透過型プロキシの仕組み

透過型プロキシとは

透過型プロキシ(Transparent Proxy)とは、ブラウザにプロキシの設定をしていない状態でもプロキシサーバ経由によるWebアクセスをさせる方法です。透過プロキシとも言います。

フリーウェアのSquidでも実現できますし、商用プロキシのBlueCoatやi-filter等でも機能を持っています。

仕組みとしては、インターネットへの通信経路上に透過プロキシの設定をしたプロキシサーバを配置するのみです。

以下に、通常のプロキシと透過型プロキシの通信の比較を示します。

「インターネットへの通信経路上」といっても、デフォルトルートの経路上に配置してしまうと、smtpやpop, imap等の他のプロトコルがインターネット通信できなくなってしまいます(http等の一部のプロトコルのみ、透過型プロキシサーバで取り次がれますので)。

なので、透過型プロキシサーバは、経路の少し横に配置し、ルータやL3スイッチのPBR(ポリシーベースルーティング)機能によりhttp通信だけを曲げるのが一般的です。また、firewalldのポートフォワード機能により、tcp:80で来た通信を8080等のプロキシ待受ポートに変換させます。

なお、この透過型プロキシは、通信ジャックと同じことですので、https通信についても透過型プロキシ経由にしようとすると、ブラウザにSSL/TLSの警告が表示されてしまいます。

透過型プロキシのメリット・デメリット

メリット

・ブラウザにプロキシの設定を入れなくて良い

⇒持ち出しても使うノートパソコン等にはとても便利

デメリット

・httpsで警告が出てしまう

⇒回避策としてPBRでtcp:443は曲げず、直接インターネットへ通信させる。httpsでのプロキシログは取れなくなってしまうが、Palo Alto等のUTMのURLフィルタ機能があれば、https通信開始時のデジタル証明書のCN (Common Name)を見てログを取得できるため、補完できる。

・事前にPBRの設計が必要

⇒PBR設定できるNW機器はどれか?その近くにプロキシサーバを配置できるか?特殊なhttp通信に影響を与える可能性がないか?

シェアする

  • このエントリーをはてなブックマークに追加

フォローする