McAfee Web Gateway 7.5.1 リリースノート

リリースノート
改訂 C
McAfee Web Gateway 7.5.1
目次
このリリースについて
新機能と機能強化
解決された問題点
インストール手順
既知の問題
製品マニュアルの検索
このリリースについて
この資料には、このリリースに関する重要な情報が含まれていますので、ぜひご一読いただくようお願いいたします。
®
McAfee Web Gateway (Web Gateway) バージョン 7.5.1 は限定リリースとして提供されます。このバージョ
ンでは、新機能の追加と機能強化を行い、以前のリリースに存在した問題を解決しています。
新機能と機能強化
このリリースで追加された機能と強化された機能は次のとおりです。
最新の製品リリースの新機能と機能強化を導入する前に、Web Gateway アプライアンスを実行する物理
または仮想プラットフォームのメモリーをアップグレードすることをお勧めします。
このアップグレードの詳細については、『Web Gateway インストールガイド』の「McAfee Web
Gateway のセットアップ」を参照してください。
1
SAML を使用した新しい認証方法
Web Gateway では、SAML サービスプロバイダー役割を実行することで、信頼済みの外部 ID プロバイダーを使
用した認証が可能になりました。 Web Gateway は、プロキシと認証サーバーを介してサービスプロバイダー役割
を実装します。認証サーバーは、SAML アサーションを使用して認証済みのユーザーに Cookie を設定します。
SAML 認証方法の設定方法については、『McAfee Web Gateway 製品ガイド』の「クラウドシングルサインオン」
を参照してください。
クラウド SSO 認証の新しい設定オプション
クラウドストレージサインオン (クラウド SSO) に汎用の SAML2 コネクターを設定すると、管理者は新しいタイ
ムスタンプオプションを使用できます。
クラウド SSO 機能の設定方法については、
『McAfee Web Gateway 製品ガイド』の「クラウドシングルサインオ
ン」を参照してください。
クラウド SSO の拡張ロギング
Web Gateway では、シングルサインオン要求の情報を保存する新しいプロパティと、SSO アクセスログを生成す
る新しいルールセットが追加されました。このルールセットを使用すると、保存された情報から SSO 追跡ログも
生成できます。
クラウド SSO 機能の設定方法については、
『McAfee Web Gateway 製品ガイド』の「クラウドシングルサインオ
ン」を参照してください。
新しいクラウド SSO コネクター
クラウドシングルサインオン (クラウド SSO) の設定で使用可能なクラウドコネクターが新たに 85 個追加され
ました。
クラウド SSO コネクターの詳細については、
『McAfee Web Gateway 製品ガイド』の「クラウドシングルサイン
オン」と「McAfee Web GatewaySSO カタログ」を参照してください。
送信 IP アドレスを制御する新しいプロパティ
Web Gateway が Web サーバーやネクストホッププロキシーとの接続に使用する送信接続のデータを記録する新
しいプロパティが追加されました。
ロギング用の新しいプロパティ:
•
Web Gateway が送信接続に使用する送信元 IP アドレス
•
Web Gateway がこれらの接続に使用する送信元ポート
•
Web Gateway が送信元 IP アドレスを選択するリスト
送信 IP アドレスの制御方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してくださ
い。
VLAN トラフィックに対するネットワークインターフェースの拡張機能
VLAN トラフィックを処理できるように、Web Gateway アプライアンスのネットワークインターフェースを設定
できます。
これらのインターフェースを使用すると、IPv6 で送信される VLAN トラフィックを処理することができます。
ネットワークインターフェースの設定に関する詳細については、
『McAfee Web Gateway 製品ガイド』の「システ
ム設定」を参照してください。
2
明示的プロキシモードで Web トラフィックを転送する新しいオプション
Web Gateway が負荷分散などから受信し、宛先に転送する Web トラフィックを明示的プロキシモードで転送でき
るようになりました。
プロキシの設定方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してください。
認証プロセスでのユーザー名の処理方法の変更
SWPS (McAfee Client Proxy) 認証方法を使用した場合、Authentication.RawUserName プロパティの値が
McAfee Client Proxy から提供されるユーザー名 (例: domain\user) に変更されました。以前のバージョンと
同様に、Authentication.UserName プロパティには、ドメインまたは領域情報のないユーザー名が含まれていま
す。
®
認証の設定方法については、『McAfee Web Gateway 製品ガイド』の「認証」を参照してください。
SNMP でメモリーの使用状況をモニタリングする新しい項目
MIB (Management Information Base) に新しい項目が追加されました。これにより、SNMP プロトコルによる容
量管理が強化され、メモリー使用率の警告機能が向上しました。
新しい項目では、アプライアンスのマルウェア対策と一部のシステム機能の仮想メモリーの使用状況を使用可能な物
理メモリーや予約済みのスワップ領域と比較しながらモニタリングします。
SNMP モニタリングの詳細については、『McAfee Web Gateway 製品ガイド』の「モニタリング」を参照してくだ
さい。
証明書ダウンロードの追加情報
Web Gateway のテンプレートフォルダーに保存された証明書ファイルに対するアクセス要求のヘッダーで、コン
テンツタイプを送信できるようになりました。
この情報を追加すると、証明書に表示されるページ (ブロックページなど) のリンクを使用して証明書をダウンロー
ドできます。
証明書の処理に関する詳細については、
『McAfee Web Gateway 製品ガイド』の「Web フィルタリング」を参照し
てください。
HTTP 要求処理の向上
HTTP 通信の要求ヘッダーに関して、次の改善が行われました。
•
HTTP 要求でコンテンツ長が繰り返し送信される場合、Web Gateway は重複する情報を無視し、要求の処理を
続行します。
•
フィルタリング情報の更新で、相対 URL を使用して HTTP 要求のヘッダー内の場所を指定できます。
HTTP 要求の処理方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してください。
解決された問題点
この製品リリースでは、以下の問題が解決されています。
括弧内の番号は Bugzilla の参照番号です。
3
ネットワーク通信
•
ICAP サーバーとの通信で、サーバーが使用可能であっても、1 回の要求が失敗しただけで Web Gateway で使
用不能と報告されます。 (992815)
•
Web Gateway が XMPP プロキシとして実行されているときに、プロトコル規則を遵守していないトラフィック
により、初期化されていない接続を介して Web サーバーへのデータ送信が試行され、コアプロセスでエラーが
発生します。 (993448)
•
SSL で保護された ICAP 通信で要求を送信するときに、Web Gateway がプロトコルを icaps と指定します。
Symantec のネットワークコンポーネントは広く使用されている規約に従い、接続が SSL で保護される場合で
も icap を使用するため、接続エラーが発生します。 (1011054)
•
Web Gateway が IFP プロキシとして実行されているときに、IFP プロトコルに準拠して要求された URL だけ
でなく、完全な要求ヘッダーが送信されるため、要求の処理が数回失敗します。 (1012953)
•
長期間実行された接続でエラーが発生すると、フラグが正しくリセットされません。このため、コアプロセスで
エラーが発生し、終了信号 11 が戻されます。 (1013944)
•
Web Gateway でホストヘッダーのない ICAP 要求を受信すると、URL.Categories プロパティの処理時に
URL フィルタリングで内部エラーが発生します。 (1016815)
•
Web Gateway の内部サービスで専有されるため、ポート 8443 で要求を待機できません。 (1016903)
•
パスワードに含まれる $ 文字がエンコードされて Web サーバーに転送されるため、認証要求がブロックされま
す。この問題は、ネクストホッププロキシを使用する場合に発生します。 (1028038)
•
SSL で保護された接続で定期的な更新ファイルをダウンロードしてフィルタリング情報を更新すると、稼働中に
更新サーバーに接続しても、Web Gateway でエラーが発生します。 (1030275)
•
Web Gateway が SOCKS プロキシとして実行され、Web サーバー上の特定のソフトウェアに対するアクセス
が許可されていると、データストリームが繰り返し中断します。 (1030881)
•
Web Gateway で使用されているドメイン接尾辞リストにないドメイン接尾辞を持つ Web サイトにアクセスで
きません。 (1031803)
•
Web Gateway が SOCKS プロキシとして実行されていると、アプライアンスがアクセス不能になるまで接続数
と CPU の使用率が上昇します。 (1034278)
Web フィルタリング
•
PDF ファイルに埋め込まれたファイルの形式が Web Gateway のオープナーに対応していないと、ファイルが誤
って video.mpg ファイルとして分類されます。 (625502)
•
バージョンの異なる Web Gateway が実行されているアプライアンスの集中管理クラスターでクォータルール
が同期されると、コアプロセスでエラーが発生し、終了信号 6 が戻されます。 (965782)
•
Web Gateway で有効になっている Helix プロキシに問題があるため、リアルタイムストリーミングデータが
処理されません。 (968670)
•
3 つの新しい URL 関連プロパティを保存してルールで使用できません。これらのプロパティは、エラーテンプ
レートに組み込まれた場合にのみ機能します。 (1003353)
•
URL フィルタリングに位置情報の評価が含まれている場合、キャッシュされた情報が破棄され、要求ごとに
McAfee Global Threat Intelligence (McAfee GTI) サービスによるクラウド参照が実行されるため、要求の
処理に遅延が生じます。 (1005068)
®
4
™
•
McAfee Anti-Malware Engine の更新状況がダッシュボードに表示されません。 (1009924)
•
ユーザーインターフェースにアクセスできないときに、内部設定ツールが開始できないというエラーメッセージ
が表示されます。この問題は、無効なリストエントリが原因で発生しています。 (1011579)
•
URL.Categories プロパティに既知の値が設定され、この値から Reporting.URL.Categories プロパティの値を
決定する必要がある場合でも、Reporting.URL.Categories プロパティの状態を通知するエラーメッセージが生
成されます。 (1012372)
•
URL.SmartMatch プロパティを使用して、要求された URL の一部とリスト内のエントリが一致するかどうか比
較すると、ダッシュで始まるエントリがすべての URL に一致します。 (1016043)
•
URL フィルタリングモジュールがポート番号を含むクエリーを DNS サーバーに送信すると、検索が失敗しま
す。 (1017961)
•
ファイルオープナーが LZMA タイプのアーカイブファイルを誤って破損ファイルに分類します。このため、コ
アプロセスでエラーが発生し、終了信号 6 を戻します。 (1020861)
•
ルールで URL.Geolocation プロパティを使用してクラウド検索を無効にすると、URL カタログリストが空にな
ります。このため、リストのカテゴリに該当する URL が以降のルールでブロックされません。 (1021852)
•
ファイル名またはディレクトリ名にスペースが含まれていると、通過を許可すべき要求がブロックされます。
(1023366)
•
応答がキャッシュに保存されないため、McAfee Global Threat Intelligence サービスを利用したマルウェア対
策フィルタリングのクエリーが URL ごとに繰り返し実行されます。 (1023834)
•
スキャン後に誤ってマルウェアと認識されるため、Adobe Acrobat アーカイブファイルのダウンロードがブロ
ックされます。 (1023940)
•
XML アーカイブファイルのオープナーが Web Gateway に存在しない場合、このタイプの特定のファイルブロ
ックされますが、他のファイルは正しく処理されます。 (1028174)
SSL で保護された通信
•
証明機関の証明書をインポートすると、SSL クライアントコンテキストのオプションを使用して新しい証明書を
作成できません。証明書を保存すると Java エラーが発生します。 (997033)
•
SSL トンネル検証の設定が有効になっていると、ネクストホッププロキシ経由で Web から更新データをダウン
ロードできません。この設定は、ネクストホッププロキシ経由で送信できない要求をトリガーします。
(1014413)
•
SSL で保護された通信で、証明書チェーンに誤って期限切れの証明書が含まれていると、要求がブロックされま
す。中間の証明機関が使用する時間形式が正しく処理できないと、この問題が発生します。 (1019470)
•
いくつかの Web で、SSL CONNECT が正しく実行されず、SSL 経由のアクセスが失敗します。 (1027169)
•
削除された証明書失効リストが Web Gateway で使用され、このリストの証明書が処理されるとエラーメッセ
ージが表示されます。 (1027981)
•
特定の Web サイトにアクセスすると、SSL スキャンエラーが発生します。 (1031636)
ユーザーインターフェース
•
208 個のエントリを挿入すると、静的ルートを設定するテーブルがなくなり、接続が解除されます。 (1010222)
•
管理側のシステムで重大度 6 のトラップが表示されても、Web Gateway に表示される SNMP モニタリングの
説明テキストにこの重大度が表示されません。 (1012051)
•
Web Gateway の新しいバージョンをアップグレードすると、一部のアラートがダッシュボードに誤って繰り返
し表示されます。 (1012254)
•
スケジュールジョブが成功または失敗したときに、間違ったインシデント ID がダッシュボードに表示されます。
(1013435)
5
•
集中管理の追加ノードを設定するときに、ダイアログボックスでポートを指定できません。 (1030779)
•
Web Gateway のアップグレード時に、移行コードがトリガーされず、ユーザーインターフェースにアクセスで
きなくなります。 (1031212)
その他
•
文字変換に問題があるため、Data Loss Prevention (DLP) のルールを処理するテキストの検索で、ロシア文字
を含む単語を使用できません。 (985776)
•
ポリシーの複数のインスタンスを読み込んで保存すると、メモリーの使用率が上昇します。これにより、コアプ
ロセスでエラーが発生し、終了信号 6 を戻します。 (985923)
•
有効期間が過ぎると、PDStorage ユーザーマップのエントリが正しく削除されません。ルールで
PDStorage.Cleanup イベントが使用されていても同様の問題が発生します。 (1003320)
•
Web Gateway に CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187 の bash シェ
ルの脆弱性が存在します。この脆弱性が悪用されると、環境変数の値で任意のコードが実行されます。
(1009816)
•
ファイルの読み取りに問題があるため、コアプロセスでエラーが発生し、終了信号 11 を戻します。 (1010432)
•
ライセンスの問題が原因でアプライアンスのコアプロセスでエラーが発生し、Web トラフィックの処理を停止し
ます。エラーの発生後、他のアプライアンスが Web トラフィックの処理を継続します。 (1014292)
•
接続の問題でスケジュールジョブで新しいバージョンの proxy.pac ファイルのダウンロードに失敗すると、既
存のバージョンのファイルが空のファイルで上書きされます。 (1015284)
•
重大な状況を通知しない電源制限通知がシステムコンソールに繰り返し表示され、Syslog に書き込まれます。
(1018504)
•
PDF ファイルをダウンロードすると、コアプロセスの子プロセスでエラーが発生し、終了信号 11 を戻します。
(1020267)
•
プライバシーを保護するため、処理の続行前に要求から via ヘッダーを削除するライブラリルールセットを使
用しても、外部ヘッダーしか削除されません。 (1020446)
•
内部問題でコアプロセスでエラーが発生し、終了信号 11 を戻します。この問題は、ルール追跡でマップの作成
中に発生します。 (1020521)
•
ユーザー定義プロパティとしてルールで使用するために空のリストを作成すると、リストが正しく処理されず、
ルールの保存に失敗します。 (1027711)
•
バージョンのアップグレード中に Web Gateway をシャットダウンすると、コアプロセスでエラーが発生し、
終了信号 11 を戻します。 (1029828)
•
ローテーション後にログファイルを GZIP で圧縮すると、他の作業中のスレッドがブロックされ、圧縮スレッド
の完了待ちになります。 (1030598)
•
Web Gateway に CVE-2015-0235 の脆弱性が存在します。この問題は、glibc の DNS 参照解決部分に存在し
ます。 (1037024)
調査の結果、Web Gateway に対する攻撃ベクトルは確認できませんでした。これは、Web Gateway が異なる方
法で DNS 参照を実装しているためです。ただし、Web Gateway では Helix Streaming Proxy などのサードパ
ーティ製品が使用され、これらの製品が脆弱性の影響を受ける可能性があるため、修正を実装しました。
6
インストール手順
Web Gateway 7.5.1 をアプライアンスにインストールする場合、現在実行しているバージョンによってインストー
ル要件が異なります。
•
•
•
7.5.x より前のバージョンの場合、新しいバージョンにアップグレードできます。「7.3.x 以降からアップグレ
ードする」を参照してください。
バージョン 7.3.x または 7.4.x の場合、リポジトリの登録後に新しいバージョンにアップグレードできます。
「7.3.x 以降からアップグレードする」を参照してください。
バージョン 7.2.x または 7.x より前のバージョンを実行している場合:
•
構成のバックアップを作成します。
ユーザーインターフェースで [トラブルシューティング ] 、 [バックアップ/復元] の順に移動し、オプショ
ンを選択してバックアップを作成します。
•
新しいバージョンへアップグレードします。「7.2.x または 7.x より前のバージョンからアップグレードす
る」を参照してください。
アップグレードプロセスでは、オペレーティングシステムもアップグレードされます。このため、通常より
時間がかかります。
アップグレードプロセスが失敗または中断した場合には、新しいバージョンのイメージを使用してアプライ
アンスを再イメージ化するか、構成のバックアップをインストールできます。
あるいは、次の操作を行います。
•
•
構成のバックアップを作成します。
•
新しいバージョンのイメージを使用してアプライアンスを再イメージ化し、構成のバックアップをインストー
ルします。
バージョン 6.8.x または 6.9.x を実行している場合には、新しいバージョンのイメージを使用してアプライアン
スを再イメージ化する必要があります。
McAfee Content & Cloud Security ポータルのダウンロードページ (https://contentsecurity.mcafee.com/
software_mwg7_download) から、新しいバージョンのイメージをダウンロードします。
再イメージ化の詳細については、『McAfee Web Gateway 製品ガイド』を参照してください。
7.3.x 以降からアップグレードする
バージョン 7.5.x の場合、新しいバージョンにすぐにアップグレードできます。バージョン 7.4.x または 7.3.x の
場合、アップグレード前にリポジトリを有効にする必要があります。
システムコンソールからまたはユーザーインターフェースでアップグレードを実行できます。
リポジトリを登録する
バージョン 7.3.x または 7.4.x からアップグレードする前に、新しいバージョンのリポジトリを登録します。
リポジトリの登録は、アプライアンスにシステムコンソールを直接接続してローカルで行うことも、SSH 経由でリ
モートから行うこともできます。
タスク
1
アップグレードするアプライアンスにログオンします。
2
次のコマンドを実行します。
mwg-switch-repo 7.5.1
7
ユーザーインターフェースまたはシステムコンソールから新しいバージョンにアップグレードできます。
ユーザーインターフェースでアップグレードを実行する
アップグレードを実行するときに、ユーザーインターフェースのオプションを使用できます。
タスク
1
[構成 ] 、 [アプライアンス] の順に選択します。
2
アプライアンスツリーで、アップグレードを実行するアプライアンスを選択します。
タブの右上隅にアプライアンスツールバーが表示されます。
3
[アプライアンスソフトウェアの更新] をクリックします。
新しいバージョンへのアップグレードが実行されます。アップグレードプロセスの途中でユーザーインターフ
ェースから自動的にログオフします。
4
アップグレードの完了を通知するメッセージが表示されたら、次の処理を行います。
a
ユーザーインターフェースに再度ログオンします。
b
[設定] 、 [アプライアンス]の順に選択して、アプライアンスを選択します。
c
アプライアンスのツールバーで [再起動] をクリックします。
再起動の完了後にユーザーインターフェースにログオンすると、新しいバージョンを使用できます。
システムコンソールからアップグレードする
アプライアンスにシステムコンソールを直接接続してローカルで使用することも、SSH 経由でリモートから操作す
ることもできます。
タスク
1
2
アップグレードするアプライアンスにログオンします。
次の 2 つのコマンドを使用します。
yum upgrade yum
yum upgrade
新しいバージョンへのアップグレードが実行されます。
3
アップグレードの完了を通知するメッセージが表示されたら、次のコマンドを実行します。
reboot
再起動が完了すると、ログオンプロンプトが表示されます。ユーザーインターフェースにログオンすると、新しい
バージョンを使用できます。
7.2.x または 7.x より前からアップグレードする
バージョン 7.2.x または 7.x より前のバージョンを実行している場合には、システムコンソールを使用して新しい
バージョンにアップグレードします。
アプライアンスにシステムコンソールを接続してローカルで使用することも、SSH 経由でリモートから操作するこ
ともできます。
8
タスク
1
アップグレードするアプライアンスにログオンします。
2
次の 2 つのコマンドを使用します。
yum upgrade yum yumconf\*
mwg-dist-upgrade 7.5.1
新しいバージョンに 2 段階でアップグレードされます。各段階が完了すると、アプライアンスが自動的に再起動
します。
3
次のいずれかの方法で、インストールを完了します。
•
ローカルのシステムコンソールを使用している場合:
2 回目の再起動が完了すると、ログオンプロンプトが表示されます。ユーザーインターフェースにログオン
すると、新しいバージョンを使用できます。
•
SSH を使用している場合:
アップグレードの最初の段階が終了してアプライアンスが再起動すると、アプライアンスから切断され、次の
段階が開始します。この段階が完了し、アプライアンスが自動的に再起動すると、ユーザーインターフェー
スにログオンして新しいバージョンを使用できます。
2 番目の段階が完了する前にログオンすると、この段階がまだ実行中であることを通知するメッセージが表示
されます。この段階の最後にアプライアンスが再起動すると、アプライアンスから切断されます。新しいバ
ージョンを使用するには、再度ログオンする必要があります。
次のコマンドを実行すると、アップグレードプロセスに関するメッセージを表示できます。
tail -F /opt/mwg/log/update/mlos2.upgrade.log
アップグレードが完了したら、Ctrl キーと C を押して、モニタリングプロセスを停止します。ユーザーイ
ンターフェースにログオンすると、新しいバージョンを使用できます。
既知の問題
このリリースで確認されている既知の問題については、McAfee Knowledge Center の記事 KB82983 を参照して
ください。
製品マニュアルの検索
製品のリリース後は、McAfee のオンラインナレッジセンターに製品情報が掲載されます。
タスク
1
McAfee ServicePortal (http://support.mcafee.com) で、[Knowledge Center] タブに移動します。
2
[KnowledgeBase] ペインで、コンテンツのソースをクリックします。
•
[Product Documentation] をクリックして、ユーザーマニュアルを検索します。
•
[Technical Articles] をクリックして、KnowledgeBase の記事を検索します。
9
3
[Do not clear my filters] を選択します。
4
製品名を入力してバージョンを選択し、[Search] をクリックします。マニュアルの一覧が表示されます。
製品マニュアル
McAfee 製品には、総合的なドキュメントセットが用意されています。Web Gateway では、次のドキュメントが
用意されています。
• 『McAfee Web Gateway 製品ガイド』－ Web Gateway の特徴と機能、製品の概要、製品の設定と保守の手順
について詳しく説明します。
• 『McAfee Web Gateway インストールガイド』－ Web Gateway のセットアップ方法について説明します。
この製品と一緒に使用可能なデバイスについても説明します。
• 『McAfee Web Gateway クイックスタートガイド』－ハードウェアプラットフォームにアプライアンスソフ
トウェアがプリインストールされている Web Gateway のセットアップ方法を簡単に説明しています。
ハードウェアにソフトウェアがプリインストールされているバージョンの場合、このガイドは印刷物として提供
されます。
Web Gateway バージョン 7.5.1 の場合、ソフトウェアはプリインストールされていません。
Copyright © 2015 McAfee, Inc. www.intelsecurity.com
Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。
その他すべての登録商標および商標はそれぞれの所有者に帰属します。
C16

Download Report