通信が効率化するだけじゃない!セキュリティも向上:プロキシサーバ
はい、こんにちは!セキュリティ対策の重要機器「ファイアウォール」について連続記事で紹介しています。クリスマスですね!?プレゼント替わりにブログ記事を差し上げます!無理かw。
前回は、アプリケーションゲートウェイ(ALG)のお話をしました。ようは、通信の前後関係、あるいはデータ部の内容を踏まえて動的にフィルタリングするセキュリティ機器です。ただ、検証対象のデータが大きい分、通信の効率が落ちるリスクはございます。
さて、今回はプロキシサーバのお話です。ファイアウォールの話はどこに行った?と思われるかもしれません。しかし、アウトバウンドのトラフィックを読み取ってフィルタリングしますから、広義にはファイアウォールの一種とみなしてよい機器です。
ということで、プロキシサーバについてファイアウォール・シリーズの一環として話をさせていただきます~。ただし、プロキシサーバが持つ機能や役割を十分に説明するとなると長大になりそうですから、ここではその概要を知るに留めましょう!
プロキシサーバとは何か?
プロキシ(Proxy; 代理人)サーバは、内部ネットワークとインターネットの間に位置し、内部のコンピュータからのアクセス要求を代行する役割を持っています。
プロキシは、第7層すなわちアプリケーションレベルで動作します。ですので、プロキシのセキュリティ機能に着目して、しばしばALG(アプリケーションゲートウェイ)と同義語として扱われます。
また、アプリケーション単位で動作するので、サーバもアプリケーション単位です。ただ、FTPなどを代行するものもあるようですが、通例は、HTTP要求を代行するもの(HTTPプロキシ)を指していると思って大丈夫です。
なぜプロキシサーバを置くのか?
プロキシサーバが、「HTTP要求の代理人だ」ということは分かりました。でも、なんでプロキシサーバが必要なのでしょうか?
その理由は、大きく2つあります。
セキュリティの強化
ネットワーク帯域の効率化
です。インターネットからの脅威から内部ネットワークを保護すると同時に、キャッシュ機能により頻繁にアクセスされるコンテンツを高速に提供します。
以下、詳しく見てみましょうか。
1)セキュリティの向上
クライアント(厳密にはブラウザ)はプロキシサーバを経由してHTTP要求をするよう設定するので、プロキシサーバは、クライアントからのHTTPリクエストや、そのHTTPレスポンスをすべて把握してセキュリティを高めます。
具体的には、前回記事で紹介したDPI(Deep Packet Inspection)やSPI(Stateful Packet Inspectionにより、認められていない要求を拒否したり、応答されたコンテンツをチェックします。
それだけではありません。内部のコンピュータのIPアドレスなどの情報を隠すことができます。外部から見ればプロキシサーバ自身がリクエストを要求しているように見えるからです。これにより、本来要求を行っているクライアントに対する外部からの直接的なアクセスを防ぐことができます。
2)通信の高速化
プロキシサーバは、クライアントが訪問したウェブページのデータをキャッシュ(保存)し、同じページに対する後続のリクエストがあった場合に、直接キャッシュからデータを提供します。
これにより、データのダウンロード時間が短縮され、帯域使用量も削減されます。
「いつも古いデータを読まされるのか?」と心配になりますね。でも、心配無用です。一定期間が経過したキャッシュは、破棄されます。
もともとプロキシは、セキュリティ機能ではなく、このキャッシュ機能の方が本来の機能でした。通信費用が従量制で高かった時代は、通信を少しでも削減することが重要だったんですね。
以上が、プロキシを設置・設定する理由です。
2つのプロキシサーバ設定方法
では、パソコンは、プロキシサーバをどのように設定するのでしょうか?
主に二つあります。一つはIPアドレスを直接指定する方法、もう一つは自動構成スクリプト(PACファイル)を使用する方法です。
1)IPアドレスによる手動設定
この方法では、ユーザーはプロキシサーバーのIPアドレスとポート番号(8080や3128など)を直接ブラウザやシステムの設定に入力します。
これにより、そのデバイスの全てのインターネットトラフィックは指定されたプロキシサーバーを経由するようになります。
2)自動構成スクリプト(PAC; Proxy Auto Config)
PACファイルは、特定のウェブサイトへのアクセスに、どのプロキシサーバーを使用するかをブラウザに指定できるスクリプトです。
これをブラウザやシステム設定で指定します。ユーザは、ファイルが所在する場所(URL)を入力するだけですから、手動の場合と手間は変わりません。
他方、ネットワーク管理者は、ブラウザが異なるネットワーク条件やウェブサイトに応じて、最適なプロキシサーバを動的に選択させることができます。
このように、手動設定よりも複雑だけれども柔軟な設定ができるので、大規模なネットワークを利用してる企業では、PACを利用しているのではないでしょうか。
はい、本日はここまで!今回はプロキシサーバについてご紹介しました。なんとなく使っているプロキシサーバですが、その役割について改めて整理できてすっきりしました!
次回は、IDS/IPSへと進むことにしましょう。
では!
この記事が気に入ったらサポートをしてみませんか?