Edge Security Acceleration:PROXY プロトコル v1 または v2 を使用したクライアント IP の保持

PROXY プロトコルのしくみ

プロキシを使用する場合、プロキシは受信リクエストを再カプセル化してから、サーバーに転送します。この場合、サーバーはクライアント IP アドレスやポートなどの元の接続情報を取得できません。

PROXY プロトコルが有効になると、アクセラレーションサーバーとオリジンサーバーが TCP 接続を確立します。PROXY プロトコルヘッダーは、実際のリクエストデータの前に送信され、クライアント情報が正確に保持されるようにします。

PROXY プロトコル v1 と v2 の違い

PROXY プロトコルの 2 つのバージョンは、主にフォーマット、セキュリティ、柔軟性、および適切なユースケースが異なります。

PROXY プロトコル v1

• ASCII テキスト形式。

• 拡張性と柔軟性が制限された固定形式です。

• TCP をサポートします。

• 暗号化や認証がなく、データが改ざんされやすい状態になっています。セキュリティが主な考慮事項ではない環境に最適です。

PROXY プロトコル v2

• バイナリ形式。

• 可変長とさまざまな拡張機能をサポートし、高い柔軟性を提供します。

• TCP と UDP をサポートします。

• セキュリティ強化のために TLS ハンドシェイクが含まれています。セキュリティが最優先される環境に最適です。

TCP 用の PROXY プロトコル v1 を有効にする

PROXY プロトコル v1 を使用する TCP アプリケーションの場合、ESA は受信 TCP 接続ごとに PROXY プロトコル v1 ヘッダーを追加します。

1. ESA コンソールで、[Web サイト] を選択し、管理する Web サイト名をクリックします。

2. 左側のナビゲーションウィンドウで、[TCP/UDP プロキシ] > [設定] を選択します。

3. [アプリケーションを作成] をクリックし、アプリケーションパラメーターを設定します。プロキシルールセクションのプロトコルに TCP を設定し、クライアント IP を渡すに PROXY Protocol v1を設定します。

   

4. [OK] をクリックします。

PROXY プロトコル v1 ヘッダー形式

PROXY プロトコルは、各接続にプレーンテキスト ヘッダーを追加し、クライアントの IP アドレスとポートを次の形式で提供します。

PROXY_STRING + single space + INET_PROTOCOL + single space + CLIENT_IP + single space + PROXY_IP + single space + CLIENT_PORT + single space + PROXY_PORT + "\r\n"

IPv4 アドレスの PROXY プロトコル v1 ヘッダーの例:

PROXY TCP4 10.10.10.10 192.168.0.1 12345 80\r\n

IPv6 アドレスの PROXY プロトコル v1 ヘッダーの例:

PROXY TCP6 2001:db8:: 2001:db8:ffff:ffff:ffff:ffff:ffff:ffff 12345 443\r\n

次の表は、ヘッダーの値の例を示しています。

TCP 用の PROXY プロトコル v2 を有効にする

PROXY プロトコル v2 を使用する TCP アプリケーションの場合、ESA は受信 TCP 接続ごとに PROXY プロトコル v2 ヘッダーを追加します。

1. ESA コンソールで、[Web サイト] を選択し、管理する Web サイト名をクリックします。

2. 左側のナビゲーションウィンドウで、[TCP/UDP] > [設定] を選択します。

3. [アプリケーションを作成] をクリックし、アプリケーションパラメーターを設定します。プロキシルールセクションのプロトコルに TCP を設定し、クライアント IP を渡すに PROXY Protocol v2 を設定します。

   

4. [OK] をクリックします。

PROXY プロトコル v2 ヘッダー形式

PROXY プロトコルは、各接続にヘッダーを追加して、クライアントの IP アドレスとポートを報告します。

IPv4 アドレスの PROXY プロトコルバイナリヘッダー形式:

IPv6 アドレスの PROXY プロトコルバイナリヘッダー形式: