Citrix Secure Web Gateway

ICAP を使用したリモートコンテンツ検査

インターネットコンテンツ適応プロトコル (ICAP) は、シンプルで軽量なオープンプロトコルです。通常、プロキシと、マルウェア対策サポートとデータ漏洩防止サービスを提供するデバイス間で HTTP メッセージを転送するために使用されます。ICAPは、コンテンツ配信の柔軟性を高め、付加価値サービスを提供するために、コンテンツ適応のための標準インターフェイスを作成しました。ICAP クライアントは、処理のために ICAP サーバーに HTTP 要求と応答を転送します。ICAP サーバーは、要求に対して何らかの変換を実行し、要求または応答に対して適切なアクションを使用して ICAP クライアントに応答を返送します。

Citrix Secure Web Gateway アプライアンスでのICAPの使用

コンテンツ検査機能には SWG Edition ライセンスが必要です。

Citrix Secure Web Gateway(SWG)アプライアンスは、ICAPクライアントとして機能し、ポリシーを使用してICAPサーバーと通信します。アプライアンスは、マルウェア対策やデータリーク防止(DLP)などの機能を専門とするサードパーティ製ICAPサーバーと通信します。SWG アプライアンスで ICAP を使用すると、暗号化されたファイルもスキャンされます。セキュリティベンダーは、以前これらのファイルをバイパスしていました。アプライアンスは SSL 代行受信を実行し、クライアントトラフィックを復号化し、ICAP サーバーに送信します。ICAP サーバーは、ウイルス、マルウェア、スパイウェアの検出、データリーク検査、その他のコンテンツ適応サービスをチェックします。アプライアンスはプロキシとして機能し、オリジンサーバーからの応答を復号化し、検査のためにプレーンテキストでICAPサーバーに送信します。ICAP サーバーに送信されるトラフィックを選択するポリシーを構成します。

要求モードのフローは、次のように動作します

ローカライズされた画像

(1)Citrix SWGアプライアンスはクライアントからの要求を傍受します。(2)アプライアンスは、アプライアンスで構成されたポリシーに基づいて、これらの要求をICAPサーバーに転送します。(3)ICAPサーバーは、「適応不要」、エラー、または変更された要求を示すメッセージで応答します。アプライアンスは、(4)クライアントが要求したオリジナル・サーバーにコンテンツを転送するか、(5)適切なメッセージをクライアントに返します。

応答モードのフローは、次のように動作します

ローカライズされた画像

(1)オリジンサーバーがCitrix SWGアプライアンスに応答します。(2)アプライアンスは、アプライアンスで構成されたポリシーに基づいて、ICAPサーバーに応答を転送します。(3)ICAPサーバーは、「適応不要」、エラー、または変更要求を示すメッセージで応答します。(4)応答を送信すると、アプライアンスは要求されたコンテンツをクライアントに転送するか、適切なメッセージを送信します。

Citrix Secure Web Gateway アプライアンスでのICAPの構成

以下の手順では、Citrix SWGアプライアンスでICAPを構成する方法について説明します。

  1. コンテンツ検査機能を有効にします。
  2. プロキシサーバを設定します。
  3. ICAP サーバーを表す TCP サービスを構成します。SWG アプライアンスと ICAP サービス間のセキュアな接続を確立するには、サービスタイプを SSL_TCP として指定します。セキュリティで保護された ICAP の詳細については、このページの後半の「Secure ICAP」を参照してください。
  4. オプションで、負荷分散仮想サーバーを追加して、ICAP サーバーの負荷分散を行い、ICAP サービスをこの仮想サーバーにバインドします。
  5. カスタム ICAP プロファイルを構成します。プロファイルには、ICAP サービスの URI またはサービスパス、および ICAP モード (要求または応答) を含める必要があります。 HTTP および TCP のデフォルトプロファイルに似た ICAP デフォルトプロファイルはありません。
  6. コンテンツ検査アクションを設定し、ICAP プロファイル名を指定します。サーバー名パラメーターで、負荷分散仮想サーバー名または TCP/SSL_TCP サービス名を指定します。
  7. コンテンツインスペクションポリシーを設定して、クライアントトラフィックを評価し、プロキシサーバにバインドします。このポリシーでコンテンツインスペクションアクションを指定します。

CLI を使用して ICAP を構成する

次のエンティティを構成します。

  1. 本機能を有効にします。

    enable ns feature contentInspection

  2. プロキシサーバを設定します。

    add cs vserver <name> PROXY <IPAddress>

    :

    add cs vserver explicitswg PROXY 192.0.2.100 80

  3. ICAP サーバーを表すように TCP サービスを構成します。

    add service <name> <IP> <serviceType> <port>

    ICAP サーバーとのセキュアな接続のために、サービスタイプを SSL_TCP として指定します。

    :

    add service icap_svc1 203.0.113.100 TCP 1344

    add service icap_svc 203.0.113.200 SSL_TCP 11344

  4. 負荷分散仮想サーバーを構成します。

    add lb vserver <name> <serviceType> <IPAddress> <port>

    :

    add lbvserver lbicap TCP 0.0.0.0 0

    ICAP サービスを負荷分散仮想サーバーにバインドします。

    bind lb vserver <name> <serviceName>

    :

    bind lb vserver lbicap icap_svc

  5. カスタム ICAP プロファイルを追加します。

    add ns icapProfile <name> -uri <string> -Mode ( REQMOD | RESPMOD )

    :

    add icapprofile icapprofile1 -uri /example.com -Mode REQMOD

    パラメーター

    名前

    ICAPプロファイルの名前。ASCII 英数字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、 コロン (:)、アットマーク (@)、等号 (=)、およびハイフン (-) のみを含む必要があります。

    CLI ユーザー:名前に 1 つ以上のスペースが含まれる場合は、名前を二重引用符または一重引用符で囲みます (「my icap profile」や「my icap profile」など)。

    最大長さ:127

    ウリ

    ICAP サービスパスを表す URI。

    最大長:511 文字

    モード

    ICAP モード。使用可能な設定は次のように機能します。

    • REQMOD: 要求変更モードでは、ICAP クライアントは HTTP 要求を ICAP サーバーに転送します。

    • RESPMOD:応答変更モードでは、ICAP サーバーはオリジンサーバーから ICAP サーバーに HTTP 応答を転送します。

      可能な値:REQMOD、RESPMOD

  6. ポリシーが true を返す場合に実行するアクションを設定します。

    add contentInspection action <name> -type ICAP -serverName <string> -icapProfileName <string>

    :

    add contentInspection action CiRemoteAction -type ICAP -serverName lbicap -icapProfileName icapprofile1

  7. トラフィックを評価するポリシーを設定します。

    add contentInspection policy <name> -rule <expression> -action <string>

    :

    add contentInspection policy CiPolicy -rule true -action CiRemoteAction

  8. プロキシサーバーにポリシーをバインドします。

    bind cs vserver <vServerName> -policyName <string> -priority <positive_integer> -type [REQUEST | RESPONSE]

    :

    bind cs vserver explicitswg -policyName CiPolicy -priority 200 -type REQUEST

GUI を使用して ICAP を構成する

次の手順を実行します。

  1. 負荷分散 > サービス に移動し、追加 をクリックします。

    ローカライズされた画像

  2. 名前と IP アドレスを入力します。「 プロトコル」で、「 TCP」を選択します。ポート1344と入力します。[OK] をクリックします。

    ICAP サーバーへの安全な接続を行うには、TCP_SSL プロトコルを選択し、ポートを 11344 と指定します。

    ローカライズされた画像

  3. Secure Web Gateway 」>「 プロキシ仮想サーバー 」に移動します。プロキシ仮想サーバーを追加するか、仮想サーバーを選択して「 編集」をクリックします。詳細を入力したら、OK をクリックします。

    ローカライズされた画像

    もう一度 OK] をクリックします

    ローカライズされた画像

  4. 詳細設定で、ポリシー をクリックします。

    ローカライズされた画像

  5. 「ポリシーの選択」で、「 コンテンツ検査」を選択します。[続行] をクリックします。

    ローカライズされた画像

  6. ポリシーの選択 で、[+] 記号をクリックしてポリシーを追加します。

    ローカライズされた画像

  7. ポリシーの名前を入力します。アクション で、[+] 記号をクリックしてアクションを追加します。

    ローカライズされた画像

  8. アクションの名前を入力します。サーバー名に、以前に作成した TCP サービスの名前を入力します。ICAPプロファイルで、「+」記号をクリックしてICAPプロファイルを追加します。

    ローカライズされた画像

  9. プロファイル名「URI」を入力します。「 モード」で「 REQMOD」を選択します。

    ローカライズされた画像

  10. [作成] をクリックします。

    ローカライズされた画像

  11. ICAPアクションの作成 」ページで、「 作成 」をクリックします。

    ローカライズされた画像

  12. ICAP ポリシーの作成 ページで、 式エディター に true と入力します。次に、作成 をクリックします。

    ローカライズされた画像

  13. [バインド] をクリックします。

    ローカライズされた画像

  14. コンテンツ検査機能を有効にするかどうかを確認するメッセージが表示されたら、Yes を選択します。

    ローカライズされた画像

  15. [完了] をクリックします。

    ローカライズされた画像

セキュリティで保護されたICAP

SWG アプライアンスと ICAP サーバー間のセキュアな接続を確立できます。これを行うには、TCP サービスではなく SSL_TCP サービスを作成します。SSL_TCP タイプのロードバランシング仮想サーバーを構成します。ICAP サービスを負荷分散仮想サーバーにバインドします。

CLI を使用してセキュアな ICAP を構成する

コマンドプロンプトで、次のように入力します。

  • add service <name> <IP> SSL_TCP <port>
  • add lb vserver <name> <serviceType> <IPAddress> <port>
  • bind lb vserver <name> <serviceName>

:

add service icap_svc 203.0.113.100 SSL_TCP 1344

add lbvserver lbicap SSL_TCP 0.0.0.0 0

bind lb vserver lbicap icap_svc

GUI を使用したセキュアな ICAP の構成

  1. 負荷分散 ] > 仮想サーバー ] に移動し、追加 ] をクリックします。
  2. 仮想サーバーの名前、IP アドレス、およびポートを指定します。プロトコルを SSL_TCP として指定します。
  3. [OK] をクリックします。
  4. 負荷分散仮想サーバーサービスバインディング セクション内をクリックして、ICAP サービスを追加します。
  5. 「+」をクリックしてサービスを追加します。
  6. サービス名、IP アドレス、プロトコル (SSL_TCP)、およびポート (セキュアな ICAP のデフォルトポートは 11344) を指定します。
  7. [OK] をクリックします。
  8. [完了] をクリックします。
  9. [バインド] をクリックします。
  10. 続行 ] を 2 回クリックします。
  11. [完了] をクリックします。

制限事項

次の機能はサポートされていません。

  • ICAP 応答キャッシング。
  • X-Auth-User-URIヘッダーを挿入しています。
  • RESPMODでICAPリクエストにHTTPリクエストを挿入する。
ICAP を使用したリモートコンテンツ検査