サイト
がダッシュボードで「ヒット数の多い未分類サイト」と表示されます。 (971208)
•
マルウェア対策フィルタリング情報の更新後にストリーム内の位置データが正しく転送されず、フィルタリング
プロセスでエラーが発生します。 (971518)
•
テスト ツールで、特定の URL と比較するルール条件の正規表現が有効と評価されました。 このルールを保存し
ようとすると、正規表現が無効であることを通知するエラー メッセージが表示されます。 (973029)
•
埋め込みスクリプトの ActiveX コントロールを無効にするように HTML フィルタリングを設定しても、スクリ
プトに複数のコントロールが存在すると、最初のコントロールしか無効になりません。 (974100)
•
ユーザーが非常に大きいストリーミング メディア ファイルのダウンロードを要求すると、検査のためストリー
ム ディテクターがファイルのダウンロードを開始しますが、この内部ダウンロードが時間内に完了せず、タイム
アウトが発生し、元の要求が失敗する場合があります。 (977942)
•
オブジェクトが埋め込まれた HTML ファイルにコンポジット オープナーが埋め込みオブジェクト サイクルを開
始すると、HTML オープナーも呼び出されます。 追加の埋め込みオブジェクト サイクルが開始しないため、削除
が必要な HTML オブジェクトの一部がファイルに残ります。 (978743)
•
URL.Host.BelongsToDomains プロパティで項目数が非常に多いリストが処理されると、集中管理クラスターの
複数のアプライアンスで CPU 使用率が高くなり、インターネット アクセスが遅くなります。 (979545)
•
カテゴリが見つからない URL がレピュテーションで最小リスクと評価されても、isTrustWorthy 変数が true
に設定されていないため、この情報がプロセス内部で正しく反映されません。 (980077)
•
未分類の URL に DNS の逆引き参照が実行されると、参照結果からカテゴリを特定できず、URL が無効と見な
されます。ユーザーの要求は拒否され、エラー メッセージが表示されます。 (985602)
•
String.URLDecode プロパティを使用して、プロパティのターゲット パラメーターに指定された URL をデコー
ドすると、URL の一部がデコードされない場合があります。 (996841)
5
SSL 証明書
•
下位の証明機関の証明書を Microsoft 証明機関からインポートすると、エラーが発生し、証明書が見つからない
ことを通知するメッセージが表示されます。 (985861)
•
証明機関の証明書をインポートすると、SSL クライアント コンテキストのオプションを使用して新しい証明書を
作成できません。証明書を保存すると Java エラーが発生します。 (997033)
集中管理
•
アプライアンスが集中管理クラスターに戻ると、SaaS コネクターの問題で別のクラスター メンバーから設定を
取得できず、古いバックアップで設定が復元されます。 古いバックアップに最新の設定データが存在すると誤っ
て解釈され、このバックアップが他のすべてのクラスター メンバーにも配布されます。 (968348)
•
集中管理クラスターのノードが別のノードから更新を受信し、関連する制御ファイルを取得した後で、このノー
ドが次の更新を更新サーバーに送信すると、バージョン ID が壊れていることを通知するエラー メッセージが表
示されます。 (996655)
アクセス制御
•
アクセスが制限されているユーザーの役割で最上位のルール セットを作成すると、スーパー管理者の役割で既存
のルール セットが表示できなくなります。 (983286)
•
カウンターの設定は多くのルール セットに含まれているため、管理者の役割にこの設定を処理できる権限がない
場合、この役割でルール セットをインポートしたり、実装済みのルール セットに追加することができません。
(988966)
•
ユーザー定義プロパティの権限に対する変更を保存できません。変更のダイアログ ボックスを閉じると、変更内
容が消えます。 (990390)
•
ユーザー データベース リストを操作する権限で、編集オプションが使用できません。 (990581)
エンコーディング文字とデコード文字
•
ユーザーに対する通知メールにロシア語の文字が含まれていると、正しくエンコーディングまたは表示されませ
ん。 (986401)
•
URL 内の文字が制御文字として解釈されると、Java エラーが発生し、URL 処理の追跡ルールが失敗します。
(988628)
その他
6
•
DNS とネットワーク インターフェースの設定を変更して保存すると、一部のファイルのデータが正しく読み取
られず、エラーが発生します (964867)
•
アップグレード後にアプライアンスにアクセス不能になり、スロー パス警告が表示されます。 再起動後もクライ
アントの Web アクセス速度が解決していないと、さらにエラー メッセージが表示されます。 (965698)
•
キャッシュ制御ヘッダーの最大経過時間の設定が 0 に設定されている場合でも、キャッシュ内のコンテンツが要
求に応じて配信されます。 (968495)
•
REST インターフェースでインポートする XML ファイルに正しく分類されていない 2 つのキーが含まれている
と、処理不能なエンティティ エラーが発生します。 (971059)
•
5000 以上の接続 (ストリーミング メディアを含む) を保持したり、Web セキュリティ ポリシーの複数のインス
タンスを保存すると、片方のアプライアンスでルール追跡のタイミングに問題が発生し、もう片方のアプライア
ンスが過負荷状態になり、コア プロセスが停止します。 (971174)
•
無効なタイムスタンプにより、McAfee Attribute Storage (MAS) が同期要求を拒否します。 (986648)
•
URL 内の文字が制御文字として解釈されると、Java エラーが発生し、URL 処理の追跡ルールが失敗します。
(988628)
•
Web Gateway に CVE-2014-3511 と CVE-2014-3509 の OpenSSL の脆弱性が存在します。 これらの脆弱
性は、サービス拒否攻撃だけでなく仲介者攻撃にも利用され、サーバー クライアント メッセージの暗号化プロト
コルが安全性の低いバージョンいダウングレードされます。 (989199)
•
ライブラリから関連するルール セットをインポートした後で McAfee Advanced Threat Defense のスキャン
アクティビティに関するログ ファイル項目が Web Gateway から McAfee Content Reporter に送信されま
すがルール セットが項目を正しく処理していません。 (990469)
®
®
•
ユーザー インターフェースでリストの作成またはインポートを行って保存し、再度ログオンすると、変更が反映
されていますが、変更を保存するボタンがグレー表示になります。 (991852)
•
Web Gateway に CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187 の bash シェ
ルの脆弱性が存在します。 この脆弱性が悪用されると、環境変数の値で任意のコードが実行されます。
(1009816)
•
Web Gateway が使用していた Mozilla NSS 暗号化ライブラリのバージョンに CVE-2014-1568 の脆弱性が
存在していました。 (1013040)
このライブラリは Web Gateway の Web トラフィック処理で使用されていません。これらの機能
が脆弱性の影響を受けることはありません。 Web Gateway アプライアンス システムの一部はこの
ライブラリにリンクしていますが、この脆弱性が存在する RSA 署名処理は使用していません。
Web Gateway がこの脆弱性の影響を受けることはありませんが、この製品リリースには修正後のラ
イブラリ (nss-3.16.1-4.mlos2.mwg) が含まれています。
インストール手順
Web Gateway 7.5.0 をアプライアンスにインストールする場合、現在実行しているバージョンによってインストー
ル要件が異なります。
•
ベータテスト用のバージョン 7.5.0 を実行している場合には、新しいバージョンのイメージを使用してアプライ
アンスを再イメージ化してください。
バージョン 7.3.x または 7.4.x の場合、リポジトリの登録後に新しいバージョンにアップグレードできます。
「7.4.x または 7.3.x からアップグレードする」を参照してください。
•
バージョン 7.2.x または 7.x より前のバージョンを実行している場合:
•
構成のバックアップを作成します。
ユーザー インターフェースで [トラブルシューティング ] 、 [バックアップ/復元] の順に移動し、オプショ
ンを選択してバックアップを作成します。
•
新しいバージョンへアップグレードします。 「7.2.x または 7.x より前のバージョンからアップグレードす
る」を参照してください。
アップグレード プロセスでは、オペレーティング システムもアップグレードされます。このため、通常より
時間がかかります。
アップグレード プロセスが失敗または中断した場合には、新しいバージョンのイメージを使用してアプライ
アンスを再イメージ化するか、構成のバックアップをインストールできます。
7
あるいは、次の操作を行います。
•
•
構成のバックアップを作成します。
•
新しいバージョンのイメージを使用してアプライアンスを再イメージ化し、構成のバックアップをインストー
ルします。
バージョン 6.8.x または 6.9.x を実行している場合には、新しいバージョンのイメージを使用してアプライアン
スを再イメージ化する必要があります。
マカフィー Content & Cloud Security ポータルのダウンロード ページ (https://
contentsecurity.mcafee.com/software_mwg7_download) から、新しいバージョンのイメージをダウンロード
します。
再イメージ化の詳細については、『McAfee Web Gateway 製品ガイド』を参照してください。
Web Gateway 7.5.0 のインストールが完了すると、マルウェア対策フィルタリング情報を含むライブラ
リの更新が開始します。 更新後のライブラリは、新しい 64 ビットのマルウェア スキャン プロセスと互
換性があります。
更新が完了するまで、Web オブジェクトのスキャンは実行されません。 この間、Web Gateway の初期
セットアップ後にデフォルトで有効になるルールに従って Web へのアクセスがブロックされます。
7.4.x または 7.3.x からアップグレードする
バージョン 7.3.x または 7.4.x の場合、リポジトリの登録後に新しいバージョンにアップグレードできます。 シス
テム コンソールからまたはユーザー インターフェースでアップグレードを実行できます。
ユーザー インターフェースでアップグレードを実行する
アップグレードを実行するときに、ユーザー インターフェースのオプションを使用できます。
タスク
1
[構成 ] 、 [アプライアンス] の順に選択します。
2
アプライアンス ツリーで、アップグレードを実行するアプライアンスを選択します。
タブの右上隅にアプライアンス ツールバーが表示されます。
3
[アプライアンス ソフトウェアの更新] をクリックします。
新しいバージョンへのアップグレードが実行されます。 アップグレード プロセスの途中でユーザー インターフ
ェースから自動的にログオフします。
4
アップグレードの完了を通知するメッセージが表示されたら、次の処理を行います。
a
ユーザー インターフェースに再度ログオンします。
b
次に、 [設定] 、 [アプライアンス]の順に選択して、アプライアンスを選択します。
c
アプライアンスのツールバーで [再起動] をクリックします。
再起動の完了後にユーザー インターフェースにログオンすると、新しいバージョンを使用できます。
8
システム コンソールからアップグレードする
アプライアンスにシステム コンソールを直接接続してローカルで使用することも、SSH 経由でリモートから操作す
ることもできます。
タスク
1
アップグレードするアプライアンスにログオンします。
2
次の 2 つのコマンドを使用します。
yum upgrade yum
yum upgrade
新しいバージョンへのアップグレードが実行されます。
3
アップグレードの完了を通知するメッセージが表示されたら、次のコマンドを実行します。
reboot
再起動が完了すると、ログオン プロンプトが表示されます。ユーザー インターフェースにログオンすると、新しい
バージョンを使用できます。
7.2.x または 7.x より前からアップグレードする
バージョン 7.2.x または 7.x より前のバージョンを実行している場合には、システム コンソールを使用して新しい
バージョンにアップグレードします。
アプライアンスにシステム コンソールを接続してローカルで使用することも、SSH 経由でリモートから操作するこ
ともできます。
タスク
1
アップグレードするアプライアンスにログオンします。
2
次の 2 つのコマンドを使用します。
yum upgrade yum yumconf\*
mwg-dist-upgrade 7.5.0
新しいバージョンに 2 段階でアップグレードされます。 各段階が完了すると、アプライアンスが自動的に再起動
します。
9
3
次のいずれかの方法で、インストールを完了します。
•
ローカルのシステム コンソールを使用している場合:
2 回目の再起動が完了すると、ログオン プロンプトが表示されます。ユーザー インターフェースにログオン
すると、新しいバージョンを使用できます。
•
SSH を使用している場合:
アップグレードの最初の段階が終了してアプライアンスが再起動すると、アプライアンスから切断され、次の
段階が開始します。この段階が完了し、アプライアンスが自動的に再起動すると、ユーザー インターフェー
スにログオンして新しいバージョンを使用できます。
2 番目の段階が完了する前にログオンすると、この段階がまだ実行中であることを通知するメッセージが表示
されます。 この段階の最後にアプライアンスが再起動すると、アプライアンスから切断されます。 新しいバ
ージョンを使用するには、再度ログオンする必要があります。
次のコマンドを実行すると、アップグレード プロセスに関するメッセージを表示できます。
tail -F /opt/mwg/log/update/mlos2.upgrade.log
アップグレードが完了したら、Ctrl キーと C を押して、モニタリング プロセスを停止します。ユーザー イ
ンターフェースにログオンすると、新しいバージョンを使用できます。
既知の問題
このリリースで確認されている既知の問題については、マカフィー KnowledgeBase の記事 KB82983 を参照して
ください。
製品マニュアルの検索
製品のリリース後は、マカフィー のオンライン ナレッジセンターに製品情報が掲載されます。
タスク
10
1
マカフィー ServicePortal (http://support.mcafee.com) に移動して、[ナレッジセンター] をクリックしま
す。
2
製品名を入力してバージョンを選択し、[検索] をクリックしてマニュアルのリストを表示します。
製品マニュアル
McAfee 製品には、総合的なドキュメント セットが用意されています。Web Gateway では、次のドキュメントが
用意されています。
• 『McAfee Web Gateway 製品ガイド』 - Web Gateway の特徴と機能、製品の概要、製品の設定と保守の手順
について詳しく説明します。
• 『McAfee Web Gateway インストール ガイド』 - Web Gateway のセットアップ方法について説明します。
この製品と一緒に使用可能なデバイスについても説明します。
• 『McAfee Web Gateway クイック スタート ガイド』- ハードウェア プラットフォームにアプライアンス ソフ
トウェアがプリインストールされている Web Gateway のセットアップ方法を簡単に説明しています。
ハードウェアにソフトウェアがプリインストールされているバージョンの場合、このガイドは印刷物として提供
されます。
Web Gateway バージョン 7.5.0 の場合、ソフトウェアはプリインストールされていません。
Copyright © 2014 McAfee, Inc. www.intelsecurity.com
Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。
その他すべての登録商標および商標はそれぞれの所有者に帰属します。
B16