2.10 リバース機能

キャッシュ機能説明書 (統合環境設定編)

目次索引

2.10 リバース機能

　リバース機能は、ファイアウォールの外部のWWWクライアントからファイアウォール内部のWWWサーバの資源にアクセスするための機能です。この機能により、ファイアウォール内部のWWWサーバの資源をファイアウォール上、またはファイアウォールの外部のPROXYサーバ上の資源として見せることが可能となり、ファイアウォール内部のWWWサーバの情報が外部に漏れません。さらに、リバース機能とSSL代理中継機能を併用することにより、データを暗号化し、より安全性を高めることができます。
　リバース機能はHTTP、HTTPSで使用できます。
　リバース機能の変換制御を使用することにより、クライアントからのリクエスト中継時とWWWサーバからのレスポンス中継時の定義を別々に設定できます。

[注意]

PROXYサーバを使用する場合、要求元/中継先などによるアクセス制御が必要です。アクセス制御が未設定の場合、起動および再起動に失敗します。 (Solaris版のみ)
リバース機能を使用する場合、FTP PROXY機能とSSL PROXY機能は指定できません。指定した場合、起動および再起動に失敗します。 (Solaris版のみ)
リバース機能を使用したPROXYサーバに対して、リバース要求以外（中継先が自サーバ以外のHTTP PROXY要求）が通知された場合、以下のエラーメッセージを返します。 (Solaris版のみ)
　　　　400 Bad Request
　　　　request format error

2.10.1 リバース機能(リクエスト変換)

　リバース機能では、クライアントからのリクエスト中継時に、リバース環境設定にしたがってディレクトリ名を変換し、中継先WWWサーバに送信します。
　その際、特定のリクエストヘッダについて削除、またはホスト名やディレクトリ名の変換を行います。それ以外のヘッダ情報はそのままWWWサーバに通知されます。削除または変換の対象となるリクエストヘッダを以下に示します。

　　リクエストヘッダ処理

削除するヘッダ: Range
変換するヘッダ: Host, Referer

　本書ではリバース環境設定にしたがって、ホスト名やディレクトリ名を変換することをリバースURL変換と呼んでいます。

2.10.2 リバース機能(レスポンス変換)

　リバース機能では、WWWサーバからのレスポンス中継時に、リバース環境設定にしたがってコンテンツ中のリンク情報の変換と、特定のレスポンスヘッダの削除またはホスト名やディレクトリ名の変換を行います。これにより、ファイアウォール内部のWWWサーバの情報が外部に見えなくなります。
　また、レスポンスデータ変換ではレスポンスデータのコンテンツ種別や、マルチパートデータの種別によって、変換するかしないかを指定できます。マルチパートデータとは、一つのコンテンツの中に複数のコンテンツタイプのデータを含むデータを指します。
　本書では、レスポンスデータ変換のことをリンク変換と呼んでいます。

　コンテンツ中のリンク変換は、タグで指定されたリンク情報に対して行います。対象となるタグは、どの種別のタグで囲まれた中に記述されているかによって異なります。変換の対象となるタグを以下に示します。

　　コンテンツ変換

<A>から</A>の間: HREF, SRC, LOWSRC
<SCRIPT>から</SCRIPT>の間: location, location.href, location.pathname, action; 　; ( ただし、<XMP> と </XMP> の間は変換しません。)
<APPLET>から</APPLET>の間: CODEBASE, CODE, HREF, SRC, LOWSRC, BACKGROUND, URL, ACTION, BASE, VALUE; 　; ( ただし、 の間および、<! と > の間は変換しません。)
上記のタグに囲まれた箇所以外: HREF, SRC, LOWSRC, BACKGROUND, URL, ACTION, BASE, VALUE; 　; ( ただし、 の間、<! と > の間および、<XMP> と </XMP> の間は変換しません。)

　これら以外のタグで指定されたリンク情報や、JAVA等により記述されたリンク情報、および相対パスで記述されたリンク情報は変換されません。コンテンツ中に、環境設定で定義されていないリンク情報が書かれていた場合は、その処理方法として、エラーメッセージを埋め込む／変換を行わない／削除するのいずれかを選択することができます。
　相対パスとはパスの先頭が“/”ではないものを指します。（例：./1.htm , 1.htmなど）

　また、リバース機能ではレスポンスデータ中継時に、特定のレスポンスヘッダについて削除、またはホスト名やディレクトリ名の変換を行います。それ以外のレスポンスヘッダ情報はそのままクライアントに通知されます。削除または変換の対象となるレスポンスヘッダを以下に示します。

　　レスポンスヘッダ処理

削除するヘッダ: Content-Length, Content-MD5
変換するヘッダ: Content-Location, Location, Set-Cookie

　中継先URLとして指定されなかったレスポンスデータ中継時のリンク変換についてはリバース環境設定で設定した未定義のリンク変換方式に従います。
　リクエスト中継時のみの設定が存在し、レスポンスデータ中継時の設定が一つも存在しない場合はレスポンスヘッダの変換、およびリンク変換は行いません。

[補足]

“リバース動作時にContent-Lengthヘッダを追加する”を指定した場合は、クライアントに通知するレスポンスにContent-Lengthを追加します。詳細については、“11.10.1 ヘッダ設定の設定項目”を参照してください。。

2.10.3 リバース機能の動作例

　図2.18に、ファイアウォール上にPROXYサーバが存在する場合の概要を示します。図2.18の(1)には、内部WWWサーバがHTTPの場合、(2)には、内部WWWサーバがHTTPSの場合でかつコンテンツがすべて相対パスで記述されている場合の例を示します。
　図2.19に、ファイアウォールの外側と内側にPROXYサーバが存在する場合の概要を示します。図2.19の(1)には、内部WWWサーバがHTTPの場合、(2)には、内部WWWサーバがHTTPSの場合でかつコンテンツがすべて相対パスで記述されている場合の例を示します。
　“変換制御”の“<-------->”、“--------->”、“<---------”はそれぞれ、“リバース変換”、“リバースリクエスト変換”、“リバースレスポンス変換”を指します。
　設定方法の詳細については、“11.8　リバース設定”を参照してください。
　なお、図2.18の(1)と(2)のPROXYサーバ（自サーバ名：proxy）、図2.19の(1)と(2)のPROXYサーバ（自サーバ名：proxy1）、およびPROXYサーバ（自サーバ名：proxy2）の設定は、すべて“11.8.2　リバースWWW設定の設定項目”で行います。

fig2-17

図2.18　ファイアウォール上にPROXYサーバが存在する場合の概要

図2.19　ファイアウォールの外側と内側にPROXYサーバが存在する場合の概要

目次索引