プロキシの背後に配置されたAgentの接続

インターネット、Deep Security Manager、またはRelayにアクセスするためにプロキシを必要とするコンピュータを保護するには、Deep Security Managerにプロキシのアドレスを設定する必要があります。この設定により、Agentにこの情報が提供されます (また、CLIを使用してAgentでローカルにプロキシを設定することもできます)。

このトピックの内容:

要件

プロキシを経由してAgentをRelayまたはManagerに接続する場合 (特にアプリケーションコントロールルールセットの場合) は、Deep Security Agent 10.0以降が必要です。

Deep Security Managerでプロキシを登録する

  1. Deep Security Managerで、[管理][システム設定][プロキシ] の順に選択します。
  2. [プロキシサーバ] エリアで、メニューバーの [新規] をクリックして新しいHTTPプロキシを作成します。
  3. プロトコル、IPアドレス、ポート番号、ユーザ名、パスワードを入力します。

プロキシを経由してAgent、Appliance、Relayをセキュリティアップデートに接続する

また、代わりにコマンドラインを使用してプロキシの使用を設定することもできます。

  1. [プロキシ] タブの [プロキシサーバの使用] エリアで、[Agent、Appliance、およびRelayで使用するセキュリティアップデート用のプライマリプロキシサーバ] 設定を新しいプロキシに変更します。
  2. [保存] をクリックします。

プロキシを経由してAgentをセキュリティサービスに接続する

  1. Deep Security Managerで、上部の [ポリシー] をクリックします。
  2. 左側で [ポリシー] をクリックします。
  3. メイン画面で、プロキシの背後にあるコンピュータの保護に使用するポリシーをダブルクリックします。
  4. 次の手順に従って、Census、Good File Reputationサービス、機械学習型検索にプロキシを設定します。
    1. 左側にある [設定] をクリックします。
    2. メイン画面で [一般] タブをクリックします。
    3. メイン画面で [Census、Good File Reputationサービスおよび機械学習型検索向けのネットワーク設定] セクションを探します。
    4. [継承] チェックボックスがオンになっている場合、プロキシ設定は親ポリシーから継承されます。このポリシーまたはコンピュータでこの設定を変更する場合は、チェックボックスをオフにします。
    5. [グローバルサーバへのアクセス時にプロキシを使用する] を選択し、リストでプロキシを選択するか、[新規] を選択して別のプロキシを指定します。
    6. 設定を保存します。
  5. 不正プログラム対策で使用するSmart Protection Networkにプロキシを設定します。
    1. 左側にある [不正プログラム対策] をクリックします。
    2. メイン画面で、[Smart Protection] タブをクリックします。
    3. [ファイルレピュテーションサービス用のSmart Protection Server][継承] チェックボックスがオンになっている場合、プロキシ設定は親ポリシーから継承されます。このポリシーまたはコンピュータでこの設定を変更する場合は、チェックボックスをオフにします。
    4. [Global Smart Protectionサービスへの直接接続] を選択します。
    5. [Global Smart Protectionサービスへのアクセス時にプロキシを使用する] を選択し、リストでプロキシを選択するか、[新規] を選択して別のプロキシを指定します。
    6. プロキシ設定を指定し、[OK] をクリックします。
    7. 設定を保存します。
  6. Webレピュテーションで使用するSmart Protection Networkにプロキシを設定します。
    1. 左側にある [Webレピュテーション] をクリックします。
    2. メイン画面で、[Smart Protection] タブをクリックします。
    3. 前の手順の [不正プログラム対策] と同じ方法で、[Webレピュテーションサービス用のSmart Protection Server] でプロキシを設定します。
    4. 左側にある [Webレピュテーション] を選択したまま、[詳細] タブをクリックします。
    5. [ポート] で、使用しているプロキシの待機ポート番号を含むポートグループを選択し、[保存] をクリックします。 たとえば、Squidプロキシサーバを使用している場合は、[Squid Web Server] を選択します。該当するポートグループがない場合は、[ポリシー][共通オブジェクト][リスト][ポートリスト] の順に選択し、[新規] をクリックして、ポートを設定します。
    6. 設定を保存します。

Agentからプロキシを使用してインターネット経由でトレンドマイクロのセキュリティサービスに接続できるようになりました。

プロキシを経由してAgentをRelayに接続する

  1. Deep Security Managerの画面右上で、[サポート][インストールスクリプト] の順にクリックします。
  2. [Relayへの接続に使用するプロキシ] からプロキシを選択します。
  3. スクリプトをコピーするか保存します。
  4. コンピュータでスクリプトを実行します。スクリプトは手動で実行することも、Ansible、Chef、PowerShellなどのサードパーティの配信システムを使用して実行することもできます。

AgentをRelayのプライベートIPアドレスに接続する

RelayにElastic IPアドレスがある場合、AWS VPC内のAgentはそのIPアドレス経由でRelayにアクセスできない場合があります。その代わりに、RelayグループのプライベートIPアドレスを使用する必要があります。

  1. [管理][システム設定] の順に選択します。
  2. [システム設定] エリアで [アップデート] タブをクリックします。
  3. [ソフトウェアアップデート][Deep Security Relayの代わりとなるソフトウェアアップデート配信サーバ] で、次のように入力します。

    https://<IP>:<ポート>/

    <IP> にはRelayのプライベートネットワークIPアドレス、<ポート> にはRelayのポート番号を指定します。

  4. [追加] をクリックします。
  5. [保存] をクリックします。
RelayグループのプライベートIPが変わった場合は、この設定を手動で更新する必要があります。この設定は自動的には更新されません。

プロキシ設定を削除する

不要になったプロキシ設定を追加するインストールスクリプトを使用してAgentをインストールした場合は、コマンドラインで次のコマンドを入力して設定を削除できます。

Windows

C:\Program Files\Trend Micro\Deep Security\dsa_control -x ""

C:\Program Files\Trend Micro\Deep Security\dsa_control -y ""

Linux

/opt/ds_agent/dsa_control -x ""

/opt/ds_agent/dsa_control -y ""

以降のAgentのインストール

初期インストール後にAgentを追加する場合は、インストールスクリプトジェネレータでプロキシを使用するようにインストールスクリプトを変更します。