マルチクラウドゲートウェイプロキシの非HTTPトラフィックフローについて
はじめに
このドキュメントでは、転送プロキシが設定されている場合に、Cisco Multicloud Defense Gateway(MFP)が(Web以外の)TCPトラフィックを処理する方法について説明します。
前提条件
要件
次の項目について理解しておくことをお勧めします。
- クラウドコンピューティングの基礎知識
- コンピュータネットワークの基礎知識
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
プロキシ
プロキシは、2つのネットワークエンドポイントの仲介役として機能します。特定のアプリケーション用にネットワーク間を移行するゲートウェイとして機能するプロキシは、要求プロセスと転送機能を通じて要求の複雑さを制御し、簡素化します。さまざまなレベルの機能、セキュリティ、プライバシーを提供し、Webブラウジングやデータ保護に役立ちます。
.
マルチクラウドゲートウェイ転送プロキシ
この図は、マルチクラウドゲートウェイがクライアントとサーバ間のパスに配置され、マルチクラウドゲートウェイが転送プロキシとして機能するように設定されている場合のネットワークフローを示しています。
イメージ – MCD転送プロキシ
注:このプロセスは、マルチクラウドゲートウェイをプロキシとして使用してSSHサーバに接続するようにクライアントが設定されている場合に、SSHトラフィックに適用されます。
- TCP 3ウェイハンドシェイクは、クライアントとマルチクラウドゲートウェイ間で開始されます。
- クライアントがサーバにCLIENT HELLOを送信します。このCLIENT HELLOには、Server Name Identifier(SNI;サーバ名識別子)が含まれています。ゲートウェイはこのパケットをインターセプトし、FQDNフィルタリングポリシーを実行します。
注意:自動ネゴシエーションプロトコルを使用するように設定された特定のアプリケーション(SSHバージョンを判別するアプリケーションなど)は、Client Helloを送信してはなりません。
3. トラフィックが許可されている場合、ゲートウェイはサーバへの新しいTCPハンドシェイク要求を開始し、Client Helloを転送します。 (クライアントから受信)
注:サーバがマルチクラウドゲートウェイからパケットを受信していない場合は、クライアントがClient Helloを送信しなかったことが原因である可能性があります。
4. マルチクラウドゲートウェイがクライアントにServer Helloを転送しました。
5. 証明書の交換後、すべてのパケットは何の操作もされないまま送信されます
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
1.0 |
31-Jul-2024 |
初版 |
フィードバック