アプリケーションゲートウェイ

アプリケーション通信に適用可能なプロキシおよびフィルタリング機能を提供します。

1. 仕様概要
項目
中継セッション数の上限
  • 4096
2. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
透過プロキシ ×
HTTPプロキシ ×
3. デフォルトの動作状態
機能 状態 備考
透過プロキシ 無効
HTTPプロキシ 無効

透過プロキシ

透過プロキシはクライアントにプロキシ設定が必要ありません。ゲートウェイ(ルータ)またはブリッジとして動作しながらアプリケーション通信を中継できます。

ゲートウェイ型
インターネット向けのゲートウェイなど、ルータとしてIP転送するパケットを中継対象とする場合に選択します。
ブリッジ型
無線LANブリッジなど、ブリッジ転送するパケットを中継対象とする場合に選択します。
透過プロキシは、設定された動作モードに応じて対象パケットを中継します。
中継対象パケットのプロトコル
  • HTTPモード:80/TCP HTTP
  • SSLモード:443/TCP HTTPS

URLフィルタ

URLフィルタは、HTTPおよびHTTPS通信についてURLを評価し中継を制御できます。URLの評価には文字列パターンのマッチングおよびURLフィルタリングサービスを利用できます。

4. 仕様概要
項目
URLパターンまたはURLカテゴリの設定数上限 512
5. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
URLフィルタ ×
6. デフォルトの動作状態
機能 状態 備考
URLフィルタ 無効

HTTPモードまたはSSLモードのプロキシ設定にURLフィルタの適用有無を指定できます。

フィルタルールはモードに依存せず、URLフィルタが有効化されたすべてのプロキシに適用されます。

注: URLフィルタは、他のプロキシサーバへのハンドオフが設定されているプロキシでは動作しません。

URLの文字列パターンによるフィルタ

HTTPまたはHTTPSのリクエストパケットに含まれるURLに対して、文字列パターンとの一致を評価するフィルタリングを適用できます。
  • URLの http://, https:// 以降を指定します。
  • シェル表現によるワイルドカードを使用可能です。
  • シェル表現で '/' を含む文字列を指定した場合、最初の '/' は、URLパス部先頭(ホスト部直後)の '/' に一致するものとして扱われます。 たとえば、'*jp/abc*' と指定した場合、'http://www.example.jp/abc' には一致しますが、'http://www.example.jp/jp/abc' には一致しません。 また、'http://example.jp/' と、これに 'www.' 等を付加した'http://www.example.jp/' の両方を一致させるためには、'example.jp/*' と指定したフィルタと、'*.example.jp/*' と設定したフィルタをそれぞれ設定する必要があります。
    注: シェル表現の末尾を"/"とした場合、ファイル名を含むURLに一致しないことに注意してください。全てのファイル(パス)を一致させるには、シェル表現末尾に"/*"のようにワイルドカードを含めます。

パケットのURLは所定の変換ルールで整形した後にフィルタルールで評価されます。

注: HTTPS通信は暗号化され実際のリクエストURLを参照できないため、パケットに含まれるSNIのホスト名に対して評価します。例えば https://www.example.com/path/to/index.html というURLのリクエストパケットは、www.example.com/ が評価対象となります。
  • ホスト部の英大文字は英小文字に変換
  • RFC3986で規定される予約されない文字(Unreserved Characters)がエンコードされていた場合は、デコードする
  • デフォルトのポート番号(80)がポート部に指定された場合、取り除く
  • ドットセグメント(Dot Segments)は削除する

利用可能なURLフィルタリングサービス

サイトアンパイア
アルプスシステムインテグレーション株式会社のサイトアンパイアを利用できます。発行された認証IDをご用意ください。
SACMパートナーは、LaITサプライ サイトアンパイアのSACMパートナー向け品目を利用できます。
サイトアンパイアによるURLフィルタリングでは、フィルタ対象のカテゴリ(Webサイトの内容による分類)をカテゴリ識別子で指定します。
注: カテゴリとカテゴリ識別子の対応は「カテゴリ一覧」に記載されますが、カテゴリ一覧はサイトアンパイアサービスにより複数種定義されており、装置によって対応するカテゴリ一覧が異なります。本装置は「75カテゴリ一覧」に対応しています。
参照:サイトアンパイア

SNI(Server Name Indication) 非対応のHTTPS通信のブロック

HTTPS通信にURLフィルタを適用するにはクライアントの通信がSNIに対応している必要があります。

デフォルトではSNIに対応していないHTTPS通信をブロックします。本機能を無効化した場合は当該通信をパスしますが、このときURLフィルタは適用しません。

HTTPプロキシ

非透過型のWeb Proxyとして利用可能なHTTPプロキシ機能を提供します。Webブラウザ等でプロキシサーバとして本装置を指定することで、HTTP通信をアプリケーションゲートウェイ機能で中継することができます。

対応プロトコル
HTTP, HTTPS

HTTPプロキシの動作

  • WebブラウザからのHTTP要求のホストヘッダを解釈し、送信先(IPアドレスとポート番号)を決定する
    • ホストヘッダに IPアドレスではなくホスト名が指定された場合、リゾルバ機能を用いてホスト名から IPアドレスを解決する。また、DNSの応答結果をキャッシュする。
    • ホストヘッダのない HTTPプロキシ要求には対応しない
    • ホスト名からの IPアドレスの解決に失敗した場合にはクライアントに対するHTTPレスポンスとして、ステータスコード503を返却する
  • 決定した送信先と、接続先ポート番号および接続先ネットワーク(IPv4アドレスとプレフィックス長)が一致するサービス設定が存在する場合には、 そのサービス設定に従って中継する。複数のサービス設定が一致する場合には、接続先ネットワークのプレフィックス長がもっとも長いサービス設定が適用される
    • 一致するサービス設定がない場合や、一致するサービス設定がHTTPモードまたはSSLモードでない場合には、 クライアントにステータスコード403 が返却され、中継されない