本製品の動作
Kaspersky Web Traffic Security は、プロキシサーバーを通過する HTTP、HTTPS、および FTP のトラフィックをスキャンします。
すべてのサーバーに Kaspersky Web Traffic Security の同一のコンポーネントスイートがインストールされます。このコンポーネントスイートには、トラフィックを処理する機能と本製品の設定を管理する機能の両方が含まれています。続いて、スキャンのため、トラフィックがユーザーのコンピューターからプロキシサーバーを通過して Kaspersky Web Traffic Security ノードに送信されます。要求された Web リソースへのアクセスがスキャン結果で許可され、トラフィックにウイルスやその他の脅威が含まれていない場合、要求がプロキシサーバーを通過して Web サーバーに送信されます。Web サーバーの応答も同様に処理されます。トラフィックの処理スキームを以下の図に示します。
Kaspersky Web Traffic Security によるトラフィックの処理方法
本製品は、トラフィックの処理中にユーザーアカウントやそのドメイングループでのメンバーシップに関する情報を使用できます。そのためには、Kaspersky Web Traffic Security と Active Directory の連携を設定する必要があります。Active Directory との連携により、製品でユーザーロールを操作したり、ワークスペースやトラフィック処理ルールの作成時にユーザーアカウントを認識したりする際にアカウントの自動認証を使用できます。プライマリユーザー認証はプロキシサーバーで実行されます。プロキシサーバーは、ユーザーの初期の要求とともに Active Directory から受信した情報を製品に送信します。この場合、プロキシサーバーと製品ノードは互いに独立して Active Directory サーバーと対話します。Active Directory との連携を設定した場合の製品動作スキームを以下の図に示します。
Active Directory と連携した場合の製品動作スキーム
トラフィック処理に製品をインストール済みのサーバーが 2 台以上必要な場合、すべてのサーバーがクラスターに統合されます。クラスターに含まれるサーバーの中で 1 台にコントロールロールのノードの役割を割り当てる必要があります。クラスター内の他のノードには、セカンダリノードロールが割り当てられます。コントロールロールのノードも含めて、すべてのノードでトラフィック処理を行うように設定できます。コントロールロールのノードとセカンダリロールのノードの違いは、コントロールロールのノードでは本製品の設定を変更できることです。本製品の設定は、コントロールロールのノードからクラスター内のすべてのセカンダリロールのノードに配信されます。その後、各クラスターノードは、コントロールロールのノードや他のセカンダリロールのノードから独立して、Active Directory サーバーとデータをやり取りします。構成要素間の対話を以下の図に示します。
製品コンポーネント間の対話のスキーム
コントロールロールのノードが失敗した場合、製品は緊急モードに切り替わります。この場合、管理者はコントロールノードロールをセカンダリロールのノードのいずれかに割り当てる必要があります。この手順の途中でトラフィック処理が中断されることはありません。すべてのノードは、製品が緊急モードに切り替わる前にコントロールロールを割り当てられていたノードから最後に受信した設定を使用して、ネットワークトラフィックの処理を続行します。以降の設定は、コントロールロールの新しいノードで実行されます。製品が緊急モードに切り替わった場合のロール変更スキームを以下の図に示します。
製品が緊急モードに切り替わった場合のロール変更
処理対象のトラフィックのボリュームに多数のクラスターノードが含まれる場合、負荷分散の使用を推奨します。
製品とプロキシサーバーとの対話は配布キットに依存します。スタンドアロン版の Kaspersky Web Traffic Security を RPM パッケージまたは DEB パッケージからインストールした場合、外部のプロキシサーバーとの連携を設定する必要があります。アプライアンス版の Kaspersky Web Traffic Security の ISO イメージを導入した場合、ビルトインのプロキシサーバーが使用されます。