透過プロキシ環境において、HTTPおよびHTTPS通信のWebフィルタリングが可能です。
※Proxy版の機能です。1.設定方法、構成例について
InterSafe WebFilter側の設定では以下のチェックボックスをオンにします。
ICAP版の製品には、以下のチェックボックスはありません。
管理画面 > サーバ管理 > サーバ設定 > フィルタリングサービス共通設定 > 透過プロキシ
透過プロキシ | 有効 |
透過プロキシのチェックを入れると、フィルタリングサービス設定 の[FTP over HTTP]は非表示になります。
▶フィルタリングサービス設定
HTTP | *ポート | *プロセス数 |
HTTPS | *ポート | *プロセス数 |
FTP over HTTP | *ポート | *プロセス数 |
InterSafe WebFilterの設定のみでは、透過プロキシは実現出来ません。
上記設定と共に、クライアントからの通信を、ネットワーク外部機器(L4スイッチ)を
用いてパケット制御を行うか、Linuxカーネルのパケット制御によりプロキシに
転送する必要がございます。
構成例
Linuxのルーティング機能(iptables)設定例
80ポートの8080へのリダイレクト -A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080 443ポートの8443へのリダイレクト -A PREROUTING -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 8443
2.注意事項、制限事項
透過プロキシ構成では、InterSafe WebFilterのアカウント認証は
利用できません。
透過プロキシ構成では、httpsのポートと、httpのポートを同一には
設定できません。それぞれのポートを個別に設定する必要があります。
正しい設定例
HTTP | *ポート | *プロセス数 |
HTTPS | *ポート | *プロセス数 |
動作しない誤った設定例
HTTP | *ポート | *プロセス数 |
HTTPS | *ポート | *プロセス数 |
透過プロキシ構成のHTTPS通信では転送先のホスト情報をSSL/TLSの
拡張情報のSNI(Server Name Indication)から取得します。
IEなど、一般的なWebブラウザのほとんどはSNIに対応しており問題
ございませんが、SNI非対応のアプリケーションからの通信など、SNI
が取得できない場合は通信を遮断する仕様になっております。
3.システム要件
InterSafe WebFilterの透過プロキシでの動作確認は、以下のOSにて行っています。
システム要件を満たすLinux版をご利用ください。
(Linux版) [OS(32ビット/64ビット)] ・Red Hat Enterprise Linux 6 Linux カーネル v 2.6.32および glibc v 2.11 [OS(64ビット)] ・Red Hat Enterprise Linux 7 Linux カーネル v 3.10.0および glibc v 2.17