リバース・プ
ロキシ構成の場合
リバース・プロキシ構成の場合、
上記のレベルの修正プログラムを適用後は、SSLトンネリング、CONNECTメソッドは使用不可にされており、構成ファイルを変更する必要はありません。修
正プログラムの入手は、下記お問合せ先に記載されていますPAテクニカルサポート総合窓口までお問い合わせください。
フォワード・プロキシ構成の場合
上記のレベルの修正プログラムを適用後、フォワード・プ
ロキシ構成でSSLトンネリングとCONNECTメソッドをサポートするには、追加構成を実施する必要があります。修正プログラムの入手は、下記【お問合せ先】
に記載されていますPAテクニカルサポート総合窓口までお問い合わせください。
SSLトンネリングをサポートするには、SSLTunnelingディレクティブをonにし、C
ONNECTメソッドを利用可能にする必要があります。以下の3つのオプション(OutgoingPorts, OutgoingIPs,
ImcommingIPs)が、SSLトンネリングのセキュリティー向上のため、Enable CONNECTディレクティブに追加されました。セ
キュリティーを確保するため、SSLトンネリングの利用に際して、少なくともOutGoingPortsオプションの値を定義することをお勧めします。<
/font>
1.OutgoingPorts (SSLトンネリングのためのアクセスを、リ
モートサーバのポートで制限する)
OutgoingPorts [all |
[port1|port1-port2|port1-*],...]
例1:
SSLトンネリングの接続先として、リ
モートサーバの443ポートのみへのクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT
OutgoingPorts 443
SSLTunneling on
例2:
SSLトンネリングの接続先として、リ
モートサーバのすべてのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT
OutgoingPorts all
SSLTunneling on
例3:
SSLトンネリングの接続先として、リモートサーバの80ポート、8080-8088ポート、9
000以上のすべてのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT
OutgoingPorts 80,8080-8088,9000-*
SSLTunneling on
注意
フォワード・プロキシで、通常のSSLトンネリングを構成する場合、少
なくともOutgoingPortsに、443かallの設定を行ってください。
複数のポート、ポート範囲をリストに指定する場合は、スペースを入れずにコンマで区切ります。<
/font>
2.OutgoingIPs (SSLトンネリングの為のアクセスを、リ
モートサーバのIPアドレスで制限する)
OutgoingIPs [[!]IP_pattern,...]
例:
IPとhost名が *.ibm.comに一致し、192.168.*.*
に一致しないサーバーの全てのポートへに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT
OutgoingPorts all OutgoingIPs *.ibm.com,!192.168.*.*
SSLTunneling on
注意
IP_patternを複数指定する場合は、スペースを入れずにコンマで区切ります。<
/font>
3.IncomingIPs (SSLトンネリングのためのアクセスを、ク
ライアントIPアドレスで制限する)
IncomingIPs [[!]IP_Pattern,...]
例:<
/font>
クライアントIPアドレスが 192.168.*.* から、リ
モートサーバの全てのポートに対するクライアント接続を許可する場合は、以下のディレクティブを設定します。 Enable CONNECT
OutgoingPorts all IncomingIPs 192.168.*.*
SSLTunneling on
注意
192.168.*.* をイントラネットのIPマスクとした場合、上
記構成ではイントラ側からの接続のみにSSLトンネリングの為のCONNECTメソッドが許可されます。
IP_patternを複数指定する場合は、スペースを入れずにコンマで区切ります。<
/font>