HTTP プロキシについて

HTTP (Hyper Text Transfer Protocol) は、クライアントとサーバーの間の要求プロトコルまたは応答プロトコルです。通常、HTTP クライアントは Web ブラウザです。HTTP サーバーは、HTML ファイル、イメージ、およびその他のコンテンツを保持するリモート リソースです。HTTP クライアントが要求を開始するとき、ポート 80 で TCP (転送制御プロトコル) 接続が確立されます。HTTP サーバーは、ポート 80 で要求を待機します。クライアントからの要求を受信すると、サーバーは、要求されたファイル、エラー メッセージ、またはその他の情報と共に応答します。

HTTP プロキシは、高性能なコンテンツ フィルタです。Web トラフィックを検査して、ウイルスやその他の種類の侵入である可能性があるコンテンツを識別します。また、HTTP サーバーに対する外部ネットワークからの攻撃も防ぎます。WatchGuard では、ネットワークと外部ホスト間の HTTP トラフィックには、HTTP プロキシ ポリシーを使用することをお勧めしています。

HTTP プロキシ フィルタを使用すると、以下の操作を実行できます。

  • HTTP 要求および応答のタイムアウトと長さの制限値を調整して、悪いネットワーク パフォーマンスを防止でき、複数の攻撃も防止できます。
  • HTTP プロキシがブロックしている Web サイトにユーザーが接続しようとした場合に表示される拒否メッセージをカスタマイズします。
  • Web コンテンツの MIME タイプをフィルタします。
  • 指定されたパス パターンおよび URL をブロックします。
  • 指定された Web サイトからの cookies を拒否します。

WebBlocker セキュリティ登録と共に HTTP プロキシを使用できます。詳細については、WebBlocker について を参照してください。

ユーザーが HTTP プロキシ経由でWindows アップデートをダウンロードできるようにするには、HTTP プロキシ設定を変更する必要があります。詳細については、HTTP プロキシ経由の Windows 更新を有効化する を参照してください。

TCP/UDP プロキシは、標準以外のポートにおけるプロトコルで使用できます。HTTP でポート 80 以外のポートを使用する場合、TCP/UDP プロキシがトラフィックを HTTP プロキシに送信します。TCP/UDP プロキシの詳細については、次を参照してください: TCP/UDP プロキシについて

Firebox 構成に HTTP プロキシを追加する方法の詳細については、次を参照してください: 構成にプロキシ ポリシーを追加する

どのプロキシ アクションを使用するか

プロキシ ポリシーを構成する際、ポリシーに適したプロキシ アクションを選択する必要があります。内部クライアントからインターネットへの接続を許可するプロキシ ポリシーの場合、クライアント プロキシ アクションを使用します。内部サーバーからインターネットへの接続を許可するポリシーの場合、サーバー プロキシ アクションを使用します。

プロキシ アクション名に Standard という用語が付加されている事前定義済みプロキシ アクションには、最新のインターネット ネットワーク トラフィックの傾向を反映した推奨標準設定が含まれています。

Fireware v11.12 以上では、Web Setup Wizard と WSM Quick Setup Wizard により、Default-HTTP-Client プロキシ アクションを使用する HTTP プロキシ ポリシーが自動的に追加されます。Default-HTTP-Client プロキシ アクションは、HTTP-Client.Standard プロキシ アクションに基づいており、セットアップ ウィザードを実行したときに機能キーでライセンス付与されたサブスクリプション サービスを有効化します。新しい HTTP プロキシ ポリシーを追加する場合、Default-HTTP-Client プロキシ アクションのほうが HTTP-Client.Standard プロキシ アクションより優れた選択肢かもしれません。Default-HTTP-Client プロキシ アクションの詳細については、以下を参照してください Setup Wizard の既定のポリシーと設定

コンテンツ アクションについて

HTTP プロキシでは、プロキシ アクションの代わりに HTTP コンテンツ アクションを選択できます。HTTP コンテンツ アクションが Firebox を有効化し、HTTP ホスト ヘッダーのコンテンツに基づいてインバウンド HTTP 要求を異なる内部 Web サーバーにルーティングして異なる HTTP サーバー プロキシ アクションを使用します。Firebox の背後のパブリック Web サーバーへの接続に必要なパブリック IP アドレスの件数を減らしたい場合、HTTP サーバー プロキシ アクションの代わりにコンテンツ アクションを使用します。詳細については、コンテンツ アクションについて を参照してください。

HTTP コンテンツ アクションを使った HTTP プロキシ ポリシーの構成方法についての詳細は、次を参照してください: 例 — HTTP プロキシと HTTP コンテンツ アクション

HTTP プロキシ アクションを構成する

設定タブ

設定 タブで、トラフィックを許可するか拒否するかの判断、ポリシーのアクセス ルールの作成、帯域幅と時間クォータの有効化、静的 NAT またはサーバー負荷分散の構成など、プロキシ ポリシーに関する基本情報を設定することができます、設定 タブにはポリシーのポートとポリシーのプロトコルも表示され、オプションでポリシーの説明を加えた場合はそれも表示されます。ログ記録、通知、自動的なブロックおよびタイムアウトの基本設定を行うには、このタブの設定を使用できます。

SD-WAN タブ

SD-WAN タブで、SD-WAN アクションを選択してポリシーに適用します。また、新しい SD-WAN アクションを追加することができます。SD-WAN ルーティングの詳細については、SD-WAN について を参照してください。

Fireware v12.3 以降では、ポリシーベースのルーティングが SD-WAN に置き換えられています。

Application Control タブ

Firebox の Application Control が有効化されている場合は、このプロキシが Application Control に使用するアクションを設定することができます。

  1. Application Control タブを選択します。
  2. Application Control アクション ドロップダウン リストから、このポリシーに使用する Application Control アクションを選択します。または、新しいアクションを作成します。
  3. (オプション) 選択したアクションの Application Control 設定を編集します。
  4. 保存 をクリックします。

詳細については、ポリシーで Application Control を有効化する を参照してください。

Geolocation タブ

Firebox で Geolocation が有効化されている場合は、Geolocation タブで、このプロキシの Geolocation アクションを選択することができます。また、新しい Geolocation アクションを追加することができます。Geolocation の詳細については、Geolocation を構成する を参照してください。

ポリシーに Geolocation アクションを適用するには、以下の手順を実行します。

  1. Geolocation タブを選択します。
  2. Geolocation 管理アクション ドロップダウン リストから、Geolocation アクションを選択します。

    新しい Geolocation アクションを作成する場合は、追加 をクリックします。
  3. 保存 をクリックします。

Geolocation タブは、Fireware 12.3 以降で使用できます。

トラフィック管理 タブ

トラフィック管理 タブでは、ポリシーのトラフィック管理アクションを選択することができます。新しいトラフィック管理アクションを作成することもできます。トラフィック管理アクションの詳細については、v11.8.x 以降でトラフィック管理アクションを定義する および ポリシーにトラフィック管理アクションを追加する を参照してください。

ポリシーにトラフィック管理アクションを適用するには、以下の手順を実行します:

  1. トラフィック管理 タブを選択します。
  2. トラフィック管理アクション ドロップダウン リストから、トラフィック管理アクションを選択します。

    または、次のトピックで説明されている通り、新規作成 を選択し、設定を構成して、新しいトラフィック管理アクションを作成します v11.8.x 以降でトラフィック管理アクションを定義する
  3. 保存 をクリックします。

プロキシ アクション タブ

このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて

プロキシ アクションを構成するには、以下の手順を実行します:

  1. プロキシ アクション タブを選択します。
  2. プロキシ アクション ドロップダウン リストから、このプロキシ ポリシーで使用するプロキシ アクションを選択します。

    プロキシ アクションの詳細については、次を参照してください: プロキシ アクションについて
  3. 保存 をクリックします。

HTTP プロキシのためには、プロキシ アクションの設定のこれらのカテゴリを構成することができます :

スケジューリング タブ

スケジューリング タブで、ポリシーの作動スケジュールを指定することができます。既存のスケジュールを選択するか、または新しいスケジュールを作成することができます。

  1. スケジューリング タブを選択します。
  2. アクションのスケジュール ドロップダウン リストから、スケジュールを選択します。
    または、トピック Firebox アクションのスケジュールを作成する および 運用スケジュールを設定する に説明されている通り、新規作成 を選択し、設定を構成して、新しいスケジュールを作成します。
  3. 保存 をクリックします。

詳細 タブ

詳細 タブ には、NAT、QoS、複数 WAN、および ICMP オプションの設定が含まれています。

このプロキシ ポリシー構成のコメントを編集または追加するには、コメント テキスト ボックスに、コメントを入力します。

このタブのオプションの詳細については、次を参照してください:

ポリシー タブ

アクセス ルールと他のオプションを設定するには、ポリシー タブを使用します。

プロパティ タブ

プロパティ タブで、次のオプションを設定します。

  • このポリシー構成のコメントを編集または追加するには、コメントを コメント テキスト ボックスに入力します。
  • ポリシーのログ記録の設定を定義するには、ログ記録 をクリックします。

    詳細については、次を参照してください:ログ記録と通知の基本設定を行う
  • HTTP プロキシ接続 ドロップ ダウン リスト (ポリシー タブ) を 拒否 または 拒否 (リセット送信) に設定すると、HTTP を使用しようとするサイトをブロックすることができます。
    詳細については、ポリシー設定で一時的にサイトをブロックする を参照してください。
  • Firebox あるいは認証サーバーによって設定されたアイドル タイムアウトを変更する方法については、次を参照してください: カスタムのアイドル タイムアウトを設定する

詳細 タブ

プロキシ定義で、これらのオプションを使用できます。

プロキシ アクションを構成する

このプロキシに定義済みプロキシ アクションを選ぶか、またはユーザー定義のプロキシ アクションを構成することができます。プロキシ アクションの構成方法の詳細については、次を参照してください: プロキシ アクションについて

HTTP プロキシのためには、プロキシ アクションの設定のこれらのカテゴリを構成することができます :

関連情報:

プロキシ ポリシーと ALG について