icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

プロキシチェーンの設定

プロキシチェーニングとは、あるプロキシサーバから別のプロキシサーバへトラフィックを転送することです。この方法では、既存のプロキシサーバを活用し、ネットワークに追加の変更を加えることはありません。これは、既存のオンプレミスプロキシからZscalerサービスにトラフィックを転送するための迅速かつ簡単な方法です。Zscalerはプロキシチェーンをサポートしていますが、本番環境での長期的なソリューションとしては推奨されません。複数のプロキシはレイテンシーを増加させ、フェイルオーバーをサポートするプロキシサーバは手動フェイルオーバーのみをサポートします。

プロキシチェーニングを設定するには、次のようにします。

  1. プロビジョニングされている組織を確認し、エンドポイントのIPアドレスをカスタマーサポート(またはサービスを評価している場合はZscaler担当者)に送信します。
  2. インターネット出力ポイントのパブリックIPアドレスをZscalerに提供する必要があります。この"登録"プロセスは、組織が他の組織のIPアドレスを不用意に使用しないように、IPアドレスの一意性を強制するものです。IPアドレスはカスタマー サポート(またはサービスを評価している場合はZscalerの担当者)に送ることができます。IPアドレスがサービスでプロビジョニングされたら、サービス ポータルにログインして、組織のゲートウェイのロケーションを次のように定義します。

    1. [管理]>[ロケーション]の順に移動します。
    2. [ロケーションを追加]をクリックします。
    3. ロケーションに関する以下の一般的な情報を入力します。
      • 名前を入力します。
      • を選択します。
      • 県/州を入力します(該当する場合)
      • ロケーションのタイムゾーンを選択します。
        ポリシーでロケーションを指定すると、サービスはロケーションのタイムゾーンに従ってポリシーを適用します。例えば、クラウドのアプリケーション コントロールのポリシーで、午前8時から午後5時までのFacebookへの投稿をブロックし、そのルールをスペインとカリフォルニアのロケーションに適用した場合、それぞれのロケーションのユーザーは、日中の時間帯にブロックされることになります。
    4. ロケーションのIPアドレスを選択します。
      • [パブリックIPアドレス]リストには、Zscalerが組織をプロビジョニングしたときにZscalerに送信したIPアドレスが表示されます。ロケーションのIPアドレスを選択します。
    5. オプションで、このページの他の機能を有効にします。
    6. 保存変更を有効にする をクリックします。
    閉じる
  3. 一部のプロキシサーバは、アウトバウンドHTTPリクエストにX-Forwarded-For(XFF)ヘッダーを挿入できます。XFFヘッダーは、プロキシサーバを介してHTTPリクエストを送信した元のクライアントのIPアドレスを識別し、Zscalerサービスがクライアントのサブロケーションを識別するために活用できます。したがって、XFFヘッダーを使用して、サービスは適切なサブロケーションポリシーをトランザクションに適用できます。また、ロケーションまたはサブロケーションでサロゲートIPが有効になっている場合、サービスは適切なユーザーポリシーをトランザクションに適用できます。

サービスがトラフィックを宛先に転送すると、この元のXFFヘッダーが削除され、クライアント ゲートウェイのIPアドレス(組織のパブリックIPアドレス)を含むXFヘッダーに置き換えられ、組織の内部IPアドレスが外部に公開されることはありません。

さらに、Zscalerサービスがトランザクションをログに記録すると、送信元IPアドレス(常にサービスにトラフィックを送信したファイアウォールまたはエッジルータのパブリックIPアドレス)が含まれます。ただし、ZscalerサービスでXFFヘッダーにある送信元IPアドレスをログに記録する場合は、ZIA管理ポータルの[高度な設定]ページに移動して、[内部IPログ]を有効にすることができます。

  1. Zscalerサービスへのプロキシサーバトラフィックを設定します。

Zscalerサービスにトラフィックを転送するためのプロキシサーバの設定方法については、お使いのサーバのマニュアルを参照してください。また、以下の設定例を参照することもできます。

  • この例では、WebトラフィックをアップストリームのZIA Public Service EdgeにリダイレクトするようにMicrosoft ISAサーバを構成する方法を示します。これは、単純な単一のネットワークアダプタの展開に基づいています。内部ネットワーク上のクライアントワークステーションには、ISAサーバにプロキシするようにブラウザーが構成されています。

    内部ネットワークからインターネットへのWebアクセスを許可するようにルールを構成していることを前提としています。このルール(番号1)は、内部ネットワークから外部ネットワークへのHTTPトラフィックとHTTPSトラフィックの両方をすべてのユーザーに対して許可します。

    Microsoft ISA ServerでWebチェーニングを設定するには、次のようにします。

    1. [設定 - ネットワーク]メニューに移動します。
    2. 既定の規則を編集するか、Webチェーンポリシーの上位に新しい規則を作成します。
    3. ルールの[アクション]タブで、[要求の処理方法:指定したアップストリームサーバに要求をリダイレクトする]を選択します。
    4. [設定]をクリックし、[サーバ]をゲートウェイとして指定します。<cloud_name>.netとして指定し、[ポート]フィールドと[SSLポート]フィールドに80と入力します。
      • 上記の<cloud_name>代わりに、組織がプロビジョニングされているクラウドの名前を入力します。この例で、サーバはgateway.zscaler.netです。クラウド名を見つける方法については、[ZIAのクラウド名とは?を参照してください。

    1. 同じタブで、[バックアップルート:アップストリームプロキシサーバ]を使用するように選択します。
    2. [設定]をクリックし、サーバをセカンダリー.ゲートウェイ.<cloud_name>.netとして指定し、[ポート]フィールドと[SSLポート]フィールドに80と入力します。
      • 上記の<cloud_name>代わりに、組織がプロビジョニングされているクラウドの名前を入力します。この例で、サーバはsecondary.gateway.zscaler.netです。クラウド名を見つける方法については、[ZIAのクラウド名とは?を参照してください。

    Microsoft ISA Serverへのすべてのプロキシ接続は、現在はZscalerサービス内の弾力性のあるノードのペアに転送されるようになりました。

    フォールトトレランスを確保するために、プライマリプロキシサーバとセカンダリプロキシサーバとしてそれぞれgateway.zscaler.netとsecondary.gateway.zscaler.netを指定する必要があります。Zscalerは、1つのプロキシサーバのみを使用した構成をサポートしていません。

    閉じる
  • 以下は、SQUIDプロキシサーバを使用したプロキシチェーンの設定例です。この例では、gateway.zscaler.netとsecondary.gateway.zscaler.netを指定して、ZscalerサービスがそのGeo-location技術を使用して、最も近いZIA Public Service Edgeにトラフィックを転送するように指定しています。

    #
    acl zscaler src 205.155.242.43/32
    でマッチおよびリダイレクトする送信元IPを定義するACLacl zscaler src 205.155.242.44/30
    acl zscaler src 205.155.243.76/32
    # define the caches, user GeoIP
    cache_peer gateway.zscaler.net parent 80 0 no-query weight=2
    cache_peer secondary.gateway.zscaler.net parent 80 0 no-query weight=1
    # chain traffic matching the zscaler ACL, all other goes direct
    cache_peer_access gateway.zscaler.net allow zscaler
    cache_peer_access gateway.zscaler.net deny all
    cache_peer_access secondary.gateway.zscaler.net allow zscaler
    cache_peer_access secondary.gateway.zscaler.net deny all 

    以下は、フェイルオーバーシナリオで、3つの異なるゲートウェイのうちの1つにトラフィックを明示的に転送する例です。ACLはSQUIDサーバの着信ポートによって定義されます。

    # listen on normal HTTP/HTTPS ports
    http_port 80
    http_port 443
    # ACL that defines the source IPs to match and redirect on  
    # For this example, match on all inbound traffic
    acl zscaler 0.0.0.0/0.0.0.0
    # define the caches
    cache_peer fmt1.sme.zscaler.net parent 80 0 no-query weight=3
    cache_peer ord1.sme.zscaler.net parent 80 0 no-query weight=2
    cache_peer atl1.sme.zscaler.net parent 80 0 no-query weight=1  
    # chain traffic matching the zscaler ACL, all other goes direct
    cache_peer_access fmt1.sme.zscaler.net allow zscaler  
    cache_peer_access fmt1.sme.zscaler.net deny all
    cache_peer_access ord1.sme.zscaler.net allow zscaler
    cache_peer_access ord1.sme.zscaler.net deny all    
    cache_peer_access atl1.sme.zscaler.net allow zscaler  
    cache_peer_access atl1.sme.zscaler.net deny all
    閉じる
関連記事
プロキシチェーンの設定