ETERNUS NR1000C series FAQ
9. ICAP
本ページで紹介している情報は、2006年6月発表のものです。
本製品は、2006年12月に販売終息しました。ご了承ください。
Answer
- ICAPプロトコルについて教えてください。
ICAP(Internet Content Adaptation Protocol)とは、URLフィルタリング、ウイルススキャン、言語翻訳、広告挿入などの、コンテンツ配信における付加価値サービスを提供する機能です。
NR1000Cとサードパーティ製のICAPサーバが連携することにより、エンドユーザー側の変更なしにこれらのサービスを提供することが可能です。
たとえば、トレンドマイクロ社のInterScan WebSecuritySuiteと連携することにより、ウイルススキャンサービスを、Websense社のWebsense Enterpriseと連携することにより、URLフィルタリングサービスを提供します。
Vertex Link社のWebwasherは、ウイルススキャンサービス、URLフィルタリングサービスのどちらも提供可能です。 - ICAP制御機構(ライセンス)の入手方法について教えてください。
ライセンスは、ICAPサーバ購入時に、購入元から無償で手に入ります。
参考までに、InterScanの場合、InterScanのマニュアルにNetCache(NR1000C)のライセンスキーが記載されています。
Websenseの場合は、Websenseのライセンス申請時にNetCache連携である旨を通知するとNetCacheのライセンスも一緒に送られてきます。 - NR1000Cで、ICAPのStatusを確認することができますか?
できます。
Appliance ManagerのDataタブ > ICAP1.0 > Statusを参照してください。
StatusはACTIVEかINACTIVEを示します。各Statusについて説明します。
ACTIVE:NR1000CとのConnectionがOpenの状態
同一ファーム(ICAPサーバのサービス)内でICAPヘッダー:ISTagの内容に一貫性がある状態
INACTIVE:NR1000CとのConnectionがCloseの状態
同一ファーム(ICAPサーバのサービス)内でICAPヘッダー:ISTagの内容に一貫性がない状態ISTagには、例えばウイルススキャンサーバのパターンファイルの情報などが含まれます。
- ICAPサーバがダウンしていた場合、どのような動作をしますか?
ICAPサーバのFarm毎に「Bypass on Failure」の設定ができます。
「Bypass on Failure」がONの時はそのFarmをバイパスし、「Bypass on Failure」がOFFの時は、クライアントにHTTP 500 Server Errorを返します。 - ICAP連携時の性能について教えてください。
目安として、ピーク性能より次の比率分ダウンした性能となります。
フォワードキャッシュ(ACLなどを考慮) 15%
フォワードキャッシュ+ICAP(ウイルススキャン) 20%
フォワードキャッシュ+ICAP(URL フィルタリング) 20%
フォワードキャッシュ+ICAP(URL フィルタリング)+ICAP(ウイルススキャン) 25% - 複数の機能が異なるICAPサーバと連携することは可能ですか?
例:アンチウイルスサーバおよびコンテンツフィルタリングサーバとICAP連携可能です。
アンチウイルスICAPサーバのServiceFarm名とコンテンツフィルタリングICAP
サーバのServiceFarm名は別名で設定します。
HTTP ACL設定例:
HTTP ACL:
icap(Virus ServiceFarm) any
icap(Content ServiceFarm)any - 以下のICAP連携の構成は可能でしょうか?
- ユーザーA(あるいはグループA)で認証が通過すると、アンチウイルスサーバのみと ICAP連携する
- ユーザーB(あるいはグループB)で認証が通過するとアンチウイルスサーバおよびコンテンツフィルタサーバとICAP連携する
- 認証に失敗するとエラーをクライアントに返す次のようなACLを記述することで実現可能です。
HTTP ACL:
auth any
icap(Virus ServiceFarm) user A
icap(Virus ServiceFarm, Content ServiceFarm) user B認証を使用する場合には”auth any”の記述が必要です。
- 複数台のNR1000Cで1台のICAPサーバを共有することはできますか?
できます。ただし、ICAPサーバ側に複数のNR1000Cと連携可能か確認する必要があります。以下のICAPサーバにおいて共有した実績があります。
・Trend Micro社 InterScan Web Security Suite
・Websense社 Websense Enterprise - NR1000Cでは、どのようにICAPサーバをロードバランスさせていますか?
ロードバランス方法は以下の3つがあります。そのうちの1つを選択してください。
1) Round robin
2) IP address
クライアントのIPアドレスによるハッシュ関数を使用して、サービスを受けるICAPサーバが決まります。これによりクライアントは同じICAPサーバにサービスを受け続けます。3) Least usage
現在のコネクション数、サーバの処理能力などからICAPサーバを選択して、よりコネクション数の少なく、空いているサーバのサービスを受ける方法です。 - 複数のICAPサーバに対して、リクエストの分散比率を設定可能ですか?
そのような設定はありません。
- 特定のURLを指定し、ICAPサーバと連携させないようにすることはできますか?
できます。以下のようなACLを設定してください。
icap not url-prefix http://www.abc
icap not url matches abc
icap not server-domain .abc.com(注1) NR1000Cはサイト上の各オブジェクト(.gif、.jpgなど)のURLでICAPの連携対象とするか判断(評価)しています。このため、次のような設定ではサイト上の各オブジェクトまでURLを含んでいませんので、.gif、.jpg等の各オブジェクトがICAPの連携対象と判断(評価)されません。
icap not url http://www.abc.com
(注2) ICAPサーバと連携させないようにするACLは1行にまとめてください。
icap not client-ip 10.0.0.0/24 and not server-domain .abc.com and not server-domain .def
- FTPにおいて、ICAP連携は可能ですか?
可能です。ただし、ICAPサーバ側でもFTP用のサービスが立ち上がっていることが前提です。