ICAPによるHTTPウイルススキャン(その2)
前回(参照: https://www.netsecurity.ne.jp/article/3/10040.html )は、ICAPによるウイルススキャンの概要及び特徴に関して述べましたが、今回は実際のICAP連携をする場合ご説明します。
特集
特集
まずは、ICAPのクライアントとして、弊社のBlueCoat SGシリーズが挙げられます。ICAPサーバとしては現状下記の製品がございます。
ICAP対応ウイルススキャンサーバ
・シマンテック Symantec AntVirus for Content Caching Appliances
・トレンドマイクロ InterScan WebProtect for ICAP
・WebWasher(McAfee Plug-in)
・Finjan SurfinGate(Malicious Mobile code対応+McAfee Plug-in)
実際に連携させるためには、ICAPクライアント(SGシリーズ)と、ICAPサーバ(ウイルススキャンサーバ)がIPで通信できることが必要です。ICAPクライアントは、ICAPサーバに対して、コンテンツを渡すため、対象となるICAPサーバのURL(icap://から始まる)とメソッドとしてレスポンスモディフィケーションモードを設定します。ICAP1.0においては、ICAPサーバから設定を持ってくる機能があり、MAX Connection(ICAPクライアントと、ICAPサーバ間のコネクション数)や、PreviewSize(コンテンツをスキャンするかしないか判断するため、コンテンツすべてを送らず、このサイズを見て判断する)は上記設定後に取得可能です。
SGシリーズの場合は、"patience page"(お待ちくださいページ)の機能があります。これは、大きなファイルをダウンロードする際に、ユーザーにダウンロード中を促す役目と、ブラウザのタイムアウトを防ぐ機能があります。ウイルススキャンサーバによっては、ウイルススキャンサーバでそのような機能を持っているものもありますが、SGシリーズの場合は、SGシリーズ自身でサポートしておりますので、対象となるウイルススキャンサーバを意識することはございません。
連絡先: info@bluecoat.co.jp
ブルーコートシステムズ株式会社
システムズエンジニア
中西 良夫
(詳しくはScan本誌をご覧ください)
http://shop.vagabond.co.jp/m-ssw01.shtml
《ScanNetSecurity》