はじめに
このドキュメントでは、Cisco Webセキュリティアプライアンス(WSA)のトランスペアレントモードとプロキシモードの違いについて説明します。
透過プロキシ モードと転送プロキシ モードにはどのような違いがありますか?
プロキシの目的は、HTTP クライアントと HTTP サーバの間の仲介役(プロキシ)です。これは特に、WebプロキシとしてのWebセキュリティアプライアンス(WSA)に、クライアント要求ごとに2セットのTCPソケットがあることを意味します。
クライアント > WSA
WSA >オリジンサーバ
WSA HTTPプロキシがクライアントの要求をどのように取得するかは、透過的または明示的のどちらかの方法で定義できます。
それぞれの導入に、次のようないくつかの設定オプションがあります。
| 導入 |
メソッド |
説明 |
| トランスペアレント |
レイヤ 4 スイッチ(PBR) |
レイヤ 4 スイッチは宛先ポート 80 に基づいてリダイレクトするために使用されます。 |
| トランスペアレント |
WCCP |
WCCP v2 対応デバイス(通常、ルータ、スイッチ、PIX、または ASA)はポート 80 をリダイレクトします。 |
| トランスペアレント |
ブリッジ モード |
仮想的にペアになったデュアル NIC。1 つの NIC がトラフィックの入口で、もう 1 つが出口です(使用不可)。 |
| 明示的 |
ブラウザ設定 |
クライアント ブラウザは、プロキシを使用するように明示的に設定されます。 |
| 明示的 |
PAC ファイル設定 |
クライアント ブラウザは、PAC ファイルを使用し、そしてプロキシを参照するように明示的に設定されます。 |
WSA は、ブリッジ モード以外にはこれらのすべての導入を使用できます。近いうちに利用できるようになる見込みです。
要求がWSAに透過的にリダイレクトされる場合、クライアントはプロキシの存在を認識しないため、WSAはOCS(オリジンコンテンツサーバ)を装う必要があります。逆に、要求がWSAに明示的に送信されると、WSAはそれ自体のIP情報で応答します。
明示的なクライアント HTTP 要求と透過的なクライアント HTTP 要求の違いのいくつかを、以下に示します。
- 明示的要求には、設定済みプロキシの宛先 IP アドレスが含まれます。透過的要求には、目的の Web サーバ(クライアントにより解決される DNS)の宛先 IP アドレスが含まれます。
- 透過的要求の URI には、ホストのプロトコルが含まれません。
| トランスペアレント |
GET / HTTP/1.1 |
| 明示的 |
GET http://www.google.com/ HTTP/1.1 |
両方とも、DNSホストを指定するHTTP ホストヘッダーが含まれています。
WSA の設定
WSA は「透過」または「転送」用に設定できます。これは、実際には「透過」または「明示的」モードであり、どちらも転送プロキシ導入であるため、少し誤解を招きます。リバース プロキシでは、プロキシが HTTP サーバと同じネットワーク上にあることが想定されており、その目的はこれらの HTTP サーバのコンテンツを提供することです。
WSAのtransparentモードとforwardモードの唯一の大きな違いは、transparentモードでは、WSAが透過的と明示的の両方のHTTP要求に応答する点です。明示モードでは明示的 HTTP 要求のみに応答する点です。
WSAは自身のクライアントとして動作するため、WSAは常にアップストリーム要求を透過スタイル要求として送信します。ただし、WSAが明示的アップストリームプロキシを使用するように設定されている場合は除きます。
次に、透過的な認証と明示的な認証のもう1つの違いを示します。
| トランスペアレント |
401 - 認証が必要なときに WSA から送信されます。これは、OCS からも送信されます。 |
| 明示的 |
407 - WSA から送信され、HTTP プロキシが認証を必要としていることをクライアントに通知します。 |
フィードバック