ポリシー
GatewayおよびAccessポリシーは、一般的にUIのポリシーテーブル内の位置に基づいて上から下へとトリガーされます。例外として、Accessが最初に評価するバイパスおよびサービス認証ポリシーがあります。同様に、Gateway HTTPポリシーにおいては、Do Not InspectおよびIsolateポリシーがすべてのAllowまたはBlockポリシーよりも優先されます。適用順序について詳しくは、AccessポリシーおよびGatewayポリシーのドキュメントを参照してください。
Cloudflare Gatewayは、HTTP CONNECTヘッダー内のホスト名を使用してリクエストの宛先を特定します。サイトをバイパスしたい管理者は、HTTP検査が暗号化されたトラフィックと平文トラフィックの両方で発生しないようにするために、Do Not Inspectポリシーを作成する必要があります。
L7ファイアウォールをバイパスすると、HTTPトラフィックの検査が行われず、そのHTTPセッションのログ記録が無効になります。
はい。SSL証明書がファーストレベルおよびセカンドレベルのサブドメインをカバーしていることを確認してください。ほとんどの証明書はファーストレベルのサブドメインのみをカバーし、セカンドレベルはカバーしません。これはほとんどのCloudflare証明書に当てはまります。CF証明書でセカンドレベルのサブドメインをカバーするには、高度な証明書を作成してください。
Cloudflare Accessのワイルドカードベースのポリシーは、適用されるレベルのみをカバーします。カバーする最も左側のサブドメインにワイルドカードポリシーを追加してください。
隔離ポリシーは、すべてのHTTPポリシーと同様に段階的に評価されます。ユーザーが隔離ポリシーを評価するリクエストを行うと、そのリクエストは隔離されたブラウザに再ルーティングされ、HTTPポリシーが再評価されます。これにより、隔離されたブラウザがリモートでブロックページをレンダリングしたり、隔離されたブラウザ内の悪意のあるコンテンツがHTTPポリシーによってブロックされたりすることが可能になります。
隔離ポリシーは、Accept: text/html*を含むリクエストに適用されます。これにより、ブラウザ隔離ポリシーがAPIおよびコマンドラインリクエストと共存できるようになります。
いいえ。Cloudflare Accessは、URLにポートが追加されたポリシーを適用することはできません。ただし、Cloudflare Tunnelを使用して非標準ポートへのトラフィックを指向することができます。たとえば、Jiraがオリジンのポート8443で利用可能な場合、そのポートへのトラフィックをCloudflare Tunnel経由でプロキシできます。
考えられる原因のリストは以下の通りです:
-
ポリシーがまだ更新中です。 ポリシーを編集または作成した後、Cloudflareは新しい設定を世界中のすべてのデータセンターに更新します。変更が伝播するまでに約60秒かかります。
-
デバイスが別のDNSリゾルバーを使用しています。 DNS設定に他のDNSリゾルバーがある場合、デバイスはGatewayの一部でないリゾルバーのIPアドレスを使用している可能性があります。その結果、ブロックしようとしているドメインにデバイスからアクセスできてしまいます。DNS設定から他のIPアドレスをすべて削除し、GatewayのDNSリゾルバーのIPアドレスのみを含めるようにしてください。
-
ポリシーがDNSロケーションに割り当てられていません。 ポリシーがDNSロケーションに割り当てられていない場合、そのロケーションからDNSクエリを送信してもGatewayはそのポリシーを適用しません。DNSロケーションにポリシーを割り当てて、そこからDNSクエリを送信したときに希望するポリシーが適用されるようにしてください。
-
DoHエンドポイントがGateway DNSロケーションではありません。 ブラウザは任意のDoHエンドポイントを使用するように設定できます。ブラウザでDoHを直接設定することを選択した場合、DoHエンドポイントがGateway DNSロケーションであることを確認してください。