2023年7月10日 / 最終更新日時 : 2023年7月10日 テクバン ネットワークソリューション担当 Zscaler

Zscaler Client Connector(ZCC)のForwarding Profile設定

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Zscaler Client Connector(ZCC)のForwarding Profile設定についてご紹介します。

Zscaler Client Connector(ZCC)とは

Zscaler Client Connector(ZCC)とはZscaler Internet Access(ZIA)、Zscaler Private Access (ZPA)に社外から接続するためのクライアントソフトです。

Windows、macOS、Linux、iOS、Android、Chrome OSに対応しています。

Zscaler Client Connector(ZCC)を利用してトラフィックをZscalerへ転送する際、2つのプロファイルの設定が必要になります。

  • Forwarding Profile
    • Zscaler Internet Access (ZIA)とZscaler Private Access (ZPA) に対して、端末が接続しているネットワーク環境に応じたトラフィックの転送方法をZCCに設定します
  • App Profile
    • 端末でZCCアプリを無効化、アンインストール、ログアウトする際にパスワードを入力する必要があるかどうか、SSL証明書をアプリから端末にインストールするか、どのForwarding Profileを適用するかなど、ZCCアプリの設定を行うためのプロファイル。

今回は、Forwarding Profileの設定方法についてみていきます。

Forwarding Profile設定

1.ポリシー > Zscaler Client Connector Portalを選択

2.Zscaler Client Connector Portalへ遷移します。上部のタブからAdministrationを選択

3.Settings > Forwarding Profileを選択

4.Add Forwarding Profileを押す

5.Profile Nameに任意のプロファイル名を記載します。

TRUSTED NETWORK CRITERIAとTRUSTED NETWORK EVLUATIONは、端末がTrusted Network(社内LAN)に接続されていることを識別するための設定です。インターフェースのDNSサーバーのアドレスやDNS検索ドメインの設定、IPアドレスのなど

6.Windows端末での、Zscalerへのトラフィック転送方法を設定します。

Z-Tunnel2.0を利用する場合は、Tunnel Driver Typeは[Packet Filter Based]を選択します。

端末が社内LAN接続時、リモートアクセスVPN接続時、社外ネットワーク接続時の3パターンで、ZIAへのトラフィック転送方法を設定します。

On Trusted Network(社内LAN接続時)の際は 、Z-Tunnel2.0(TLS/DTLS)でZIAとトンネルを張ってトラフィック転送する場合は、[Tunnel][Z-Tunnel2.0]を選択します。

7.Advanced Z-Tunnel 2.0 Configurationメニューが表示されるので、[Z-Tunnel 2.0 Transport Setting]のプルダウンを押します。

[Redirect Web Traffic to Zscaler Client Connector Listening Proxy]と[Use Z-Tunnel 2.0 for Proxied Web Traffic] を有効にし、 Z-Tunnel2.0でWebトラフィックを転送するようにします。

8.Configure System Proxy Settingsで、ユーザーがシステムプロキシの設定変更を行った際のアクションを設定します。[System Proxy Settings]のプルダウンを押します。
Proxy Action Typeは、[Enforce]を選択します。[Enforce] の設定は、ZCCはシステムのプロキシ設定を監視し、ユーザーがプロキシ設定を変更した場合も強制的にZscalerの設定を適用し、ユーザーがプロキシ設定を変更できないようにします。

9.VPN Trusted Network(リモートアクセスVPN接続時)、Off Trusted Network(社外ネットワーク接続時)の設定を行います。On Trusted Networkと同一の転送方法で接続する場合は、Same as “On Trusted Network”にチェックを入れます

10.ZPAを利用する場合は、同様にOn Trusted Network、VPN Trusted Network、 Off Trusted Networkで、ZPAへのトラフィック転送方法を選択します。

トンネリングするには[Tunnel]を選択します。

※VPN Trusted Networkは、[Tunnel]は選択せず、[None]を選択してください。

設定が終わったら、[Save]を押して保存します。

作成したForwarding Profileを利用するにはApp Profileの作成が必要です。

Z-Tunnelのバージョンについて

Z-Tunnel 1.0

従来のプロキシサーバ同様にHTTPのCONNECTメソッドを利用した転送方式です。

TCP/80,443を対象としているためHTTP/3のQUIC(UDP)は対象外となり直接接続となるため注意が必要です。

Z-Tunnel 2.0

DTLSまたはTLSを使用したトンネル方式でプロトコル、ポートの制限がありません。

HTTP/3(QUIC)対応

  • Z-Tunnel 1.0
    • Windows、macOS、Linux
      パーソナルFW、ブラウザ設定等でQUIC(UDP/80,443)をブロックや無効にする対応が必要です
    • iOS、Android、Chrome OS
      Zscaler Client Connector Profilesの設定でQUICをブロックしてTCPへフォールバックすることが可能です
  • Z-Tunnel 2.0
    Firewall Filtering ルールでQUIC(UDP/80,443)をブロックしてTCPへフォールバックさせます

まとめ

  • Zscaler Client Connector(ZCC)はForwarding ProfileとApp Profileを設定して接続する
  • Z-TunnelのバージョンでQUIC対応が異なる

今回はZscaler Client Connector(ZCC)のForwarding Profile設定についてご紹介しました。

関連記事:

Zscaler Internet Accessでのユーザプロビジョニング Zscaler Internet Access(ZIA)、Zscaler Private Access(ZPA)の違い Zscaler Internet Access(ZIA)でクラウドアプリケーション可視化 Zscaler Internet Access(ZIA)でのインラインCASB設定
カテゴリー
Zscaler
タグ
Cisco

前の記事

Cisco AireOS環境で無線接続不可の事象(CSCvu89997)
2023年7月7日
Fortigate

次の記事

Fortigate SSLディープインスペクション、プロキシモードでの脆弱性(CVE-2023-33308)
2023年7月12日