ユーザと Dell SonicWALL 装置の間などの内部ネットワークにあるプロキシ サーバを介してユーザがウェブにアクセスすると、Dell SonicWALL 装置からはユーザではなくプロキシ サーバから HTTP/HTTPS 接続が行われているように見えます。
ログ記録、ポリシーの適用などを目的にユーザを識別するためには、プロキシ サーバの背後にいるユーザからの接続の初めの送信元 IP アドレスを装置側で認識する必要があります。これは、(オプションで) プロキシ サーバから HTTP ヘッダーの「X-Forwarded-For」フィールドで提供されます。
「X-Forwarded-For」HTTP ヘッダー フィールドの使用
「X-Forwarded-For」HTTP ヘッダー フィールドは、Squid プロキシ サーバによって初めて導入されましたが、現在では事実上の標準になっており、IETF による標準化も進められています。これは、プロキシ サーバからウェブ サーバへ送信される HTTP 要求に挿入され、ウェブ要求を出したクライアントの発信元 IP アドレスを示します。
接続がプロキシ サーバの連鎖を経由する場合、「X-Forwarded-For」でカンマ区切りの IP アドレス リストを示し、その先頭アドレスでダウンストリームの先端のアドレス (ユーザ) を示すことができます。
「X-Forwarded-For」フィールドが存在する場合、SonicOS はそこからユーザの IP アドレスを読み取ることができ、HTTP 要求の実際の送信元 IP アドレス (この場合はプロキシ サーバ) ではなく、こちらのアドレスを使用することによってユーザを識別することができます。
セキュリティ上の理由から、プロキシ サーバは管理者が手動で指定する必要があります。
ハッカーが、「X-Forwarded-For」を任意に設定した HTTP 要求を作成し、実際以上の権限を持った別のユーザを装うことに悪用する可能性があります。そのため、装置側では、「X-Forwarded-For」ヘッダー フィールドが存在しても、渡された IP アドレスが有効なユーザであると無条件に信頼することはできません。したがって、既知のプロキシ サーバから到着した HTTP 要求でない限り、「X-Forwarded-For」は無視されます。この目的を実現するために、SonicOS 管理インターフェースではプロキシ サーバのリストを設定できます。
プロキシ サーバの連鎖を目的としてプロキシ サーバから「X-Forwarded-For」で IP アドレスのリストを渡すことができるので、ハッカーが挿入したなりすまし IP アドレスがプロキシ サーバからの「X-Forwarded-For」フィールドで渡されるようなことがあると同じ脆弱性が存在することになります。SonicOS ではこのような状況をコントロールしないので、プロキシ サーバがこれを防ぐように適切に設定されていることを前提とする必要があります。
ウェブ プロキシ サーバは HTTP 要求をインターセプトし、要求されたウェブ ページのコピーを保管しているかどうかを判別します。保管していない場合、プロキシはインターネット上のサーバへの要求を完了し、要求された情報をユーザに返すとともに将来の要求に備えてローカルに保存します。ネットワーク上の各コンピュータがウェブ要求をサーバに送る設定をする必要があるため、ネットワーク上のウェブ プロキシ サーバのセットアップは手間がかかる場合があります。
プロキシ サーバがネットワーク上にある場合は、各コンピュータのウェブ ブラウザがプロキシ サーバに接続する設定をする代わりに、「ネットワーク > ウェブ プロキシ」ページの設定を使用して、サーバをWAN に移動しウェブ プロキシ転送を有効にすることができます。ファイアウォールによってすべてのウェブ プロキシ要求が自動的にプロキシ サーバに転送され、ネットワーク上のすべてのコンピュータを設定する必要はありません。
次の図に、「ネットワーク > ウェブ プロキシ」ページを示します。
自動プロキシ転送 (ウェブのみ) を設定するには:
1. ウェブ プロキシ サーバをハブに接続し、ハブを Dell SonicWALL の WAN または DMZ ポートに接続します。
Note プロキシ サーバは WANまたは DMZに配置しなければなりません。 LAN に配置することはできません。
2. 「ネットワーク > ウェブ プロキシ」に移動します。
3. 「自動プロキシ転送 (ウェブのみ)」の「プロキシ ウェブ サーバ (名前または IP アドレス)」フィールドに、プロキシ サーバの名前または IP アドレスを入力します。
4. 「プロキシ ウェブ サーバのポート番号」フィールドに、プロキシの IP ポートを入力します。
5. 障害が発生した場合にプロキシ サーバをバイパスするには、「プロキシ サーバが利用できない場合、プロキシ サーバをバイパスする」チェック ボックスを選択します。
Note 「プロキシ サーバが利用できない場合、プロキシ サーバをバイパスする」チェックボックスを選択することにより、ウェブ プロキシ サーバが利用できなくなったときに、Dell SonicWALL の背後にあるクライアントがウェブ プロキシ サーバをバイパスできるようになります。代わりに、クライアントのブラウザは、ウェブ プロキシ サーバが指定されていないかのようにインターネットに直接アクセスします。
6. クライアントが DMZ 上で設定されている場合は、「公開ゾーン クライアント リクエストをプロキシ サーバに転送する」を選択します。
7. NSA/TZ シリーズ装置に WXA シリーズ装置を接続していて、ウェブ キャッシュ機能が有効になっている場合は、「トラフィック を WXA 装置のウェブ キャッシュに転送する」を選択します。
8. 「適用」を選択します。
Dell SonicWALL が更新された後、ブラウザ ウィンドウの一番下に更新を確認するメッセージが表示されます。
ホスト名または IP アドレスを入力して、最大 32 のユーザ プロキシ サーバのリストを設定できます。
ユーザ プロキシ サーバを設定するには:
1. ユーザ プロキシ サーバをハブに接続し、ハブをファイアウォールの WAN または DMZ ポートに接続します。
Note プロキシ サーバは WANまたは DMZに配置しなければなりません。 LAN に配置することはできません。
2. 「ネットワーク > ウェブ プロキシ」に移動します。
3. 「ユーザ プロキシ サーバ」の下で「追加」ボタンを選択します。
4. プロキシ サーバの名前または IP アドレスを入力します。
5. 「OK」を選択します。
6. さらにプロキシ サーバを追加するには、手順 3 および 4 を繰り返します。
ユーザ プロキシ サーバの編集
プロキシ サーバの名前または IP アドレスを編集するには:
1. プロキシ サーバ リスト ボックスで、編集するプロキシ サーバを選択します。
2. 「編集」ボタンを選択します。
3. プロキシ サーバの名前または IP アドレスを入力します。
4. 「OK」を選択します。
ユーザ プロキシ サーバの削除
プロキシ サーバを削除するには:
1. プロキシ サーバ リスト ボックスで、削除するプロキシ サーバを選択します。
2. 「削除」ボタンを選択します。