セキュリティ : Cisco Web セキュリティ アプライアンス

透過的な、前方プロキシモード間の違い

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

ヤコブ Dohrmann および Siddharth Rajpathak によって貢献される、Cisco TAC エンジニア。

質問

透過的な、前方プロキシモード間の違いとは何か。

プロキシの目標は HTTP クライアントと HTTP サーバ間の中間人(プロキシ)であることです。 これはとりわけ Cisco Web セキュリティ アプライアンス(WSA)に、Web プロキシとして、Client 要求毎に 2 組の TCP ソケットがあることを意味します:

クライアント- > WSA 
WSA - > 起源 サーバ

WSA HTTP プロキシがどのように得るかクライアント要求は 2 つの方法の 1 つと定義することができます: 透過的にまたは明示的に

これらの配備のそれぞれに複数の特定の設定 オプションがあります:

配備方式説明
トランスペアレントレイヤ4 スイッチ(PBR) リダイレクトするのにレイヤ4 スイッチが宛先ポート 80 に基づいて使用されています
 トランスペアレント WCCP WCCP v2 によって有効に される デバイス(一般的に ルータ、スイッチ、PIX、または ASA)リダイレクト ポート 80
トランスペアレント繋がれたモード事実上組み合わせられる二重 NIC。 トラフィックは 1 NIC および他で入ります(使用不可能
明示的設定されるブラウザクライアント ブラウザは明示的に プロキシを使用するために設定されます
明示的設定される .PAC ファイルそれから、プロキシを参照するクライアント ブラウザは私達に明示的に .PAC ファイル設定されます、

WSA は繋がれたモードを除いてこれらの配備すべてを使用できます。 これは利用可能であると近い将来に期待されます。

要求が WSA に透過的にリダイレクトされているとき、WSA はクライアントがプロキシのプロシージャに気づいていないので OCS (原点コンテンツサーバ)であることをふりをする必要があります。 その一方で要求が WSA に明示的に 送信 されれば、WSA はそれと IP情報を所有することです応答します。

明示的 で、透過的なクライアント HTTP 要求間に少数の相違点があります:

1. 明示的 な 要求に設定されたプロキシの宛先 IP アドレスがあります。 透過的な要求に意図されていた Webサーバ(クライアントが解決する DNS)の宛先 IP アドレスがあります。

2. 透過的な要求のための URI はホストのプロトコルが含まれていません:

トランスペアレントGET / HTTP/1.1
明示的GET http://www.google.com/ HTTP/1.1

両方とも DNS ホストを規定 する HTTP ホスト ヘッダーが含まれています。

WSA の設定

WSA は「透過的な」のためにまたは「前方」設定することができます。 これはこれが実際に前方プロキシ配備の明示的 な」モードであるように、やや紛らわしいです、または「透過的な」。 逆プロキシはプロキシが HTTP サーバおよび目的がこれらの HTTP サーバのためのコンテンツを動作するためにののと同じネットワークであるように意図されているところです。

WSA の透過的な、前方モード間の唯一の主な違いは透過モードにそれです、WSA は透過的で、明示的 な HTTP 要求に応答します。 明示的で、WSA が明示的 な HTTP 要求にだけ応答する一方。

WSA は特に明示的 なアップストリーム プロキシを使用するために WSA が設定されなければクライアントを所有することであるので WSA が機能しているので、アップストリーム要求をので透過的な形式要求常に送信 します。

以下は透過的で、明示的 な 認証間のもう一つの違いです:

トランスペアレント  401 は WSA から-認証が必要となるとき送信 されます。 これはまた OCS が送信 するものです。
明示的407 は WSA からクライアントに HTTP プロキシが認証を必要とすることを告げるために-送信 されます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117940