ETERNUS NR1000C series FAQ
4. ACL(Access Control List)
本ページで紹介している情報は、2006年6月発表のものです。
本製品は、2006年12月に販売終息しました。ご了承ください。
Answer
- HTTPSリクエストに対してACLは設定できますか?
以下の条件に基づいて、設定できます。
non-transparent proxy 形態の場合、「https://site」は、 HTTP-Based Tunnelingとして認識されます。 また、HTTPSデータは暗号化されたままトンネルされますので、URLは完全に認識できません。よって、HTTP-Based Tunneling ACLにおいて"url"ではなく、"server-name"、"server-domain"で指定してください。例えば、以下のような設定をしてください。
HTTP-Based Tunneling ACL:
deny server-name webmail.bentley.edu
deny not ( server-port 443 or server-port 563 ) - ACLに記述する文字数や行数の制限はありますか?
ACLのサイズ制限は10Mbyteですが、ACLに多くの記述をするとNR1000Cのパフォーマンスが下がるので、性能を考慮すると数百行~数千行が目安となります。ただし、正規表現を多用するなど、ACLの記述形式によっては数十行から性能に影響を与えるので注意が必要です。
- ACL を記述すると NR1000C の負荷はどのくらい上昇しますか ?
ACLの行数によって、CPU使用率が次のように変化しますので、CPU使用率を元にACLに記述可能な行数を見積もってください。
CPU使用率について:
ACL1行(正規表現を使わず、簡単なもの)を記述すると、CPU使用率は、ACL未使用時の約0.2%上昇します。1.ACLを必要行記述すると、CPU使用率がどれだけ上昇するのか、を求める場合算出方法は以下の数式で表します。
ACL記述後のCPU使用率 [%] =n + N × 0.002n
(注)
n = ACL未使用時のCPU使用率 [%]
N = ACLの行数 [行]例:ACL未使用時のCPU使用率が20%で、ACLを500行記述するとどれだけCPU使用率が上昇するのか?
ACL記述後のCPU使用率 [%] = 40[%]2.CPU使用率の上限がある際、ACLは何行かけるか、を求める場合算出方法は以下の数式で表します。
記述可能なACLの行数 [行]= 500×(u-n) / n
(注)
n = ACL未使用時のCPU使用率 [%]
u = CPU使用率の上限 [%]例:ACL未使用時のCPU使用率が20%で、CPU使用率の上限が40%までの場合、何行記述可能か?
記述可能な行数 [行] = 500 [行] - ActiveDirectory(AD)上のグループ情報を利用して、そのグループごとにコンテンツフィルタのルールを作成することは可能ですか?
グループごとにルール設定が可能です。例えば以下のような条件文をHTTP ACLに設定してください。
allow group se
ここで設定する「se」というグループはAD上の登録グループです。NR1000C上に新たに作成する必要はありません。
- FTP over HTTPのアクセス制御はどのように記述するのでしょうか
HTTP ACLとFTP ACLに設定を記述します。以下に設定の記述例を示します。
1)Appliance Manager のsetup->HTTP->General を開き、HTTP ACLにアクセスを許可するクライアントIPを設定します。
HTTP ACL:
allow client-ip 192.168.1.20
allow client-ip 192.168.1.30
deny any2)Appliance Manager のsetup>FTP>Generalを開き、FTP ACLにアクセスを許可するクライアントIPを設定します。
FTP ACL:
allow client-ip 192.168.1.30 and cache-port 80
deny any上記の設定をした場合、192.168.1.20は、FTP over HTTPに関してダウンロードする際にForbiddenとなります。FTPも不可です。192.168.1.30は、FTP over HTTPは可能ですが、FTPは不可です。
3)FTP over HTTP、FTPのどちらも可能な設定を下記に示します。
HTTP ACL:
allow client-ip 192.168.1.30
deny anyFTP ACL:
allow client-ip 192.168.1.30
deny anyの記述をします。