Glasswall プロキシ除外設定ガイド（PAC）

概要​

macOS および Windows 上で当社の ICAP プロキシ実装の内部テストを実施した際、ブラウザレベルおよびシステムレベルのプロキシ除外の処理方法における重要な制限を確認しました:

• 文字数制限: 両プラットフォームとも、ローカル除外リスト（"bypass proxy for" フィールド）に最大文字数を設けています。
• 影響: この制限を超えると、一部のシステムではプロキシを完全にバイパスする動作に暗黙的にフォールバックし、policy の適用に重大な抜け漏れが生じます。

この問題を回避するため、デバイスごとの設定に依存するのではなく、PAC (proxy auto-config) file を使用してプロキシ除外を一元管理することを推奨します。

推奨される方法: PAC ファイルを使用する​

PAC ファイルとは何ですか？​

proxy auto-config (PAC) ファイルは、リクエスト URL、ドメイン、IP、またはその他のパラメーターに基づいてプロキシの動作を動的に定義する、JavaScript ベースの設定スクリプトです。

利点​

実装手順​

1. PAC ファイルを作成する​

以下の例をベースとして使用してください:

function FindProxyForURL(url, host) {
  // Domains to bypass proxy
  if (dnsDomainIs(host, "internal.glasswall.com") ||
      shExpMatch(host, "*.corpnet.glasswall.local") ||
      isInNet(host, "10.0.0.0", "255.0.0.0")) {
    return "DIRECT";
  }

  // Everything else goes through ICAP proxy
  return "PROXY proxy.glasswall.com:3128";
}

必要に応じてドメインパターンとサブネット IP をカスタマイズします。

2. PAC ファイルをホストする​

これをネットワークからアクセス可能な場所に配置します:

• 内部 Web サーバー（例:https://intranet.glasswall.com/proxy.pac）
• ネットワーク共有（macOS 互換の SMB パスまたは DFS）

以下を満たしていることを確認します:

• 安全であること（HTTPS 推奨）
• すべてのエンドポイントから読み取り可能であること
• バージョン管理されていること

3. クライアントで PAC を使用するよう設定する​

Windows​

• Use Group Policy (GPO) or Intune:
  • Automatic proxy configurationをホストされた PAC URL に設定します。
  • 文字数制限の悪用を防ぐため、手動の除外設定を無効にします。

macOS​

• Use your Apple MDM provider
  • .mobileconfig経由でプロキシ自動設定を有効にします:

<key>ProxyAutoConfigURLString</key>
<string>https://intranet.glasswall.com/proxy.pac</string>

4. 設定をテストする​

• Open a browser and verify proxy behavior:
  • 外部サイトにアクセスする（ICAP 経由でルーティングされるはずです）。
  • 除外されたドメイン/IP にアクセスする（直接接続されるはずです）。

内部テストからの注意事項​

• ブラウザー拡張機能やサードパーティ製アプリが追加のプロキシルールを適用するエッジケースでは、PAC file が上書きされる場合があります。
• ブラウザーにハードコードされた除外設定（例：localhost、127.0.0.1）は引き続き尊重されます。

🔧 トラブルシューティング​

概要​

プロキシ除外の管理にPACファイルへ切り替えることで:

• プラットフォームの制限を解決
• policyの更新を一元化
• 設定ミスのリスクを低減
• セキュリティ制御が維持されることを保証

これを大規模に展開する際の支援については、ITインフラストラクチャまたはセキュリティエンジニアリングチームにお問い合わせください。