ETERNUS NR1000C series FAQ
9. ICAP

Answer

1. ICAPプロトコルについて教えてください。

   ICAP(Internet Content Adaptation Protocol)とは、URLフィルタリング、ウイルススキャン、言語翻訳、広告挿入などの、コンテンツ配信における付加価値サービスを提供する機能です。
   NR1000Cとサードパーティ製のICAPサーバが連携することにより、エンドユーザー側の変更なしにこれらのサービスを提供することが可能です。
   たとえば、トレンドマイクロ社のInterScan WebSecuritySuiteと連携することにより、ウイルススキャンサービスを、Websense社のWebsense Enterpriseと連携することにより、URLフィルタリングサービスを提供します。
   Vertex Link社のWebwasherは、ウイルススキャンサービス、URLフィルタリングサービスのどちらも提供可能です。

2. ICAP制御機構(ライセンス)の入手方法について教えてください。

   ライセンスは、ICAPサーバ購入時に、購入元から無償で手に入ります。
   参考までに、InterScanの場合、InterScanのマニュアルにNetCache(NR1000C)のライセンスキーが記載されています。
   Websenseの場合は、Websenseのライセンス申請時にNetCache連携である旨を通知するとNetCacheのライセンスも一緒に送られてきます。

3. NR1000Cで、ICAPのStatusを確認することができますか？

   できます。
   Appliance ManagerのDataタブ > ICAP1.0 > Statusを参照してください。
   StatusはACTIVEかINACTIVEを示します。

   各Statusについて説明します。
   ACTIVE：NR1000CとのConnectionがOpenの状態
   同一ファーム（ICAPサーバのサービス）内でICAPヘッダー：ISTagの内容に一貫性がある状態
   INACTIVE：NR1000CとのConnectionがCloseの状態
   同一ファーム（ICAPサーバのサービス）内でICAPヘッダー：ISTagの内容に一貫性がない状態

   ISTagには、例えばウイルススキャンサーバのパターンファイルの情報などが含まれます。

4. ICAPサーバがダウンしていた場合、どのような動作をしますか？

   ICAPサーバのFarm毎に「Bypass on Failure」の設定ができます。
   「Bypass on Failure」がONの時はそのFarmをバイパスし、「Bypass on Failure」がOFFの時は、クライアントにHTTP 500 Server Errorを返します。

5. ICAP連携時の性能について教えてください。

   目安として、ピーク性能より次の比率分ダウンした性能となります。

   フォワードキャッシュ(ACLなどを考慮) 15%
   フォワードキャッシュ+ICAP(ウイルススキャン) 20%
   フォワードキャッシュ+ICAP(URL フィルタリング) 20%
   フォワードキャッシュ+ICAP(URL フィルタリング)+ICAP（ウイルススキャン） 25%

6. 複数の機能が異なるICAPサーバと連携することは可能ですか？
   例：アンチウイルスサーバおよびコンテンツフィルタリングサーバとICAP連携

   可能です。

   アンチウイルスICAPサーバのServiceFarm名とコンテンツフィルタリングICAP
   サーバのServiceFarm名は別名で設定します。
   HTTP ACL設定例：
   HTTP ACL:
   icap(Virus ServiceFarm) any
   icap(Content ServiceFarm）any

7. 以下のICAP連携の構成は可能でしょうか？
   - ユーザーA(あるいはグループA)で認証が通過すると、アンチウイルスサーバのみと ICAP連携する
   - ユーザーB(あるいはグループB)で認証が通過するとアンチウイルスサーバおよびコンテンツフィルタサーバとICAP連携する
   - 認証に失敗するとエラーをクライアントに返す

   次のようなACLを記述することで実現可能です。
   HTTP ACL:
   auth any
   icap(Virus ServiceFarm) user A
   icap(Virus ServiceFarm, Content ServiceFarm) user B

   認証を使用する場合には”auth any”の記述が必要です。

8. 複数台のNR1000Cで1台のICAPサーバを共有することはできますか？

   できます。ただし、ICAPサーバ側に複数のNR1000Cと連携可能か確認する必要があります。以下のICAPサーバにおいて共有した実績があります。

   ・Trend Micro社 InterScan Web Security Suite
   ・Websense社 Websense Enterprise

9. NR1000Cでは、どのようにICAPサーバをロードバランスさせていますか？

   ロードバランス方法は以下の3つがあります。そのうちの1つを選択してください。

   1) Round robin

   2) IP address
   クライアントのIPアドレスによるハッシュ関数を使用して、サービスを受けるICAPサーバが決まります。これによりクライアントは同じICAPサーバにサービスを受け続けます。

   3) Least usage
   現在のコネクション数、サーバの処理能力などからICAPサーバを選択して、よりコネクション数の少なく、空いているサーバのサービスを受ける方法です。

10. 複数のICAPサーバに対して、リクエストの分散比率を設定可能ですか？

    そのような設定はありません。

11. 特定のURLを指定し、ICAPサーバと連携させないようにすることはできますか？

    できます。以下のようなACLを設定してください。

    icap not url-prefix http://www.abc
    icap not url matches abc
    icap not server-domain .abc.com

    (注1) NR1000Cはサイト上の各オブジェクト(.gif、.jpgなど)のURLでICAPの連携対象とするか判断(評価)しています。このため、次のような設定ではサイト上の各オブジェクトまでURLを含んでいませんので、.gif、.jpg等の各オブジェクトがICAPの連携対象と判断(評価)されません。

    icap not url http://www.abc.com

    (注2) ICAPサーバと連携させないようにするACLは1行にまとめてください。

    icap not client-ip 10.0.0.0/24 and not server-domain .abc.com and not server-domain .def

12. FTPにおいて、ICAP連携は可能ですか？

    可能です。ただし、ICAPサーバ側でもFTP用のサービスが立ち上がっていることが前提です。