Cisco インターフェイスとモジュール : Cisco ASA Content Security and Control(CSC)セキュリティ サービス モジュール

HTTP トラフィックに対するプロキシとしての ASA CSC セキュリティ サービス モジュールの動作方法

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


質問


概要

このドキュメントでは、Cisco ASA Content Security and Control (CSC) Security Services Module が HTTP トラフィックのプロキシ サーバとして動作する仕組みについて説明します。

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

シスコ TAC エンジニア、マグナス・モーテンセン寄稿。

Q. HTTP トラフィックに対するプロキシとしての ASA CSC セキュリティ サービス モジュールの動作方法

A. CSC モジュールを経由する HTTP 接続の確立に関する手順を理解することは、他の問題(ページ エラー、パフォーマンスの問題など)を理解するのに役立ちます。

  1. ユーザがサイトに接続しようとすると、ブラウザはそのサイトの IP アドレスに SYN パケットを送信します。

  2. プロキシとして機能する CSC モジュールは、SYN パケットを代行受信し、サイトに代わって SYN-ACK を応答します。

  3. CSC モジュールがプロキシとして機能することに気付かない Web ブラウザが ACK を応答し、クライアント マシンと CSC モジュールの HTTP プロキシ エンジンとの間で接続が形成されます。

    この接続の前半は、クライアント側ソケット(CSS)と呼ばれます。

  4. この時点で、ブラウザはサイトへの接続が起動し、機能しているとみなし、HTTP GET 要求を送信します。

  5. HTTP GET 要求は、CSC モジュールによって処理されます。 つまり、URL ブロック /filtering/WRS 設定と照合されます。 要求が許可された場合、CSC モジュールはサイトの Web サーバとの接続の確立を開始します。

  6. HTTP プロキシ エンジンは、クライアントが Web サーバに送信したとみなす(CSS で受信される)元の TCP SYN に一致する送信元 IP アドレスと送信元ポートを含む TCP SYN パケットを送信します。 Web サーバが SYN ACK を応答し、HTTP プロキシ エンジンが ACK を応答します。 この時点で、サーバ側ソケット(SSS)が起動します。

  7. HTTP プロキシ エンジンは、クライアントの HTTP GET を Web サーバに送信し、Web サーバがコンテンツを応答します。

  8. この内容がスキャンされ、照合されます。 これがクリーンの場合、コンテンツがクライアントに再転送されます。

  9. クライアントから任意の Web サーバへの他の Web 要求に対して、同じ手順が繰り返されます。

クライアント ブラウザは、実際にはサイトに接続しないことに注意してください。 これは、次の図に示すようにサイトを装うモジュールに接続します。

http://www.cisco.com/c/dam/en/us/support/docs/interfaces-modules/asa-content-security-control-csc-security-services-module/115747-01.png


関連情報


Document ID: 115747