科学の箱

科学・IT・登山の話題

Network

リバースプロキシ

投稿日:

プロキシサーバーの役割

インターネットに代理で接続するプロキシサーバー

会社内からインターネットへ直接アクセスできるようにすると悪意のあるサイトからマルウェアを読み込んだり、不正なサイトへ飛ばされるといったセキュリティ上の問題が起きる。ファイアーウォールにより接続を遮断することは可能であるが、インターネットへのアクセスは業務上必要であるケースが多い。このようなときにはプロキシサーバーを用意して、社内のパソコンはプロキシサーバーを経由してインターネットに接続する。

プロキシサーバーを用意することで下記のメリットがある。

セキュリティの確保

プロキシサーバーとファイアーウォール/IPSを組み合わせることによりインターネットアクセスをスキャンすることができる。ブラックリストに載っているサイトや、おかしな振る舞いを引き起こすパケットを遮断できる。この管理はプロキシサーバーで一元管理できるのでクライアントごとに設定を変える必要がない。

アクセスログの確認

すべてのインターネットアクセスがプロキシ経由になるのでアクセスログを取得できる。またプロキシするプロトコルについては通信量やセッション数をモニタリングでき、キャパシティ管理に利用することができる。

ユーザーから透過的にインターネット接続を変える

プロキシサーバーからインターネットへの接続はユーザーからは見えない。接続に障害が発生した場合にはプロキシサーバーからのデフォルトゲートウェイを変更したり、別のプロキシサーバーを設定することでユーザーのインターネットアクセスをリダイレクトできる。

何がデメリット

クライアントとインターネットの間にプロキシサーバーが入るのでトラブルシューティング時に手間取ることがおおい。例えばプロキシサーバーが間に入ることでフィルタリングなどの処理が入る。特定サイトに接続できない時にサーバー側の問題かプロキシサーバーによるフィルタリングか切り分けが必要になる。またクライアント毎にプロキシサーバーの設定が変わっていることにより問題が再現できないことがある。リモートユーザーの対応をしているときに相手と自分のプロキシサーバーの設定が異なることに気付かず、相手側のプロキシサーバーに問題がある場合には、自分は接続できるのに相手は接続できないという状態になる。プロキシサーバーの存在を知らないとネットワーク障害など見当違いの原因究明をしてしまう。

プロキシサーバーの接続形態

プロキシサーバーはクライアントとインターネットの間にはいる。
クライアント  —-  プロキシサーバー —- インターネット —- Webサーバー

実際の設定

プロキシサーバーはブラウザから設定する。設定方法としてはマニュアルで設定する方法、スクリプトで設定する方法、グループポリシーで設定する方法がある。管理上の手間を考えるとActive Directory環境下ではグループポリシーを利用するのが設定やトラブル対応で効率がよくなる。

リバースプロキシ

プロキシサーバーはクライアントとインターネットの間に置かれるが、リバースプロキシは以下のような接続形態をとる。
クラインと —- インターネット —- プロキシサーバー —- webサーバー

リバースプロキシのメリットはサーバー側にある。リバースプロキシを利用すると以下のようなメリットがある。

  • – コンテンツへの直接アクセスを防ぐことができる
  • – 負荷分散
  • – webサーバーの拡張が簡単

クライアントは直接webサーバーとやり取りせず、リバースプロキシでいったん通信が遮断される。リバースプロキシではセキュリティアプリケーションを利用することにより悪意がある接続を遮断する。通常の通信であればリバースプロキシからwebサーバーへ通信をつなぐ。

リバースプロキシの背後にあるwebサーバーは一台である必要はない。複数台のwebサーバーを用意することでクライアントから要求を分散できる。またSSL接続などCPUリソースを大量に消費する処理をリバースプロキシとwebサーバーで役割分担することができるので、システム構成が柔軟になる。

先に記述した負荷分散とも関連するが、webサーバーの追加が簡単になるので、要求量に応じたサーバー台数を導入できる。リバースプロキシがなければより高価な負荷分散装置を導入するか、DNSなどによる操作が必要なるが、リバースプロキシはオープンソースで用意されているので、手軽にwebサーバーを含んだインフラの拡張できる。

メタ情報

inarticle



メタ情報

inarticle



-Network
-

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

no image

Cisco Prime Infrastructure Training on youtube Part 1

youtubeでCisco Prime Infrastructureのトレーニングコースが提供されている。 一覧は下記のリンクに記載されている。 Cisco Prime Infrastructure& …

no image

Wiresharkのフィルターメモ

IPアドレスをサブネットでフィルタする ip.src == 10.72.32.0/24 QOSパケットをフィルタする ip.dsfield.dscp==46 Related posts:Windows …

no image

ERSでスパニングツリーの障害対応

スパニングツリーの現在の設定を確認 #show spanning-tree config Bridge Priority (hex):      8000 Designated Root:       …

no image

Portmirroringを実行する手順 Avaya ERS4850

確認すること ミラーリングするポート モニタするポート キャプチャするパケットの種類(送信・受信・送受信) ミラーリングするポートはパケットの内容を見たいポート。例えばWAN回線につながっているポート …

no image

wiresharkのエラー

Wiresharkでエラーが出ているかを確認する。 左下に赤い●が出ていたら、キャプチャしたパケットで大量にエラーが出ていることを示す。 エラーが発生しているパケットは、キャプチャしたパケットで黒くハ …

2014年8月
« 7月   9月 »
 123
45678910
11121314151617
18192021222324
25262728293031

side bar top



アーカイブ

カテゴリー