IceWallのリバースプロキシ
IceWallのリバースプロキシ
IceWall 製品はWebアプリケーション攻撃への対策機能も持つリバースプロキシ機能を備えています。
3大Webアプリケーション攻撃とも言える、SQLインジェクション、クロスサイトスクリプティング、バッファオーバーフローへの対策等のセキュリティ機能をもち、安心、安定な運営にご使用いただけます。
リバースプロキシとは
プロキシが内部のクライアントから外部への要求を代理で受け付けるのに対し、リバースプロキシは外部から届いた要求を内部のサーバに代わって受け付ける機能を持ちます。
例えば、社内LAN上のWebアプリケーションサーバに社外からアクセスする場合、DMZにリバースプロキシを配置することで、クライアントから直接、内部セグメントのサーバにアクセスすることがなくなります。
またインターネット上に露出するサーバ数を少なくし、公開するホストの数を抑えることが可能です。
1つのホスト名から様々なサービスに接続できるため、ポータル性が向上します。
SSL(https)通信を行う場合は、サーバ毎に必要なSSLサーバ証明書の数も節約できます。
セキュリティ強化機能
IceWallのリバースプロキシは以下のセキュリティ強化機能をもっており、Webアプリケーションの前段に配置することにより、既存のWebアプリケーションを改修することなく、Webセキュリティを強化することができます。
- クロスサイトスクリプティング(XSS)から防御
- SQLインジェクションから防御
- URL/Query Stringを利用したバッファオーバーフローから防御
- アクセスログの一元取得・管理
※代表的な攻撃パターンに対して防御はできますが、全てのパターン・新たな攻撃パターンに対して完全に防御できるわけではありません。
・クロスサイトスクリプティングから防御
クロスサイトスクリプティング フィルタリング機能により、リクエストデータ及びコンテンツ内の不正な文字列を検出し、セッションを切断または無害化してクライアントにダウンロードさせる、またはエラーページを表示させることが可能です。
・SQLインジェクションから防御
SQLインジェクション対応機能により、SQL文を含んだ不正なリクエストを検出し、セッションを切断する事が可能です。
SQLインジェクション対応機能に関しては技術レポートもご参照下さい。
※ IceWall MFAのリバースプロキシでは本機能が標準機能として提供されます。
IceWall SSOの標準リバースプロキシ(フォワーダ)では本機能は提供されません。本機能が必要な場合にはオプション製品を別途購入する必要があります。
TIPS:Webシングルサインオンの代表的な2つの方式
リバースプロキシ型
リバースプロキシ型のシングルサインオンはサイトのWebサーバーのフロントエンドで機能するタイプで、 Webブラウザからのアクセスを一度リバースプロキシサーバーが受け、そのリクエストをバックエンドに置かれたWeb サーバーに中継する構造を取ります。
これは通常のプロキシサーバーと目的は逆ですが、構造は同じです。 つまりリバースプロキシ型のシングルサインオンとは、アプリケーションプロトコルレベルのゲートウェイと考えることが出来るため、ファイアーウォールの一種にも分類されます。 クライアントからはリバースプロキシサーバーが見えているのみで、コンテンツを保持するWebサーバーはクライアントからは隠蔽されています。
クライアントからのリクエストは必ずリバースプロキシサーバーを経由することから、リバースプロキシサーバーはユーザが現在ログインしているか、またリクエスト先のWebサーバーにアクセス可能であるかを認証サーバーに問い合わせ、中継を行ないます。
エージェント型
エージェント型のシングルサインオンはWebサーバー内にシングルサインオンのためのモジュールを組み込むタイプです。
リクエストはWebサーバー自体で受け付け、呼び出されたエージェントモジュールがユーザーのログイン状態とアクセス権限を認証サーバーに問い合わせ、呼び出したWebサーバーに結果を返します。
Webサーバーはその結果によりコンテンツを返すか、エラーページ等を表示するかの動作を伴います。
Webサーバー自体がクライアントから見えていることから、ファイアーウォールの機能はありません。
また、コンテンツ保持しているWebサーバー自身がアクセス制御も行なうことがリバースプロキシ型と大きく異なる点です。
IceWall ならリバースプロキシ型、エージェント型の混在利用が可能です。