URLをクリップボードにコピーしました
FAQ_URL:https://www.pa-solution.net/daj/bs/faq/Detail.aspx?id=2211
| |
最終更新日 2020/03/18 |
FAQ_ID:2211 |
Business >
i-FILTER Ver.9/Ver.10/Reporter >
システム構成
Business >
i-FILTER Ver.9/Ver.10/Reporter >
ネットワーク
|
「i-FILTER」 透過プロキシ環境の構成例、設定方法および制限事項を教えてください
|
|
対応バージョン: i-FILTER Ver.9 Ver.10
対応OS: すべてのOS
「i-FILTER」は、ポートフォワーディング(宛先IPアドレス/ポート変換)による
透過プロキシ通信に対応しています。
※ ソースルーティングでの対応は行っていません。
ポートフォワーディングの動作自体は、下記図のように「i-FILTER」によるもの
ではなく、ルーター(L4スイッチ)の動作となります。
【透過プロキシ構成例】
上記(1)~(4)は、クライアントからWebサーバまでのリクエストの流れとなります
(レスポンスは逆の流れ)。
※URLの「:80」は通常省略されますが、上記図では説明のために 表記しています。
上記構成の場合「i-FILTER」固有の仮想ホストへのアクセスが正常に行われない
ことがあるため、以下の設定を実施してください。
■「i-FILTER」設定の変更
【Ver.10】
▽設定箇所
[システム / システムパラメーター / 動作設定]
・「仮想ホスト転送モード(有効)」
・「コンテンツ転送用アドレス*1:ポート番号*2」
【Ver.9】
▽設定箇所
[システム設定 / システムパラメーター設定 / システム動作設定]
・「仮想ホスト転送モード(有効)」
・「コンテンツ転送用アドレス*1:ポート番号*2」
*1 クライアントから見た「i-FILTER」のホスト名またはIPアドレスを設定します
*2 「i-FILTER」の待機ポート(デフォルト15080)を設定します
(注意)
IPアドレスを登録した場合は、Webブラウザー側で証明書警告が表示されることがあります。
証明書警告はクライアント側で名前解決できるホスト名を登録することで回避ができます。
■制限事項
透過プロキシ構成の場合、ブラウザでプロキシサーバー(i-FILTER)の存在が
認識されないため、以下の制限事項があります。
(1)プロキシ認証の制限
「i-FILTER」は、NTLM/LDAP認証時に「Proxy-Authenticate」ヘッダーを
クライアントに返してプロキシ認証を要求しますが、プロキシ設定をしていないブラウザーは
このヘッダーを解釈することができず、エラーとなります。
「Form認証」を使用すれば、LDAPサーバーで認証させることが可能になります。
(2)HTTPSページ(SSL通信)の制限
<Ver.10.40R01~>
特に制限はありません。
<i-FILTER Ver.9、~Ver.10.30R01>
下記の制限がありますので、「Ver.10.40R01」へのバージョンアップを推奨します。
▼「SSL Adapter」無効の場合
クライアントからのHTTPS通信を中継することができません。
ルーター側でポート「443」をフォワードしないようにしてください。
▼「SSL Adapter」有効の場合
SSL Adapterにより「SSLデコード」の対象とすることで、処理することが可能です。
※すべてのHTTPS通信がSSLデコードの対象になるように設定してください。
(特定通信のみSSLデコード除外することはできません)
参考:全通信をSSLデコード対象とするポリシー設定
※Ver.10.30R01以前のバージョンで 透過構成をご利用いただく場合の注意
SSLデコードはCPUリソースを大量に消費するため、上記設定はサーバー負荷が高くなります。
また、SSLデコードに失敗するホストが存在する場合には該当ホストを閲覧できないため、
一つ一つURL単位で フォワードしないように調整する運用が発生します。
運用開始前に必ず動作検証を実施してください。
|
