ローカルWebサーバーを保護する

Dr.Web for UNIX Internet Gatewaysがインストールされているのと同じホスト上で実行されているWebサーバーを保護するには、サーバーに届くすべてのトラフィックをSpIDer Gateモニターでスキャンできるようにする必要があります。

Webサーバー保護を設定するには、Dr.Web Firewall for Linuxの設定（[LinuxFirewall]セクション）で、設定ファイルの複数のパラメータ値を変更します。

パラメータ	必要な値
InspectHttp	On
AutoconfigureIptables	Yes
AutoconfigureRouting	Yes
LocalDeliveryMark	Auto
ClientPacketsMark	Auto
ServerPacketsMark	Auto
TproxyListenAddress	127.0.0.1:0 Dr.Web Firewall for Linuxの操作に特別なIPアドレスまたはポートを使用する場合は、ここで指定します。
InputDivertEnable	Yes
InputDivertNfqueueNumber	Auto
InputDivertConnectTransparently	Yes

Dr.Web Firewall for Linuxの設定を表示および変更するには、次の方法を使用します。

このコマンドを実行すると、HTTPプロトコルが使用されており、InspectHttpパラメータ値がOnに設定されている場合に、受信データがSpIDer GateによってスキャンされるようにDr.Web Firewall for Linuxが設定されます。

•Dr.Web for UNIX Internet Gatewaysの管理用Webインターフェース（デフォルトでは、Webブラウザからhttps://127.0.0.1:4443/にアクセスすると利用できます）。

HTTPSプロトコルを介して転送されたデータをスキャンするには、さらに次の手順を実行します。

•次のコマンドを実行して対応するパラメータの値を指定することで、SSL/TLS経由で送信されるトラフィックのスキャンを有効にします。

スキャンルールが自動的に更新されるように、drweb-ctlツールのcfsetコマンドまたは管理Webインターフェースを使用することを推奨します。スキャンルールはこのパラメータに依存します。

•次のコマンドを実行して、保護されたSSL/TLSチャネルへの統合にDr.Web for UNIX Internet Gatewaysが使用する証明書をエクスポートします。

証明書をPEM形式で保存するために使用されるファイルの名前を指定する必要があります。

•取得した証明書を信頼できる証明書のシステムリストに追加し、可能な場合には、それをWebクライアント（ブラウザ）およびWebサーバー用の信頼できる証明書として書き込みます。詳細は、付録E. SSL証明書を生成するのセクションを参照してください。

設定ファイルのLinuxFirewallセクションで、次のパラメータを指定します。

1.転送データのスキャンパラメータ（ScanTimeout、HeuristicAnalysis、PackerMaxLevel、ArchiveMaxLevel、MailMaxLevel、ContainerMaxLevel、MaxCompressionRatio）。これらのパラメータは、スキャンの長さとリソース強度を制限します。きめ細かい設定が不要な場合は、パラメータデータの値をデフォルトの状態にしておくことを推奨します。

2.望ましくないURLやコンテンツをブロックするためのBlock*パラメータ。

3.受信したデータをスキャンできない場合にSpIDer Gateのアクションを指定するためのBlockUncheckedパラメータ。

フィルタリングルールの詳細な設定については、LuaプロシージャまたはRuleSetルールを編集してください。

すべての設定を調整したら、Dr.Web for UNIX Internet Gatewaysを次のコマンドで再起動します。

設定デーモンDr.Web ConfigDは、次のコマンドでも再起動できます。