この例では、サブドメインに基づきインバウンド HTTPS 要求を別の内部 Web サーバーにダイレクトするドメイン名ルールを使って HTTPS プロキシを構成する方法を示しています。この例ではコンテンツ インスペクションが有効化されていません。プロキシ アクションのドメイン名ルールは、TLS の SNI(サーバー名表示)拡張子におけるサーバー ドメイン、またはCN(一般名)としてのサーバー証明書に基づいてルーティング アクションを指定します。
HTTPS プロキシ アクションでは、HTTPS 要求のサーバー ドメインが指定したパターンに一致するときに取るアクションを指定するドメイン名ルールを追加できます。この例には、ドメイン名ルールを構成するためのすべての手順が含まれているわけではありません。詳細な構成手順については、次を参照してください: HTTPS プロキシ:ドメイン名ルール。
この例では、ある組織のプライベート ネットワークに 3 つのサーバーがあり、すべてのサーバーに対するインバウンド HTTPS 接続に単一のパブリック IP を使用したいと思っています。
この例では、以下のようになります。
- ブログは、10.1.5.8 の Web サーバーでホストされています。
- 登録 Web サイトは 10.1.5.13 の Web サーバーにあります
- 組織の Web サイトは 10.1.5.80 の Web サーバーにあります
同じパブリック IP アドレスのこれら全サーバーへのインバウンド接続を許可するドメイン名ルールを持つ HTTPS プロキシ アクションを構成できます。ドメイン名ルールにより、HTTPS 要求がドメイン名に基づいて特定の内部サーバーにリダイレクトされます。その他すべての HTTPS 要求は、policy destination の SNAT アクションで指定したメイン Web サーバーに向かいます。
ドメイン名ルールは、ドメイン名と一致する必要があり、パスを含めることはできません。
この例では、コンテンツ アクションには次のようなドメイン名ルールが含まれています:
| ドメイン名ルール | パターン マッチ値 | ルーティング アクション |
|---|---|---|
| ブログ | blog.example.com | 10.1.5.8 |
| 登録 | registration.example.com | 10.1.5.13 |
| 前記のルールが一致しなかった場合に実行するアクション | 該当なし | ポリシーの既定値を使用 (10.1.5.80) |
HTTPS プロキシ アクションは、ドメイン名ルールがトラフィックをブログと登録サーバーにルーティングするよう構成されます。プロキシ アクションは、ルールが一致しなければトラフィックをポリシーの既定宛先にルーティングするよう構成されます。これにより、その他すべての Web トラフィックは、ポリシーの SNAT アクションで指定した既定 Web サーバーに向かいます。すべてのルールでは、HTTPS の規定ポートであるポート 443 が使用されます。
HTTP プロキシ ポリシーにおける既定の宛先は、HTTP 要求を 10.1.5.80 のメイン Web サーバーにルーティングする SNAT アクションです。
SNAT アクションは、ドメイン名ルールが ポリシーの既定値を使用 を指定した場合のみ使用されます。