ZIA(Zsaler Internet Access)でカスタムポートを利用したHTTP/HTTPSトラフィックの制御方法

こんにちは。ネットワークソリューション特集 編集部です。
今回は、ZIAで80/443以外のポートを利用したWebサイトへうまく接続できないという事象に対する対応方法を記載します。

ZIA(Zsaler Internet Access)のカスタムポートの設定

Zscalerでは通常HTTP/HTTPSトラフィックは80/443ポートでリッスンしています。

そのため、例えば以下のように80/443ポートではなく3000番ポートで接続するWebサイトへの通信はZIAで制御できないということが起こります。
https://www.example.com:3000

ZIAで80/443以外のHTTP/HTTPSトラフィックを制御する場合は、指定のポートでの通信をプロキシで受け入れられるようにカスタムポートの設定を行います。
※80/443以外のトラフィックをZscalerに転送するには、Z-Tunnel 2.0を利用してください。


設定は以下の流れで行います。
1.利用するポートのネットワークサービスを作成する
2.作成したネットワークサービスをZscalerプロキシサービスでHTTP/HTTPSトラフィックとして受け入れる
3.クラウドファイアウォールで作成したネットワークサービスあての通信を許可する

カスタムネットワークサービスの設定

始めにHTTP/HTTPSトラフィックで利用するポートをカスタムネットワークサービスとして登録します。

1.ZIA管理ポータルで、管理 > ネットワークサービス を選択します。


2.「サービスタブ」から、「追加ネットワークサービス」 を押す。


3.ここでは、宛先TCP3000番ポートをカスタムネットワークサービスとして作成します。
カスタムネットワークサービスは、以下のプロトコルとポートを指定して作成可能です。
 ・TCP送信元ポート
 ・UDP送信元ポート
 ・TCP宛先ポート
 ・UDP宛先ポート

ネットワークサービス名として、任意の名前を入力します。

TCP宛先ポートのアイテムを追加欄にポート番号3000を入力して、アイテムを追加を押します。

ポート番号が追加されたら、保存ボタンを押して保存します。

Zscalerプロキシサービスの設定

作成したカスタムネットワークサービスをZscalerプロキシで受け入れるための設定を行います。

1.管理 > 高度な設定 を選択します。


2.今回はTCP3000番ポートでHTTPSのトラフィックを受け入れる設定をします。
「HTTP/HTTPSとして利用しているカスタムサービス」の「HTTPSサービス」のプルダウンを押します。
ネットワークサービスが選択できますので、作成したカスタムネットワークサービスにチェックを入れて、終了を押します。


3.保存を押します。

ファイアウォールコントロールの設定

デフォルトでは、クラウドファイアウォールで該当のポートが許可されていないため許可します。

1.ポリシー > ファイアウォールコントロール を選択します。


2.「ファイアウォールフィルターのルールを追加」ボタンを押します。


3.以下設定をして、保存します。

ルール名は任意の名称を設定します。

「サービス」タブで「ネットワークサービス」のプルダウンを選択し、作成したカスタムサービスにチェックを入れて、終了を押します。

「アクション」の「ネットワークトラフィック」は許可にします。


これでZIAでカスタムポートのHTTP/HTTPSトラフィックを受け入れることが可能になります。
こちらのマニュアルも参考にしてください。

まとめ

  • ZIAでは80/443以外のポートのHTTP/HTTPSトラフィックの制御も可能
  • カスタムポートを設定して、Zscalerプロキシサービスに登録する必要がある
  • クラウドファイアウォールで該当のポートを許可する必要がある

今回はZIA(Zscaler Interenet Access)でカスタムポートの設定について紹介しました。