この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、WebVPN サービス モジュール の概要、機能、およびリモート アクセスのモードについて説明します。内容は、次のとおりです。
WebVPN サービス モジュール は、Catalyst 6500 シリーズ スイッチに搭載できるレイヤ 4 ~ 7 サービス モジュールです。Web VPN により、エンド ユーザは Web ブラウザを使用してセキュアなリモート アクセス VPN トンネルを確立できます。ソフトウェアまたはハードウェアのクライアントは不要です。Web VPN を使用すると、HTTPS インターネット サイトに接続できるほとんどのコンピュータ上で、広範囲の Web リソースおよび Web 対応アプリケーションに簡単にアクセスできます。Web VPN は、Secure Socket Layer Protocol およびそれを継承する Transport Layer Security
(SSL/TLS1)を使用して、リモート エンド ユーザと、中央サイトに設定したサポート対象の特定の内部リソース間にセキュアな接続を提供します。WebVPN サービス モジュール により、プロキシが必要な接続が認識されると、HTTP サーバが認証サブシステムと通信し、エンド ユーザを認証します。
ネットワーク管理者は、グループ単位で、エンド ユーザに WebVPN リソースへのアクセスを提供します。エンド ユーザは、内部ネットワークのリソースに直接アクセスすることはできません。
WebVPN サービス モジュール 上の接続は、リモート アクセス IPsec 接続とはまったく異なります。WebVPN 接続では、WebVPN サービス モジュール は、エンド ユーザの Web ブラウザとターゲット Web サーバ間のプロキシとして動作します。WebVPN のエンド ユーザが SSL 対応 Web サーバに接続すると、WebVPN サービス モジュール がセキュアな接続を確立し、サーバの SSL 証明書を評価します。エンド ユーザのブラウザは、提示された証明書を受信できないので、証明書を評価したり、確認することはできません。
エンド ユーザのログインおよび認証は、Web ブラウザにより、HTTP リクエストを使用して、セキュア ゲートウェイに対して実行されます。これにより、クッキーにより参照されるセッションが作成されます。認証されると、エンド ユーザに対して、WebVPN ネットワークにアクセスできるポータル ページが表示されます。ブラウザから送信されるリクエストにはすべて、認証クッキーが含まれます。ポータル ページにより、内部ネットワーク上の使用可能なすべてのリソースが提供されます。たとえば、ポータル ページにより、シンクライアントの Java アプレット(TCP ポート転送用)またはトンネリング クライアントをダウンロードおよびインストールできるリンクを、エンド ユーザに提供できます。
図1-1 に、リモート アクセス モードの概要を示します。
|
|
|
|
|
|
• Java または ActiveX によりロードされたクライアントのトンネリング(約 500 kB) |
以降のセクションで、サポートされる 3 つのリモート アクセス モードについて説明します。
クライアントレス モードでは、エンド ユーザは、クライアント マシン上の Web ブラウザを使用して内部ネットワークまたは企業ネットワークにアクセスします。
クライアントレス モードでは、次のアプリケーションがサポートされます。
• Web ブラウジング(HTTP およびセキュア HTTP [HTTPS] を使用) ― エンド ユーザは、ポータル ページ上の URL ボックスと Web サーバ リンクのリストを使用して、Web をブラウズできます。
• ファイル共有(Common Internet File System [CIFS] を使用) ― エンド ユーザは、ポータル ページ上のファイル サーバ リンクのリストを使用して、次の操作を実行できます。
• Microsoft Outlook Web Access(OWA)2003 などの Web ベース E メール(HTTP および HTTPS を使用)および Web Distributed Authoring and Versioning(WebDAV)拡張機能 ― エンド ユーザは、リンクを使用して Exchange サーバに接続し、Web ベース E メールを読むことができます。
シンクライアント モードは、TCP ポート転送とも呼ばれ、クライアントのアプリケーションが TCP を使用して既知のサーバおよびポートに接続することを前提としています。
シンクライアント モードでは、エンド ユーザは、ポータル ページに提供されたリンクをクリックして、Java アプレットをダウンロードします。Java アプレットは、ゲートウェイに設定するサービスに対して、クライアント マシン上の TCP プロキシとして動作します。
シンクライアント モードでサポートされるアプリケーションは、主に E メール ベース(SMTP、POP3、および IMAP4)アプリケーションです。
(注) TCP ポート転送プロキシが動作するのは、Sun 1.4 Java Virtual Machine(JVM)以降のリリースだけです。ブラウザが 1.4 JVM をダウンロードするように、HTML が指定されます。アプレットも JVM のバージョンをチェックし、互換性のないバージョンの場合、実行を拒否します。
Java アプレットは、エンド ユーザ クライアントから WebVPN ゲートウェイへの HTTP リクエストを開始します。HTTP リクエスト(POST または CONNECT)には、内部 E メール サーバの名前およびポート番号が含まれます。WebVPN ゲートウェイは、指定された内部 E メール サーバおよびポートへの TCP 接続を作成します。
Java アプレットは、すべてのクライアント接続について、新しい SSL 接続を開始します。
シンクライアント モードを使用する場合には、次の制約に注意してください。
• エンド ユーザに、Java アプレットのダウンロードおよびインストールを許可する必要があります。
• ポートがダイナミックにネゴシエートされる FTP などのアプリケーションには、シンクライアント モードを使用できません。TCP ポート転送を使用できるのは、スタティック ポートだけです。
• アプリケーションをシームレスに動作させるには、エンド ユーザに管理者権限を提供する必要があります。エンド ユーザに管理者権限を提供しない場合、エンド ユーザは、アプリケーションを適正に動作させるために、クライアント プログラムの設定を手動で変更する必要があります。
一般的なクライアントレス リモート アクセスの場合、エンド ユーザは SSL トンネルを確立し、アプリケーション レイヤで内部ネットワークとのデータ通信(Web および E メールなど)を行います。トンネル モードでは、エンド ユーザは SSL トンネルを使用して、ネットワーク(IP)レイヤでデータ通信を行います。したがって、トンネル モードでは、ほとんどの IP ベース アプリケーションがサポートされます。トンネル モードは、多数の一般的な企業アプリケーション(Microsoft Outlook、Microsoft Exchange、Lotus Notes E-mail、Telnet など)をサポートしています。
トンネル接続は、グループ ポリシー設定により判別されます。エンド ユーザの PC に、SSL VPN クライアント(SVC)がダウンロードおよびインストールされ、エンド ユーザが WebVPN ゲートウェイにログインした時点で、トンネル接続が確立されます。
デフォルトでは、SVC は、接続終了後にクライアントの PC から削除されます。任意に、クライアントの PC に SVC を常時インストールしておくこともできます。