Squidプロキシサーバーとの統合 |
このセクションの内容: Dr.Web ICAPDとSquid HTTPプロキシサーバーを統合するには、設定ファイル内のDr.Web ICAPDの設定セクション([ICAPD]セクション)で現在のパラメータ値を確認し、必要に応じて変更する必要があります。 •ListenAddressパラメータに、HTTPプロキシサーバーからの接続を待機するDr.Web ICAPDによって待ち受け(リッスン)されるネットワークソケットのアドレス(<IP address>:<port>)を指定します(デフォルトでは127.0.0.1:1344ソケットを使用)。 •Block*設定で、Dr.Web ICAPDがブロックまたは許可するWebサイトのカテゴリーと脅威の種類を有効または無効にします。 •必要に応じて、WhiteListおよびBlackListのパラメータを使用して、ブロックしないWebサイトとブロックするWebサイトを定義できます。BlackListパラメータはWhiteListパラメータよりも優先されます。つまり、両方のパラメータの値に同じWebサイトが含まれている場合、このWebサイトへのアクセスはブロックされます。 •Webサイトへのアクセスをより詳細に(さまざまな条件に基づいて)設定するには、スキャンルールを編集します。
すべての設定を調整したら、Dr.Web for UNIX Internet Gatewaysを再起動します(コマンドdrweb-ctl reloadを使用します)。設定デーモンDr.Web ConfigDを再起動することもできます(service drweb-configd restartコマンドを使用します)。 SquidとDr.Web ICAPDとのインタラクションを有効にするには、squid.conf設定ファイル(通常は/etc/squid3/にあります)を編集してICAPの使用を許可します。Squidを設定するには、次のパラメータを設定します。 1.SquidにICAPの使用を許可する。 2.Squidが使用するICAPサービスとしてDr.Web ICAPDを登録する。 3.ICAPプレビューモード(オプション)の使用を有効にする。 4.クライアントのデータ(プロキシサーバーでの認証にパスしたユーザーのIPアドレスとユーザー名)を送信し、Dr.Web ICAPDのルール内で使用することを許可する(オプション)。 5.Dr.Web ICAPDとSquid間の常時接続のサポートを有効にする(オプション。常時接続の使用は必須ではありませんが、SquidとDr.Web ICAPDを同時に使用する際のパフォーマンスが向上します)。 Squidを設定するときは、次の点に注意してください。 •SquidでICAP経由のHTTP要求(REQMOD)とHTTP応答(RESPMOD)をチェックするには、該当する種類の2つのICAPサービスを追加します。 •SquidでDr.Web ICAPDをICAPサービスとして使用するには、icap_serviceで指定したアドレスとポートが、Dr.Web ICAPDの設定のListenAddressパラメータで指定したアドレスとポートと一致する必要があります。 •icap_preview_sizeパラメータ値が0でない場合、Dr.Web ICAPDはSquidでは機能しません。 •Squidは自動的に「クライアントのIPアドレス」と「ユーザー名」の値を作成し、ICAP要求のヘッダーとしてDr.Web ICAPDにリダイレクトします。このデータの正確性と可用性は保証されていません。Dr.Web ICAPDは、ユーザー名とユーザーのIPアドレスがプロキシサーバーによってX-Client-UsernameヘッダーとX-Client-IPヘッダーで転送されると想定します。また、Squidの設定でデフォルトで定義されている値エンコード方法のみが使用されると想定します。このため、Squidを設定するときは、このデータの転送方法に影響を与えるパラメータ値(icap_client_username_encodeやicap_client_username_headerなど)を変更しないことをお勧めします。
設定できるパラメータのリストは、使用しているSquidサーバーのバージョンによって異なります(Squidバージョン3.2(およびそれ以降)、3.1、3.0の設定については、後述の説明を参照)。下の文字列がすでに設定ファイルにある場合は、それらの値を指定した値に変更する必要があります。該当のパラメータがすでにファイルに含まれていても、コメントアウトされている場合は、コメントを外します。Squid設定ファイルに必要なパラメータがない場合は、それらのパラメータをファイルに追加します(末尾など)。
Squid 3.2以降のバージョンの場合
Squid 3.1の場合
Squid 3.0の場合
Squidの設定を変更したら、再起動してください。 必要に応じて、SquidがICAPプロトコル経由でスキャンのために送信するデータのサイズを制限できます。この目的のために、設定ファイルはヘッダーContent-Lengthのコンテンツの要件を満たす(あるいは満たさない)条件で追加される必要があります。例:
(サーバー応答のヘッダーContent-Lengthに999999より大きい数値が含まれている場合、条件<name>はtrueになります)。 次に、追加した条件を使用して、ICAPプロトコルを介したサーバー応答のスキャンを許可または拒否します(Squidの外部ICAPサーバーへの接続パラメータでは、すべての語を条件名<name>に置き換えます)。上の例は、ヘッダーContent-Lengthが999999よりも大きい数値である場合に当てはまる可能性があるため、条件<name>がtrueである応答のスキャンを拒否するために使用します。
Squidの設定を変更したら、再起動してください。 よりきめ細かい方法でWebトラフィックのスキャンを制限するSquidの設定に関する詳細は、Squidのドキュメントを参照してください。たとえば、http://www.squid-cache.org/Doc/を参照してください。 |