インターネットとSaaSへのセキュアなアクセス(ZIA)
プロキシチェーンの設定
プロキシチェーニングとは、あるプロキシサーバから別のプロキシサーバへトラフィックを転送することです。この方法では、既存のプロキシサーバを活用し、ネットワークに追加の変更を加えることはありません。これは、既存のオンプレミスプロキシからZscalerサービスにトラフィックを転送するための迅速かつ簡単な方法です。Zscalerはプロキシチェーンをサポートしていますが、本番環境での長期的なソリューションとしては推奨されません。複数のプロキシはレイテンシーを増加させ、フェイルオーバーをサポートするプロキシサーバは手動フェイルオーバーのみをサポートします。
プロキシチェーニングを設定するには、次のようにします。
- プロビジョニングされている組織を確認し、エンドポイントのIPアドレスをカスタマーサポート(またはサービスを評価している場合はZscaler担当者)に送信します。
- ZIA管理ポータルにログインし、ゲートウェイのロケーションを追加します。
インターネット出力ポイントのパブリックIPアドレスをZscalerに提供する必要があります。この"登録"プロセスは、組織が他の組織のIPアドレスを不用意に使用しないように、IPアドレスの一意性を強制するものです。IPアドレスはカスタマー サポート(またはサービスを評価している場合はZscalerの担当者)に送ることができます。IPアドレスがサービスでプロビジョニングされたら、サービス ポータルにログインして、組織のゲートウェイのロケーションを次のように定義します。
- [管理]>[ロケーション]の順に移動します。
- [ロケーションを追加]をクリックします。
- ロケーションに関する以下の一般的な情報を入力します。
- 名前を入力します。
- 国を選択します。
- 県/州を入力します(該当する場合)
- ロケーションのタイムゾーンを選択します。
ポリシーでロケーションを指定すると、サービスはロケーションのタイムゾーンに従ってポリシーを適用します。例えば、クラウドのアプリケーション コントロールのポリシーで、午前8時から午後5時までのFacebookへの投稿をブロックし、そのルールをスペインとカリフォルニアのロケーションに適用した場合、それぞれのロケーションのユーザーは、日中の時間帯にブロックされることになります。
- ロケーションのIPアドレスを選択します。
- [パブリックIPアドレス]リストには、Zscalerが組織をプロビジョニングしたときにZscalerに送信したIPアドレスが表示されます。ロケーションのIPアドレスを選択します。
- オプションで、このページの他の機能を有効にします。
- 保存 と 変更を有効にする をクリックします。
- 一部のプロキシサーバは、アウトバウンドHTTPリクエストにX-Forwarded-For(XFF)ヘッダーを挿入できます。XFFヘッダーは、プロキシサーバを介してHTTPリクエストを送信した元のクライアントのIPアドレスを識別し、Zscalerサービスがクライアントのサブロケーションを識別するために活用できます。したがって、XFFヘッダーを使用して、サービスは適切なサブロケーションポリシーをトランザクションに適用できます。また、ロケーションまたはサブロケーションでサロゲートIPが有効になっている場合、サービスは適切なユーザーポリシーをトランザクションに適用できます。
サービスがトラフィックを宛先に転送すると、この元のXFFヘッダーが削除され、クライアント ゲートウェイのIPアドレス(組織のパブリックIPアドレス)を含むXFヘッダーに置き換えられ、組織の内部IPアドレスが外部に公開されることはありません。
さらに、Zscalerサービスがトランザクションをログに記録すると、送信元IPアドレス(常にサービスにトラフィックを送信したファイアウォールまたはエッジルータのパブリックIPアドレス)が含まれます。ただし、ZscalerサービスでXFFヘッダーにある送信元IPアドレスをログに記録する場合は、ZIA管理ポータルの[高度な設定]ページに移動して、[内部IPログ]を有効にすることができます。
- Zscalerサービスへのプロキシサーバトラフィックを設定します。
Zscalerサービスにトラフィックを転送するためのプロキシサーバの設定方法については、お使いのサーバのマニュアルを参照してください。また、以下の設定例を参照することもできます。
- 設定例:Microsoft ISA Server
この例では、WebトラフィックをアップストリームのZIA Public Service EdgeにリダイレクトするようにMicrosoft ISAサーバを構成する方法を示します。これは、単純な単一のネットワークアダプタの展開に基づいています。内部ネットワーク上のクライアントワークステーションには、ISAサーバにプロキシするようにブラウザーが構成されています。
内部ネットワークからインターネットへのWebアクセスを許可するようにルールを構成していることを前提としています。このルール(番号1)は、内部ネットワークから外部ネットワークへのHTTPトラフィックとHTTPSトラフィックの両方をすべてのユーザーに対して許可します。
Microsoft ISA ServerでWebチェーニングを設定するには、次のようにします。
- [設定 - ネットワーク]メニューに移動します。
- 既定の規則を編集するか、Webチェーンポリシーの上位に新しい規則を作成します。
- ルールの[アクション]タブで、[要求の処理方法:指定したアップストリームサーバに要求をリダイレクトする]を選択します。
- [設定]をクリックし、[サーバ]をゲートウェイとして指定します。<cloud_name>.netとして指定し、[ポート]フィールドと[SSLポート]フィールドに80と入力します。
- 上記の<cloud_name>代わりに、組織がプロビジョニングされているクラウドの名前を入力します。この例で、サーバはgateway.zscaler.netです。クラウド名を見つける方法については、[ZIAのクラウド名とは?を参照してください。
- 同じタブで、[バックアップルート:アップストリームプロキシサーバ]を使用するように選択します。
- [設定]をクリックし、サーバをセカンダリー.ゲートウェイ.<cloud_name>.netとして指定し、[ポート]フィールドと[SSLポート]フィールドに80と入力します。
- 上記の<cloud_name>代わりに、組織がプロビジョニングされているクラウドの名前を入力します。この例で、サーバはsecondary.gateway.zscaler.netです。クラウド名を見つける方法については、[ZIAのクラウド名とは?を参照してください。
Microsoft ISA Serverへのすべてのプロキシ接続は、現在はZscalerサービス内の弾力性のあるノードのペアに転送されるようになりました。
フォールトトレランスを確保するために、プライマリプロキシサーバとセカンダリプロキシサーバとしてそれぞれgateway.zscaler.netとsecondary.gateway.zscaler.netを指定する必要があります。Zscalerは、1つのプロキシサーバのみを使用した構成をサポートしていません。
閉じる - 設定例:Squidプロキシサーバ
以下は、SQUIDプロキシサーバを使用したプロキシチェーンの設定例です。この例では、gateway.zscaler.netとsecondary.gateway.zscaler.netを指定して、ZscalerサービスがそのGeo-location技術を使用して、最も近いZIA Public Service Edgeにトラフィックを転送するように指定しています。
# acl zscaler src 205.155.242.43/32 でマッチおよびリダイレクトする送信元IPを定義するACLacl zscaler src 205.155.242.44/30 acl zscaler src 205.155.243.76/32 # define the caches, user GeoIP cache_peer gateway.zscaler.net parent 80 0 no-query weight=2 cache_peer secondary.gateway.zscaler.net parent 80 0 no-query weight=1 # chain traffic matching the zscaler ACL, all other goes direct cache_peer_access gateway.zscaler.net allow zscaler cache_peer_access gateway.zscaler.net deny all cache_peer_access secondary.gateway.zscaler.net allow zscaler cache_peer_access secondary.gateway.zscaler.net deny all
以下は、フェイルオーバーシナリオで、3つの異なるゲートウェイのうちの1つにトラフィックを明示的に転送する例です。ACLはSQUIDサーバの着信ポートによって定義されます。
# listen on normal HTTP/HTTPS ports http_port 80 http_port 443 # ACL that defines the source IPs to match and redirect on # For this example, match on all inbound traffic acl zscaler 0.0.0.0/0.0.0.0 # define the caches cache_peer fmt1.sme.zscaler.net parent 80 0 no-query weight=3 cache_peer ord1.sme.zscaler.net parent 80 0 no-query weight=2 cache_peer atl1.sme.zscaler.net parent 80 0 no-query weight=1 # chain traffic matching the zscaler ACL, all other goes direct cache_peer_access fmt1.sme.zscaler.net allow zscaler cache_peer_access fmt1.sme.zscaler.net deny all cache_peer_access ord1.sme.zscaler.net allow zscaler cache_peer_access ord1.sme.zscaler.net deny all cache_peer_access atl1.sme.zscaler.net allow zscaler cache_peer_access atl1.sme.zscaler.net deny all
閉じる