第10章 interstage security directorの...

151All Rights Reserved, Copyright © FUJITSU LIMITED 2006

第10章Interstage Security Directorの

機能と特長

本章ではInterstage Security Directorの機能および運用について説明します。


All Rights Reserved, Copyright © FUJITSU LIMITED 2006 152

10.1　Interstage Security Directorの機能

Interstage Security Directorアプリケーションゲートウェイ

機能　　　＜InfoProxy＞　　　サーバ情報の隠ぺい

内部サーバへ転送

リバース機能

アクセス制御ユーザ認証IPアドレス

ホスト名etc

パケットフィルタリング

Interstage Security Directorファイアウォール　機能

＜Safegate＞

Interstage ApplicationServer

ディレクトリサーバ

Ｗebサーバ

認証情報通知

ディレクトリサーバ連携

ユーザ名パスワード

　Interstage Security Directorは、大きく分けて「ファイアウォール」「アプリケーション・ゲートウェイ」の2つのコンポーネントで構成されています。

　それぞれ、以下のコンポーネントで構成されています。

■ファイアウォール機能：Safegate

■アプリケーションゲートウェイ機能：InfoProxy



10.2　ファイアウォール機能

インターネット

暗号化通信VPN

暗号化通信VPN

パケットフィルタリングパケットフィルタリングアドレス変換アドレス変換

ユーザ認証ユーザ認証

　Interstage Security Directorのコンポーネントの1つであるファイアウォール機能は、以下のような機

能を提供します。

■IPパケットフィルタリング機能

　IP パケットフィルタリング機能は、システム管理者によって指定されたポリシー情報に従って、送受信　IPパケットの通過/破棄/拒否応答といったアクセス制御機能を提供します。ユーザネットワークからイン

　ターネットを利用するユーザや利用できるアプリケーションを制限したり、インターネットからの不正な侵　入を遮断します。

■アドレス変換機能

　アドレス変換機能（透過ゲートウェイ、または透過モードゲートウェイとも呼びます）では、本製品で接続　された異なるネットワーク間で送受信される IP パケットを中継する機能を提供します。アドレス変換機能　では、IPパケットの中継機能の存在を利用者が意識しなくても、各サービスが利用できます。

■暗号通信機能

　暗号通信機能は、通信経路上での盗聴や改ざんなどのセキュリティ問題を解決するために、暗号技術　を用いてネットワークを流れるパケットを暗号化して通信する機能です。

■ユーザ認証機能

　ユーザ認証機能では、認証処理を要求する端末を“認証クライアント”と呼びます。認証クライアントから

　の認証要求に対して本製品上の認証ゲートウェイが認証処理を行い、正当なユーザからのアクセス要　求であるかどうかを判断します。

■アンチウイルス機能

　アンチウイルス機能とは、インターネットウイルス対策ソフトである “InterScan VirusWall” との連携に　より、Security Directorを通過するメール、Web コンテンツなどのデータに対し、自動的にウイルス　チェックを行う機能です。


■運用支援機能

　運用支援機能では、採取された稼動状況、ロギング情報などを監視できます。また、検出したアラート　情報などのイベントをSNMP Trapやsyslog、またはメールで通知することもできます。



10.2.1　IPパケットフィルタリング機能

アプリケーション層

カーネル層（TCP／IP）

　Interstage　Security Directorファイアウォール機能

　NIC１　NIC２

パケットフィルタリング

：パケットの流れ

：ネットワークインタフェース

サービス　送信元アドレス　送信先アドレス　処理

telnet 外部　　　　　　　内部　　　　block

サービス　送信元アドレス　送信先アドレス　処理

telnet 内部　　　　　　　外部　　　　passftp 内部　　　　　　　外部　　　　pass

イントラネット（内部ネットワーク）

　IPパケットフィルタリング機能は、システム管理者によって指定されたポリシー情報に従って、送受信IPパケットの通過/破棄/拒否応答といったアクセス制御機能を提供します。ユーザネットワークからイン

ターネットを利用するユーザや利用できるアプリケーションを制限したり、インターネットからの不正な侵入を遮断します。指定するアクセス制御ポリシーに関するフィルタリング条件は、大きく以下の要素群に分類できます。

■フィルタ条件

　アクセス制御ポリシーを適用するIPパケットを識別する情報を表現します。パケットフィルタリング機能は、　実際に受信したIPパケットの情報から本フィルタ条件を評価し、本フィルタ条件に合致するIPパケットに

　対して、「動作」で指定されたアクセス制御機能を適用します。フィルタ条件として、以下の情報を設定す　ることで、ネットワークアダプタ単位でフィルタリング制御ができます。

　・IPプロトコル

　・IPアドレス（送信元/送信先）

　・ポート番号（送信元/送信先）

　・ネットワークインタフェース（受信/送信）

　・パケットの通信方向

■動作

　フィルタ条件にヒットしたIPパケットに対する動作を表現します。アクセス制御機能では、以下の動作を

　設定できます。

　・通過：IPパケットをそのまま通過させます。

　・破棄：IPパケットを破棄します。すなわち、当該IPパケットは消滅します。

　・拒否：IPパケットの送信元に対して、拒否応答パケットを通知します。拒否応答パケットの内容は、オ　　　　　リジナルパケットのIPプロトコルにより異なります。


■フェイルセーフ

　Interstage Security Directorでは、受信したIPパケットに適用されるフィルタリング条件の検索の　後で、必ずヒットし、かつ破棄動作が指定されたAny条件を自動的に追加しています。これにより、設定　されたフィルタリング条件にヒットしないIPパケットは破棄されます。



10.2.2　アドレス変換機能

192.168.0.2

<192.168.0.1>

<202.248.171.130>

202.216.160.114


Webサーバ

Interstage Security Directorファイアウォール機能

202.248.171.1

アドレス変換アドレス変換

クライアント

・送信先NAT ・送信元NAT ・送信元NAPT（IPマスカレード）

・送信先NAT ・送信元NAT ・送信元NAPT（IPマスカレード）

　アドレス変換機能（透過ゲートウェイ、または透過モードゲートウェイとも呼びます）では、本製品で接続された異なるネットワーク間で送受信される IP パケットを中継する機能を提供します。アドレス変換機能では、IPパケットの中継機能の存在を利用者が意識しなくても、各サービスが利用できます。たとえば、

組織内からインターネットに接続する場合、利用者は直接ターゲットホストに接続する操作を行います。利用者側システムとターゲットシステム間でパケットフィルタリング条件が設定されている場合、自動的にアドレス変換が行われます。

　以下のアドレス変換方式をサポートしています。

■ 送信先NAT 　IPパケットの送信先IPアドレスを変換します。この方式は、外部ネットワークから内部ネットワークへ接続

　する場合などに使用します。

　この方式の場合、事前に、送信先ホストの IP アドレスに対応する中継後の IP アドレスを定義しておく　必要があります（送信先となるホストの数だけ IP アドレスを割り当てておきます）。また、統合環境設定

　の場合、送信先ポート番号をアドレス変換条件とすることもできるため、送信先ポート番号により、変換す　る送信先IPアドレスを振り分けることもできます。

■ 送信元NAT　IPパケットの送信元IPアドレスを変換します。この方式は、内部ネットワークから、外部ネットワークへ接

　続する場合などに使用します。

　この方式の場合、事前に、送信元ホストの IP アドレスに対応する中継後の IP アドレスを定義しておく　必要があります。また、送信先ホストでは、中継アドレスは 1 対 1 で対応付けられているため、送信元ホ

　ストの識別が可能です。


■ 送信元NAPT（IPマスカレード）

　IPパケットの送信元IPアドレスおよび送信元ポート番号を変換します。IPマスカレード方式とも呼ばれ

　ます。この方式は、内部ネットワークから外部ネットワークへ接続する場合、送信先ホストで送信元ホスト　を識別する必要がない場合などに使用します。

　この方式の場合、中継後のIPアドレス、ポート番号は設定する必要はありません。以下のようにアドレス　変換が行われます。

　・送信元IPアドレス：本製品上のパケットを送出するインタフェースのIPアドレス

　・送信元ポート番号：不定



10.2.3　暗号通信機能

暗号ゲートウェイ/IPsecゲートウェイ

暗号ゲートウェイ/IPsecゲートウェイ

InterstageSecurity Directorファイアウォール機能

通常パケット通常パケット

通常パケット通常パケットInterstageSecurity Director　　　　etc

InterstageSecurity Director　　　　etc暗号パケット暗号パケット

　暗号通信機能は、通信経路上での盗聴や改ざんなどのセキュリティ問題を解決するために、暗号技術を用いてネットワークを流れるパケットを暗号化して通信する機能です。データは送信側ゲートウェイで暗号化され、受信側ゲートウェイで復号されます。この暗号化/復号を行うゲートウェイを“暗号ゲートウェイ”といいます。暗号ゲートウェイ間では、盗聴や改ざんの危険のない安全な通信路（暗号通信路）を確立できます。

　暗号通信方式には、以下の種類があります。

■SDFW暗号通信

　本製品独自の暗号通信方式です（従来まで「Safegate暗号」と呼んでいた暗号方式です）。このため、

　復号を行うゲートウェイ側でも本製品が必要になります。

■IP セキュリティ通信

　IP セキュリティプロトコルを利用した暗号通信方式です。IPセキュリティプロトコルは業界標準プロトコル　であるため、IPセキュリティプロトコルをサポートしている本製品以外のファイアウォールとも通信できます。

　SDFW暗号通信において、内部ネットワークに接続されたホストが送信したパケットを暗号化または復号するゲートウェイを「暗号ゲートウェイ」と呼びます。同様に、IP セキュリティ通信を行う場合の暗号ゲートウェイを「IP セキュリティゲートウェイ」（または、IPsecゲートウェイ、IKEゲートウェイ）と呼びます。



10.2.4　ユーザ認証機能

認証ゲートウェイ認証ゲートウェイ


認証要求

アクセス環境設定

ユーザアプリケーション通信

認証処理

認証終了通知認証終了応答

クライアント

Interstage Security Directorにより保護された

ネットワーク

　ユーザ認証機能では、認証処理を要求する端末を“認証クライアント”と呼びます。認証クライアントから

の認証要求に対して本製品上の認証ゲートウェイが認証処理を行い、正当なユーザからのアクセス要求であるか否かを判断します。正当なユーザからのアクセス要求の場合、認証したユーザに対して事前に設定されたアクセス環境（フィルタリング条件など）を自動的に設定します。

　ユーザ認証機能は、以下の運用形態に適用できます。

■内部ネットワークへのアクセス権限を認証する

　事前に内部ネットワークへアクセスできるユーザ情報を設定し、外部ネットワークから内部ネットワークへ　アクセスする場合に、正当なユーザからのアクセスであることを認証します。また、ユーザごとに、アクセ　ス可能な内部サーバを設定できます。

■外部ネットワークへのアクセス権限を認証する

　事前に外部ネットワークへアクセスできるユーザ情報を設定し、内部ネットワークから外部ネットワークへ　アクセスする場合に、正当なユーザからのアクセスであることを認証します。また、それぞれのユーザご　とに、アクセス可能な外部サーバを設定できます。

　この機能では、以下の認証クライアント（端末）を利用してユーザ認証を行うことができます。

　・TELNETクライアント

　・Webブラウザ

　・Safegate client

　上記の認証クライアントからユーザ認証を行い、認証が許可されたユーザの通信コネクションが切断されるまでの間、通信ができます。TELNETクライアントおよび Webブラウザを利用した場合、内部ネット

ワークへのアクセス権限、または外部ネットワークからのアクセス権限を認証できます。また、Safegate client を利用した場合、外部ネットワークからのアクセス権限を認証できます。


ユーザ認証機能を利用する場面として、以下が考えられます。

　・インターネットへアクセスできるイントラネットのTELNETユーザ/Webブラウザユーザを制限する

　・イントラネットへアクセスできるインターネットのTELNETユーザ/Webブラウザユーザを制限する

　・イントラネットへアクセスできるインターネットのSafegateクライアントユーザを制限する



10.2.5　アンチウイルス機能

アンチウイルス機能アンチウイルス機能


ウイルスチェック転送

配布

InterScanVirusWall

　アンチウイルス機能とは、インターネットウイルス対策ソフトである “InterScan VirusWall” との連携により、Interstage Security Directorを通過するメール、Web コンテンツなどのデータに対し、自動的に

ウイルスチェックを行う機能です。

　外部のネットワークと接続し、通信を行っていると、コンピュータウイルスなどから内部ネットワークを守る必要があります。本製品を通過するメールや Web コンテンツ、FTPなどのサービスのパケットを IP フィルタ機能を利用し、InterScan VirusWallが動作するサーバへ転送することでウイルスチェックを行います。なお、ウイルスチェックを行うサーバ（ InterScan VirusWall が動作しているサーバ）を“アンチウイルスサーバ”といいます。

　また、従来まで、アンチウイルス環境を構築するには既存のネットワークアプリケーションの設定を変更する必要があり、多数のクライアントをもつネットワークでは環境設定や変更が煩わしいものでした。しかし、Interstage Security Directorのアンチウイルス機能を利用すると、Interstage Security Directorのアンチウイルス機能の設定を行うだけで、既存の環境などを変更する必要がありません。



10.2.6　運用支援機能

運用支援機能運用支援機能


稼動状況

ﾛｷﾞﾝｸﾞ情報

ｱﾗｰﾄ情報運用管理者(ﾛｰｶﾙ操作)

運用管理者(遠隔操作)

・SNMP Trap・syslog・ﾒｰﾙ

・SNMP Trap・syslog・ﾒｰﾙ

　運用支援機能では、採取された稼動状況、ロギング情報などを監視できます。また、検出したアラート情報などのイベントをSNMP Trapやsyslog、またはメールで通知することもできます。

　運用支援機能は、以下のような機能により構成されています。

■ロギング機能

　ロギング機能では、ファイアウォール機能を経由した通信状況を、あらかじめ設定されたログファイルに　記録します。

■イベント機能

　イベント機能では、フィルタ活性化/非活性化やファイアウォールサービスの起動/停止、不正アクセスに

　関するセキュリティアラート、ファイアウォール機能の動作を阻害するイベントなど、さまざまなイベント情　報を検出します。

■FWモニタ・コンソール

　FWモニタ・コンソール機能をインストールしたWindows端末からファイアウォールシステムに接続し、　ファイアウォール機能の稼動状況を採取し、表示できます。また、以下の情報を監視できます。

　「コネクション処理状況」「ポリシー情報」「システム情報」

　「サービス稼動状況」「イベント検出状況」「ログ情報」

■イベント通知

　ファイアウォール機能が検出したイベントは、イベント通知機能により、以下の方法でも参照できます。

　・イベントログ（「Interstage Security Director (Windows版)」）

　・システムログ（「Interstage Security Director (Solaris版)」）

　・コマンド起動（アラート時実行コマンド）

　・SNMPマネージャ通知



10.3　HTTPアプリケーションゲートウェイ機能


リバースプロキシリバースプロキシ

アクセス制御アクセス制御

SSL通信SSL通信

SSL認証SSL認証



　Interstage Security Directorには、HTTPやIIOPデータが安全な状態でファイアウォールを通過で

きるように、アプリケーション・ゲートウェイ機能を提供しています。アプリケーション・ゲートウェイ機能では、　以下のような機能を提供しています。

■PROXY機能

　Webクライアント、またはFTPクライアントとWebサーバ、またはFTPサーバとの中継を行う機能です。

■アクセス制御

　要求元のホスト、中継先のホストやURL、ユーザ名などの条件によりアクセスを制限する機能です。

■ユーザ認証

　ユーザ認証とは、ユーザ名とパスワードを管理し、ユーザを制限する機能です。ユーザ認証を行い、　ユーザ認証に成功したユーザを属性などの情報で制限できます。

■携帯端末連携機能

　NTTドコモの通信サービスで使用されるiモード携帯端末503i/504i/505i/FOMAシリーズと連携し、

　携帯端末から送信された個体識別情報を使用して認証を行う機能です。

　この機能を使用することで、従来のユーザ名、パスワードに加え、使用する携帯端末（またはFOMA　カード）の限定が可能です。

■リバース機能

　リバース機能は、ファイアウォールの外部のWebクライアントからファイアウォール内部のWebサーバの

　資源にアクセスするための機能です。

■SSL代理中継機能

　InfoProxyの通信プロトコル部分をSSLプロトコルに置き換え、InfoProxyとWebクライアント間、および　InfoProxyとWebサーバ間でセキュアな通信を提供する機能です。


■ 仮想ホスト機能

　仮想ホスト機能は、リバース機能使用時にInfoProxyが動作しているサーバ上で、仮想的に複数の　Webサーバが動作しているように見せる機能です。

■ ユーザ認証情報送信機能

　ユーザ認証送信機能は、リバース機能使用時にInfoProxyでユーザ認証を行った場合に、ユーザ認　証に使用した認証情報を任意のヘッダ名でWebサーバに送信する機能です。



10.3.1　PROXY機能

Webサーバ

Webクライアント

外部ネットワーク

内部ネットワーク

プロキシ

InterstageSecurity DirectorInterstageSecurity Director

HTTP,SSL

HTTP,SSL FTP

HTTP

FTPサーバ

PROXY機能PROXY機能

　PROXY機能は、以下の5つの機能から構成されています。

■中継機能

　中継機能とは、Webクライアントからサーバへのアクセス要求を中継する機能のことです。中継するプロ　トコル種別により、次の3つの機能があります。

　・HTTP PROXY機能

　　WebクライアントからのHTTP要求をファイアウォールの外部にあるWebサーバとHTTPで接続を可能

　　とする機能です。

　・FTP PROXY機能

　　WebクライアントからのFTP要求をファイアウォールの外部にあるFTPサーバとFTPで接続を可能とす

　　る機能です。

　・SSL PROXY機能

　　WebクライアントからのSSL要求をファイアウォールの外部にあるWebサーバとSSLで接続を可能とす

　　る機能です。

■プロトコル変換機能

　FTP PROXY機能では、FTPサーバに対して、WebクライアントからのHTTPのリクエストを、FTPに変　換して送信します。また、このリクエストに対してサーバが返送するデータをHTTPに変換して、クライ　アントに通知します。この変換はFTPサーバと直接接続するPROXYサーバだけが行います。

■多段中継機能

　PROXYサーバでは、ネットワークの構成に応じて、多段構成にすることが可能です。


■上位PROXYサーバ複数設定機能

　PROXYサーバでは、ネットワークの構成に応じて、上位PROXYを複数指定することができ、　上位PROXYサーバでの負荷を分散させることが可能です。

■ コネクションの保持機能

　HTTP PROXY機能、FTP PROXY機能において、1回のデータ送受信が終了したあとも、Webクライ　アント、PROXYサーバ、および、Webサーバ/FTPサーバとの接続を一定時間保持しておくことが可能

　です。この機能をコネクションキャッシュ機能と呼びます。



10.3.2　アクセス制御

ＷebサーバＦＴＰサーバ

Interstage Security Director

アクセス制御

要求元

ユーザ

メソッド

中継先

プロフィール

リクエストヘッダ

要求元中継先ユーザプロフィールメソッドリクエストヘッダ動作

禁止制御なしPUTFTP認証なし制御なし10.2.3.11

要求元

10.2.3.12

中継先

yy.co.jp 認証なし

ユーザプロフィールメソッドリクエストヘッダ動作

制御なし制御なし制御なし禁止

アクセスリスト

・・・

　Interstage Security Directorには、要求元のホスト、中継先のホストやURL、ユーザ名などの条件に

よりアクセスを制限する機能があります。

　アクセス制御には次のような機能があります。

■要求元のホストによる制御

　　内部のネットワークにアクセスさせる場合に、外部からアクセスできる端末（ホスト）を制御

■中継先のホスト情報による制御

　　中継先のサーバのIPアドレス/ホスト名/ポート番号による制御

■中継先のURLによる制御

　　中継先のURLを正規表現で指定してアクセス制御を行うことが可能

■ユーザ認証による制御

　　「ユーザ認証機能」を行ったユーザ名を指定したアクセス制御

■ディレクトリサーバ連携機能

　　ユーザ名に加えてディレクトリサーバ上の属性などの条件を指定してアクセス制御することが可能

■プロトコルによる制御

　　中継するプロトコルごと、または複数のプロトコルに条件を設定した制御

■メソッドによる制御

　　リクエストのメソッド種別を指定して制御


■リクエストヘッダによる制御

　　クライアントから受信したリクエストヘッダの内容を指定しアクセス制御

■アクセス禁止時/認証失敗時のメッセージ指定

　　認証失敗時に指定されたHTMLをクライアントへ返信

■グループによる条件指定

　　要求元や中継先のホスト名やIPアドレス、URL、ユーザ名、メソッド、リクエストヘッダなどの条件をま

　　とめたグループを指定してアクセス制御

■アクセスリストによる制御

　　アクセス制御機能の条件（要求元、中継先、ユーザ、プロトコル、メソッド、ヘッダ）を組み合わせてアク　　セスエントリを作成し、複数のアクセスエントリを順番に並べたアクセスリストを使用し、詳細な条件でア　　クセス制御



10.3.3　ユーザ認証

InfoProxyで管理するユーザ名とパスワードでユーザ認証

■ InfoProxyの認証機能

ディレクトリサーバで管理するユーザ名とパスワードでユーザ認証

■ ディレクトリサーバの認証機能

Interstage シングル・サインオン認証サーバで管理するユーザ名／パスワードまたは

証明書情報でユーザ認証

■ Interstage シングル・サインオン連携機能

SSLクライアント証明書を利用したユーザ認証

■ SSLユーザ認証機能

　ユーザ認証とは、ユーザ名とパスワードを管理し、ユーザを制限する機能です。ユーザ認証を行い、ユーザ認証に成功したユーザを属性などの情報で制限できます。これをユーザ認証機能といいます。

　ユーザ認証には、PROXYサーバに対してのユーザ認証（PROXY認証）とWebサーバに対してのユーザ認証（Web認証）があります。InfoProxyは、PROXYサーバとして動作する場合はPROXY認証、リバースPROXYとして動作する場合はWeb認証を行います。

　ユーザ認証機能では、以下の4つの認証機能から選択できます。

■InfoProxyの認証機能

　InfoProxyで管理するユーザ名とパスワードでユーザ認証を行います。

　ユーザ認証に成功したユーザを、ユーザ名を指定してアクセス制御を行うことができます。

■ディレクトリサーバの認証機能

　ディレクトリサーバ（InfoDirectory）で管理するユーザ名とパスワードでユーザ認証を行います。

■SSLユーザ認証機能

　クライアントがもっているSSLクライアント証明書の内容から、ディレクトリサーバに登録されているユーザ

　のエントリを検索し、該当するエントリのユーザ名を使って認証を行います。この機能により、クライアント　はブラウザ上でのユーザ名/ユーザパスワードの入力を行わなくても認証ができます。

■ Interstage シングル・サインオン連携機能

　Interstage シングル・サインオン認証サーバで管理するユーザ名/パスワードまたは証明書情報でユー

　ザ認証を行います。



10.3.3.1　InfoProxy認証


Interstage Security Director（InfoProxy)

ユーザ認証

ユーザ認証

user1 passwd1user2 passwd2user3 passwd3

ユーザ名：user1パスワード：passwd1

ユーザ名：user300パスワード：passwd300

　InfoProxyで管理するユーザ名とパスワードでユーザ認証を行います。ユーザ認証に成功したユーザ

を、ユーザ名を指定してアクセス制御を行うことができます。認証するユーザ名とパスワードは、管理ツールから設定を行います。



10.3.3.2　ディレクトリサーバ連携機能



ユーザ認証

認証情報キャッシュ

ユーザ名パスワード

などの情報

ディレクトリサーバ（InfoDirectory）

（SSLプロトコル）

LDAP LDAPユーザ認証

InterstageSecurity Director


　InfoProxyは、LDAP(Lightweight Directory Access Protocol)を使用してディレクトリサーバと通信

し、認証を行います。この機能をディレクトリサーバ連携機能と呼びます。この機能を使用することにより、ユーザ名、パスワードなどの情報を一括管理することができ、複数のPROXYサーバやWebサーバなどの

各種サーバとの間で共通の情報を使用できます。

　ディレクトリサーバに問い合わせた結果情報をInfoProxyでキャッシュできます。2回目以降のディレクト

リサーバへの問い合わせ処理をキャッシュした情報から判断することで、クライアントへの応答速度を向上できます。

　InfoProxyとディレクトリサーバ間の通信にSSLプロトコルを使用できます。これによりディレクトリサーバとの通信内容の、通信経路上でのセキュリティが向上します。また、ディレクトリサーバとのSSL通信には、証明書内の項目をUTF-8コード系で記述した証明書(以降、UTF-8証明書)を使用できます。

　ディレクトリサーバ連携機能には、以下のような機能があります。

■ ユーザ名による制御

　ユーザ名を指定してアクセス制御を行うことができます。

■ グループによる制御

　ディレクトリサーバで管理するグループを指定してアクセス制御を行うことができます。

■ サーチベースによる制御

　ディレクトリサーバ上のサーチベース(DN(Distinguished Name))を指定してアクセス制御を行うことが

　できます。

■検索フィルタによる制御

　ユーザの属性(職種や役職など)を検索フィルタを指定してアクセス制御を行うことができます。

なお、連携できるディレクトリサーバは、InfoDirectoryだけです。



10.3.3.3　SSLユーザ認証機能

証明書管理・InfoCA・Systemwalker PkiMGR・日本ベリサイン・日本認証サービス

　　ＳＳＬクライアント　証明書




　　SSLクライアント　証明書


証明書解析

アクセス制御

ユーザ認証

　　SSLクライアント　証明書


（SSLプロトコル）


ユーザ名

パスワードなどの情報

　SSLユーザ認証機能は、クライアントがもっている証明書を利用して、ディレクトリサーバに登録してある

ユーザのエントリを検索し、エントリに登録してあるユーザ名の取得を行う認証機能です。

　本機能により、ユーザはWebブラウザ上でユーザ名およびパスワードの入力を行うことなく、ユーザ認証

を行うことができます。また、取得したユーザ名を使用して、アクセスリストのユーザ設定に従ったアクセス制御を行うこともできます。

　なお、本機能を使用できるのは、PROXYサーバでリバース機能を使用し、クライアントの間でSSLによ

る通信を行っている場合だけです。

　SSLユーザ認証機能には、以下のような機能があります。

■クライアントのユーザ名の取得

　クライアントから受信したSSLクライアント証明書に含まれている情報をもとに、ディレクトリサーバに対し

　てエントリの検索を行い、ユーザ名を取得します。

■SSLクライアント証明書比較

　ディレクトリサーバに問い合わせた結果、該当するエントリが一意に特定できた場合に、SSLクライアント

　証明書とエントリに登録されている証明書のバイナリデータ比較を行うことができます。

■ディレクトリサーバの認証機能への移行

　SSLユーザ認証が行えなかった場合に、ディレクトリサーバの認証機能によるユーザ認証処理に移るこ

　とができます。

なお、以下から発行される証明書がSSLユーザ認証機能で使用できます。

・InfoCAまたはSystemwalker PkiMGR

・日本ベリサイン株式会社

・日本認証サービス



10.3.3.4　Interstageシングル・サインオン連携機能


Web ServerWeb Server



InterstageApplication Server

FirewallFirewallApplicationApplicationGatewayGateway



IntranetIntranetuseruser

インターネットユーザインターネットユーザ

イントラネット

ユーザを認証し、ユーザの“ロール”情報を取得

ユーザを認証し、ユーザの“ロール”情報を取得

シングル・サインオン(ｲﾝﾀｰﾈｯﾄｱｸｾｽ）

シングル・サインオン(ｲﾝﾀｰﾈｯﾄｱｸｾｽ）シングル・サインオン

（ｲﾝﾄﾗﾈｯﾄｱｸｾｽ）

シングル・サインオン（ｲﾝﾄﾗﾈｯﾄｱｸｾｽ）

ユーザ認証ユーザ認証

認証/認可情報の

一元管理

認証/認可情報の

一元管理

“ロールベース”の

アクセス制御

“ロールベース”の

アクセス制御

認証サーバ認証サーバ//リポジトリリポジトリ

　Interstageシングル・サインオンは、企業システムを構成する複数のWebサーバ、Webサービスに対し、シングル・サインオン機能によって認証・認可の基盤を提供するもので、Interstage Application Serverが提供します。

■認証

　システムを利用する人の正当性を判定し、本人であることを確認することです。

■認可

　利用者がアクセスを要求している資源に対して、その利用者がアクセスすることが認められていることを　確認することです。たとえばWebサーバで公開するHTML文書、画像データ、音声データ、または　Webサーバで動作するCGIアプリケーションなどの資源へのアクセス要求に対して、その利用者がそれ

　らの資源へのアクセスを認められているのかを確認します。

　この認証サーバとの連携により、ユーザ単位での認証方式、有効時間などをInterstageシングル・サ

インオンのポリシーに統一することが可能です。

　Interstageシングル・サインオン連携機能を使用することにより実現できる機能を以下に示します。

■Interstageシングル・サインオン認証サーバによる認証制御

　Interstageシングル・サインオン認証サーバで認証を行うことにより、証明書のマッピング方法やディレ

　クトリサーバの設定、ユーザ単位での認証方式や有効時間など認証サーバおよびリポジトリサーバのポ　リシーに統一できます。

■Interstageシングル・サインオンユーザ名による認可制御

　Interstageシングル・サインオン認証サーバで認証したユーザ名をもとに、InfoProxyで認可制御が可

　能です。


■Interstageシングル・サインオンロール名による認可制御

　Interstageシングル・サインオン認証サーバで認証したユーザ名をもとに、指定されているロール名を　使用して、InfoProxyで認可制御が可能です。

　InfoProxyがInterstageシングル・サイオン認証サーバに証明書ヘッダを送信する場合には、Interstageシングル・サインオン認証サーバに接続を行う前に、クライアントに対して証明書要求を行います。そのため、ユーザを特定する方式（ユーザ名/パスワードまたは証明書情報）までは統一することはで

きません。



10.3.4　ユーザ認証情報送信機能



ファイアウォール

アプリケーション

ゲートウェイ

Web Server

Interstageなど

DirectoryServer

イントラネット内へのアクセスを認証

Application Server

DB　Server

ユーザ認証

認証情報を伝搬インターネット

　ユーザ認証情報送信機能は、リバース機能使用時にInfoProxyでユーザ認証を行った場合に、ユーザ認証に使用した認証情報を任意のヘッダ名でWebサーバに送信する機能です。アクセスしているユーザのユーザ名やパスワードの情報をWebサーバのCGIなどの処理に使用できます。

　追加するヘッダ名には任意のヘッダ名を指定できます。指定を省略した場合は、“X-Authorization:”を使用します。ユーザ認証情報送信機能では、InfoProxyで使用しているユーザ認証方法によって使用す

る情報が異なります。

　ユーザ認証方法ごとに使用する認証情報を以下に示します。

■InfoProxyの認証機能、またはディレクトリサーバの認証機能を使用している場合

　クライアントから受信したAuthorizationヘッダに含まれる、ユーザ名/パスワード情報を使用します。

■SSLユーザ認証機能を使用している場合

　クライアントから受信したSSL証明書をもとにディレクトリサーバに問い合わせて取得したユーザ名情報　を使用します。パスワード情報は使用できません。



10.3.5　携帯端末連携機能



携帯端末認証

ユーザ名、パスワード　　　　　＋

個体識別情報


ユーザ名パスワードなどの情報

　InfoProxyは、NTTドコモの通信サービスで使用されるiモード携帯端末503i/504i/505i/FOMAシリーズ（以下、“携帯端末”と呼びます。）と連携を行うことができます。

　携帯端末連携機能は、以下の2つの機能から構成されています。

■携帯端末認証機能

　携帯端末認証機能はInfoProxyのリバース機能使用時に、携帯端末から送信された個体識別情報を

　使用して認証を行う機能です。この機能を使用することで、従来のユーザ名、パスワードに加え、使用す　る携帯端末（またはFOMAカード）の限定が可能となり、より一層のセキュリティ強化を図ることができま　す。携帯端末認証機能は、アクセス時にユーザ名とパスワードを入力してユーザを認証する“ディレクトリ　サーバの認証機能”と合わせて使用します。

■個体識別情報のセション管理機能

　個体識別情報のセション管理機能とは、携帯端末認証機能の付加機能として動作し、クライアントから　通知される個体識別情報に対して、URLリライトによるセション管理を実施する機能です。

　URLリライトによるセション管理を行うため、Cookieを必要としません。

　本機能を使用することにより、以下の2つの機能が実現できます。

　・初回アクセス時に携帯端末から通知された個体識別情報をURLリライトすることにより、2回目以降の

　　通信において、携帯端末は個体識別情報の送信確認画面を表示しないため、利便性が大幅に向上　　します。

　・個体識別情報の送信ができないGIF画像などにおいても、個体識別情報による認証が可能となります。

　また、個体識別情報のセション管理機能は、携帯端末認証後に発行した個体識別情報からセションID　を作成し、レスポンスのリンク情報およびリダイレクトURLの後尾に追加して行います。

　セションIDは、以下の2つの有効期限をもちます。


　・セションIDの大有効期限

　　携帯端末認証を実施し、個体識別情報のセションIDを発行した時刻から設定した期間が過ぎた場合

　　に有効期限切れと判断します。

　・セションIDの未使用有効期限

　　セションIDを使用して携帯端末認証を実施した後の時刻から設定した期間が過ぎた場合に有効期

　　限切れと判断します。有効期限切れ後、再度携帯端末から個体識別情報を受信することにより、新し　　いセションIDを発行します。

　なお、通信に暗号化は行わないため、暗号化が必要な場合は別に実装する必要があります。



10.3.6　リバース機能

クライアント

内部サーバ

外部ネットワーク

内部ネットワーク

InterstageSecurity DirectorInterstageSecurity Director

① リクエストhttp://proxy:80/http/1.html

② リクエスト変換http://www1:80/http/1.html

サーバ名：www1ポート番号：80

サーバ名：www2ポート番号：443

<1.html>http://www1:80/1.htmlhttp://www3:80/3.htmlhttp://www4:443/4.html

③ レスポンス1.html

<1.html>http://proxy:80/http/1.html-削除-http://www4:443/4.html

要求元URL 中継先URLhttp://proxy:80/http/http://proxy:80/ssl/

http://www1:80/http://www2:443/

⇔

⇒

未定義のリンク変換方式(http)は、削除する未定義のリンク変換方式(https)は、変換しない

④ レスポンス変換1.html

　リバース機能は、ファイアウォールの外部のWebクライアントからファイアウォール内部のWebサーバの資源にアクセスするための機能です。この機能により、ファイアウォール内部のWebサーバの情報は外

部に漏れません。

　リバース機能の変換制御を使用することにより、クライアントからのリクエスト中継時とWebサーバからのレスポンス中継時の定義を別々に設定できます。リバース機能はHTTP、HTTPSで使用できます。

■リバース機能（リクエスト変換）

　リバース機能では、クライアントからのリクエスト中継時に、リバース環境設定にしたがってディレクトリ名　を変換し、中継先Webサーバに送信します。　その際、 “ Range”ヘッダは削除され、 “ Host”, 　“Referer”ヘッダは変換されます。それ以外は、そのままWebサーバへ通知されます。

■リバース機能（レスポンス変換）

　リバース機能では、Webサーバからのレスポンス中継時に、リバース環境設定にしたがってコンテンツ中

　のリンク情報の変換と、特定のレスポンスヘッダの削除またはホスト名やディレクトリ名の変換を行います。　これにより、ファイアウォール内部のWebサーバの情報が外部に見えなくなります。



10.3.7　SSL代理中継機能

HTTP

HTTP

リバース機能 SSL代理中継機能

HTTPS（SSLプロトコル）



HTTPS（SSLプロトコル）

　通常のInfoProxyが使用する通信プロトコルではセキュリティ対策が行われていないため、ネットワーク上でデータを第3者に傍受、改ざんされる危険性があります。 SSL(Secure Sockets Layer)代理中継機能では、InfoProxyの通信プロトコル部分をSSLプロトコルに置き換え、これらの危険を回避し、InfoProxyとWebクライアント間、および InfoProxyとWebサーバ間でセキュアな通信を行うことができます。

　InfoProxyは、SSLバージョン2.0とバージョン3.0をサポートしています。

　SSL代理中継機能を使用すると、通信するデータの暗号化や通信相手の認証ができます。 InfoProxyのSSL代理中継機能では、Webクライアントとの接続、Webサーバとの接続、または両方においてSSLプロトコルでの通信が可能です。

　なお、SSL代理中継機能には以下の留意点があります。

■SSL代理中継機能は、イントラネット内部のWebサーバ上のデータを公開する目的で利用されるリバー　ス機能において使用可能です。

■SSL代理中継機能を使用するには、事前に証明書の取得および証明書/鍵管理環境の作成の作業が　必要です。



10.3.8　仮想ホスト機能

Ｗebサーバ１Ｗebサーバ２

１台のサーバ上で独立した環境（証明書、ログなど）を構築

Interstage Security DirectorPROXYサーバ１www.aaa.com10.10.10.1

ログ

PROXY1証明書ログ

PROXY2証明書

PROXYサーバ2www.bbb.co.jp10.10.10.2

SSL通信 SSL通信

【サーバに複数のIPアドレスを割り当て、IPアドレスごとにPROXYサーバを起動する方法】

　仮想ホスト機能は、リバース機能使用時にInfoProxyが動作しているサーバ上で、仮想的に複数のWebサーバが動作しているように見せる機能です。1台のサーバマシンに複数のホスト名を割り当てて、

複数のサーバが存在しているように運用できます。

　InfoProxyでの仮想ホスト機能の実現方法には以下の2つがあります。

■サーバに複数のIPアドレスを割り当て、IPアドレスごとにPROXYサーバを起動する方法

　PROXYサーバマシンに複数のIPアドレスを割り当て、IPアドレスごとに複数のPROXYサーバを起動　できます。PROXYサーバの環境設定でクライアントからのリクエストを受け付けるIPアドレスを指定して　起動できますので、Webクライアントから見て別のIPアドレスでPROXYサーバが運用されているように

　見えます。

　それぞれのPROXYサーバでは独立した環境設定を行います。証明書を仮想ホストごとに登録できるた　め、SSL代理中継機能を使用した通信が可能です。また、PROXYサーバごとに、リバース設定、ログ

　ファイル格納ディレクトリなどを個別に設定できます。

■1つのPROXYサーバを起動してクライアントから送信されるHostヘッダで区別する方法

　Webクライアントは、Webサーバへ接続する際にリクエストヘッダにHostヘッダを付加します。PROXY　サーバは受信したリクエストヘッダを解析し、Hostヘッダで指定されたホスト名をもとにリバース変換定

　義を検索し、該当する定義にしたがってリバース変換処理を行います。

　PROXYサーバの環境設定で、仮想ホスト名ごとにリバース設定ができますので、単一のPROXYサー　バで、Hostヘッダで通知されたホスト情報に一致するリバース定義に従ったリバース処理が実施されま

　す。

　なお、Hostヘッダを区別することによって仮想ホスト機能を実現する場合は、以下の留意点があります。

　・PROXYサーバが使用できるSSL証明書は1つであるため、SSL代理中継機能を使用した通信はでき　　ません。

　・クライアントからのリクエストにHostヘッダが含まれていなかった場合は、以下のように動作します。

　　－デフォルトのリバース変換定義が設定されている場合は、その定義に従います。

　　－デフォルトのリバース変換定義が設定されていない場合は、リバース変換定義に一致しなかったと　　　　判断して、「404 Not Found」のエラーを返します。



10.4　IIOPアプリケーションゲートウェイ機能

CORBAサーバ

（ネーミングサービス）

CORBAサーバ

（オブジェクト）

IIOPアプリケーションGW

IIOPアプリケーションGW



DMZファイアウォール


CORBAクライアント

　IIOPアプリケーションゲートウェイ機能は、CORBAクライアントとCORBAサーバ間の通信プロトコルであるIIOP(Internet Inter-ORB Protocol)を解釈し、中継する機能をサポートします。これにより、イントラネット内のCORBAクライアントやインターネットに接続されたCORBAクライアントを使用し、イントラネット内のCORBAサーバを安全に使用できます。

■IIOP中継機能

　CORBAクライアントから、CORBAサーバに対して、CORBA標準プロトコルであるIIOPによりファイア

　ウォールを越えて接続することを可能とする機能です。

■アクセス制御機能

　システム管理者がIIOPアプリケーションゲートウェイ機能を利用できるCORBAクライアントホスト、アク　セス先のCORBAサーバホスト・オブジェクト・オペレーションを制限することで、セキュリティの強化を可

　能とする機能です。

■DNSキャッシュ機能

　1度取得したDNS情報をメモリに保持することで、DNS情報の取得回数を軽減するとともに高速な応答

　を可能とする機能です。

■別名変換機能

　ファイアウォール内部のCORBAサーバとPROXYサーバのホスト情報、およびファイアウォール内部　のネーミングサービスから取得したCORBAサーバのホスト情報を別のホスト情報に変換することを可能

　とする機能です。

■ログ採取/統計機能

　IIOPアプリケーションゲートウェイ機能のログを採取し、その統計情報をWebブラウザから参照すること　ができ、容易にIIOPアプリケーションゲートウェイ機能の利用状況を把握できる機能です。


■運用管理機能

　IIOPアプリケーションゲートウェイ機能の環境設定を、管理コンソール画面から簡単に設定、参照できる　機能です。また、 IIOPアプリケーションゲートウェイ機能の起動・終了の処理はWebブラウザから行うこ

　とができます。

■SSL中継機能

　CORBAクライアントとIIOPアプリケーションゲートウェイ機能間で、SSLにより通信データの暗号化と認

　証を行うことを可能とする機能です。


MEMO


第11章Interstage Traffic Directorの

機能と特長

本章ではInterstage Traffic Directorの機能および運用について説明します。



11.1　Interstage Traffic Directorの機能

● サーバ負荷分散機能不特定多数の利用者からのアクセスに対して、優れたパフォーマンスを保証

● QoS(帯域)制御機能ビジネス要件に応じて帯域幅を割り当てることで、重要度の低い過剰トラフィックから重要度の高いトラフィックを保護し、安定したサービスを提供

● キャッシュ機能Webサーバの負荷を軽減するとともに、WANトラフィック量を軽減

インターネットシステムで要求される高度なトラフィック管理ソリューションを提供

Webサーバ Application Server

キャッシュ

1.5Mbps

基幹50%

WWW30%

そのほか20%

G S 8 8 0 0

F UJ IT S U

データベース

本社大阪支社

負荷分散

ＱｏＳ制御


インターネット利用者

キャッシュ

ＱｏＳ制御

Cookie, SSLセションID情報に

もとづいてアクセス先サーバを固定

Interstage Traffic Director

　Interstage Traffic Directorは、「負荷分散機能（ロードバランシング）」、「QoS(帯域)制御」、「データ・

キャッシュ機能」により構成されています。

■負荷分散機能（ロードバランシング）

　大量のアクセスを複数のサーバで処理することにより、安定したレスポンスを実現し、Webサーバの追加

　や故障に対してもサービスを停止させない、柔軟なシステム構築が可能となります。サイト全体の能力が　不足した場合は、サーバを追加するだけで、システム全体のキャパシティを拡張できます。

■QoS(帯域)制御

　実回線上に業務やアプリケーションごとに適な帯域割り当てを行い仮想回線を構築することで、重要　かつ緊急度の高い業務（基幹系業務）に対して、信頼性の高い安定したパフォーマンスを提供します。

　これにより、回線混雑時にもミッションクリティカルな業務を円滑に進めることができます。

■データ・キャッシュ機能

　Interstage Traffic Directorには、クライアントがサーバから取得したデータをサーバ上のローカルディ

　スク上に一時的に格納（キャッシュ）しておく機能があります。これにより、同一データへのアクセスは、　サーバへアクセスすることなく、ローカルディスク上に格納しているデータをクライアントに転送することで、　高速な応答を得ることができます。



11.2　Standard EditionとEnterprise Editionについて

■ Interstage Traffic Director Standard Edition

■ Interstage Traffic Director Enterprise Edition

コネクション数、データ通信時間、応答時間、CPU負荷率、ディスクIO負荷率など

さまざまな情報にもとづいて、サーバ側のトラフィックを動的に分散する機能を提供します。

Standard Editionの機能に加え、Interstage Application Serverとの連携を強化すること

により、マルチシステム負荷分散機能や、業務状況に応じたきめ細かい負荷分散など、信頼性、可用性をさらに高める負荷分散機能を提供します。

　Interstage Traffic Directorでは、Interstageで構築されたWebシステムを、より強固で可用性の高いものとするために、Interstage Application Serverとの連携を強化したInterstage Traffic DirectorEnterprise Editionが提供されています。

　Enterprise Editionでだけ提供されている機能は以下のとおりです。

■ Interstage Application Server連携

　リソース状況に応じた負荷分散、ワークユニット監視、マルチシステム、IIOPメソッド呼び出し単位負荷

　分散ができます。

■ HTTPヘッダ負荷分散

　HTTPヘッダに含まれるデバイスタイプなどのさまざまな情報にもとづいて、分散対象サーバをグルー

　ピングし、目的のコンテンツが配置されているサーバにパケットを振り分ける機能です。これにより、携帯　端末などのデバイスタイプ（i-mode、Vodafon、EZweb、一般PCなど）にもとづいてアクセス先サーバを

　変更することもできます。

■HTTPヘッダ認証情報

　HTTPリクエストヘッダ内のAuthorizationフィールド、またはProxy-Authorizationフィールドの値（認　証情報）にもとづいてセション維持を行う機能です。クライアントのHTTPリクエストを監視し、HTTPリク　エストヘッダに同じ認証情報をもつHTTPリクエストを以前アクセスしたサーバと同じサーバに転送し、

　一意性を保証できます。

■ クライアントへのダウン通知

　Interstage Traffic Directorでは、ICMP ECHOやアプリケーションレベルの監視、または、負荷計測

　エージェントにより、サーバ異常であることを検出すると、クライアントに対して切断通知を行います。これ　により、従来はタイムアウトでしか検出できなかったサーバ異常をクライアント側で即時に検出することが　可能となります。


■ エラーページ（HTTPエラーメッセージ）送信

　負荷分散対象のすべてのサーバが、高負荷状態、または故障などの要因でクライアントからのアクセス　ができなくなった場合、あらかじめ登録しておいたエラーメッセージをクライアントに返すことができます。

■ Webアクセラレーション

　Interstage Traffic Director（サーバ）の負荷分散エンジンは、あらかじめサイトファーム内のWebサー　バとの間にTCPコネクションを確立する機能です。



11.3　負荷分散機能

東京サイト大阪サイト

サイトファームサイトファーム

InterstageTraffic Director

インターネットイントラネット


　Interstage Traffic Directorは、複数台の分散対象のサーバをクラスタ化し、クラスタ化したサーバ群に1つのIPアドレス（仮想IPアドレス）を割り当てることで1台の巨大なサーバとして利用者に見せることが

できます。複数台のサーバをクラスタ化したものを「サイトファーム」と呼びます。サーバ負荷分散機能は、負荷分散ポリシーにもとづいて、サイトファーム内の各サーバへのアクセス状況、負荷状況や故障をリアルタイムに監視し、利用者からのリクエストを1番早く応答できるサーバに転送し、利用者の要求に応答

します。サイトファーム内のサーバのうち、一部のサーバが万一ダウンしても、残りのサーバがサービスを提供しますので、信頼性の高い（365日、24時間のノンストップ）システムを構築できます。

　さらに、リクエストを複数のサーバに分散させますので、1台のサーバに負荷が集中することもなく、つね

に快適なレスポンスを保証できます。将来、サービスへの需要が増大してレスポンスの悪化が見込まれる場合には、安価なサーバを追加増設するだけで対処できます。

　Interstage Traffic Directorのサーバ負荷分散機能は、次の2つの負荷分散機能を提供します。

■サイト負荷分散（サイト内のサーバ負荷分散）

■透過デバイス負荷分散（特殊なデバイスの負荷分散）



11.3.1　サイト負荷分散

サイトファームサイトファーム


通過型配置並列型配置

負荷分散負荷分散負荷分散負荷分散


停止負荷大

停止負荷大

　サイト負荷分散は、Interstage Traffic Directorサーバが配置されるサイトと同じサイト内に分散対象

のサーバ（サイトファーム）を設置して負荷分散を行う機能です。サイトファームを構成する分散対象サーバとして、あらゆる種類のオペレーティング・システム(OS)、機種、ハードウェア仕様（CPU、メモリなど）の

サーバを配置できます。

　Interstage Traffic Directorサーバは、クライアント装置と分散対象サーバ群の間に配置します。この

配置方法には、通過型配置（クライアント装置と分散対象サーバ群をネットワーク・サーバが分断する）と並列型配置（分散対象サーバ群と同列に配置される）の2種類があります。

　並列型配置では、クライアントからのリクエストはInterstage Traffic Directorサーバを経由しますが、

サーバからのレスポンスは直接クライアントへ送信されるため、高速なレスポンスが実現できます。並列型配置では、Interstage Traffic Directorサーバに装着するLANアダプタは1枚です。

　ただし、 Interstage Traffic Directorサーバの配置方法が並列型配置の場合は、以下のような機能は

使用できません。

■IPアドレス変換方式

■URLベース負荷分散

■HTTPヘッダ負荷分散

■コネクション単位のセション維持機能

■IIOPメソッド負荷分散

■透過デバイス負荷分散



11.3.1.1　転送方式

あて先MACアドレス

あて先IPアドレス

送信元ポート番号

あて先ポート番号

データ部送信元MAC

アドレス送信元

IPアドレス

MACヘッダ TCP/UDPヘッダIPヘッダ

サーバA

サーバBInterstageTraffic Director

TDのMACアドレス

送信元MACアドレス・・・

AのMACアドレス


BのMACアドレス


■ MACアドレス変換方式の概要

サーバA

サーバBInterstageTraffic Director

TDのMAC

送信元MAC ・・・送信元

IP代表

IP送信元ポート

代表ポート

TrafficDirector上に

設定された仮想サーバのIPアドレス、ポート番号

AのMAC

TDのMAC ・・・送信元

IPAのIP

送信元ポート

Aの

ポート

BのMAC

TDのMAC ・・・送信元

IPBのIP

送信元ポート

代表ポート

■ IPアドレス変換方式の概要

■ パケットのフォーマット

　サイト負荷分散は、利用者からのリクエストをサイトファーム内のサーバに転送するために、以下のいずれかのメカニズムを使用します。なお、「IPアドレス変換」方式と「MACアドレス変換」方式のいずれの方

式を使用するかは、構成するサイトファーム単位に選択できます。

■ IPアドレス変換

　利用者（クライアント）から送信されるリクエストのあて先IPアドレス（サイトファームに対して定義されてい　る仮想IPアドレス）とあて先ポート番号（サイトファームに対して定義されている仮想ポート番号）をサイト　ファーム内の転送先サーバのIPアドレスとポート番号に書き換えて転送します。仮想ポートが定義され

　ていない場合や仮想ポート番号と転送先サーバのポート番号が一致している場合は、ポート番号の書き　換えは行わず、あて先IPアドレスだけを書き換えて転送します。この方式は、並列型配置では利用でき　ません。

■ MACアドレス変換

　利用者（クライアント）から送信されるリクエストのあて先MACアドレスを、サイトファーム内の転送先サー　バのMACアドレスに書き換えて転送します。この方式を利用する場合、サイトファーム内のすべての　サーバに、サイトファームに対して定義されている仮想IPアドレスと同じIPアドレス（エイリアスIPアドレス）　をセットアップしておく必要があります。この方式は、IPセキュリティ（IPsec）パケットなど、IPヘッダ情報

　を書き換えることができないプロトコルを使用したシステムの負荷分散を行う場合に有効です。この方式　は、通過型配置と並列型配置の両方で使用できますが、並列型配置で使用する場合、および後で説　明する「透過デバイス負荷分散」を行う場合は、必ずこの方式を選択する必要があります。



11.3.1.2　サーバ分散方式


負荷状況の通知

【負荷計測エージェントが不要な分散方式】

　・ラウンドロビン　・静的な重み付け　・小コネクション数　・小クライアント数　・小データ通信量　・小応答時間

【負荷計測エージェントが不要な分散方式】

　・ラウンドロビン　・静的な重み付け　・小コネクション数　・小クライアント数　・小データ通信量　・小応答時間

【負荷計測エージェントが必要な分散方式】

　・小サーバ負荷　　(CPU,メモリ,ディスクI/O)　・小待ちメッセージ数　・小通信バッファ使用率

【負荷計測エージェントが必要な分散方式】

　・小サーバ負荷　　(CPU,メモリ,ディスクI/O)　・小待ちメッセージ数　・小通信バッファ使用率

負荷計測エージェント

　サイト負荷分散機能は、利用者からのリクエストをサイトファーム内のどのサーバに転送するかを決定するアルゴリズムとして、次の分散方式を提供しています。

■ラウンドロビン

　サイトファーム内の各サーバの負荷に関係なく、サイトファーム内の各サーバに順番にリクエストを転送　します。

■静的な重み付け

　サイトファーム内の各サーバの負荷に関係なく、管理者があらかじめ指定した重み付けに従い、その比　率でサイトファーム内の各サーバにリクエストを転送します。　たとえば、サーバAに「30」、サーバBに「70」の重み付けを指定した場合は、3対7の比率でリクエストが

　転送されます。

■ 小コネクション数

　サイトファーム内の各サーバが処理しているコネクション数（TCPコネクションとUDPフロー）にもとづい

　て、コネクション数がも少ないサーバにリクエストを転送します。

■ 小クライアント数

　サイトファーム内の各サーバに接続しているクライアント（ノード）数にもとづいて、クライアント数がも　少ないサーバにリクエストを転送します。

■ 小データ通信量

　サイトファーム内の各サーバが処理しているデータ通信量にもとづいて、データ通信量がも少ない　サーバにリクエストを転送します。

■ 小応答時間

　サイトファーム内の各サーバのレスポンス時間（リクエストを転送してからレスポンスを受信するまでの　時間）にもとづいて、レスポンス時間が小のサーバにリクエストを転送します。


　さらに、サイトファーム内のすべてのサーバに「負荷計測エージェント」をインストールして動作させておくことで、以下のようなサーバの負荷をリアルタイムに把握し、適なサーバへ振り分けることができます。

■ 小サーバ負荷

　サイトファーム内の各サーバの「CPU負荷」、「メモリ負荷」、「ディスクI/O負荷」の状況にもとづいて、

　負荷のも軽いサーバにリクエストを転送します。

■ 小待ちメッセージ数

　サイトファーム内の各サーバの処理待ちメッセージ数の数にもとづいて、処理待ちメッセージ数が小　のサーバにリクエストを転送します。

■ 小通信バッファ使用率

　サイトファーム内の各サーバの通信バッファ使用率にもとづいて、通信バッファの使用率が小の　サーバにリクエストを転送します。



11.3.1.3　URLベース負荷分散


イメージデータサブ・ファーム

URL = */image/*

CGI処理

サブ・ファーム

URL = */cgi-bin/*

その他のコンテンツサブ・ファーム

URL = その他

Webサーバサイトファーム

GET xyz/image/abc.gif

GET xyz/cgi-bin/abc.cgi

GET xyz/cgi-bin/abc.cgi

　Interstage Traffic Director（サーバ）の負荷分散エンジンは、基本的に、IPアドレスとポート番号（サービス）の組にもとづいてパケットを転送しています。これは、FTPやDNSのようなアプリケーションでは、アプリケーションとポート番号が1対1に対応しているため問題はありませんが、Webアプリケーション

の場合には問題が発生する可能性があります。

　通常、あらゆるWebアプリケーションは、TCPポート80（HTTPポート）を使用しているため、その上で動作しているアプリケーション（たとえば、CGIアプリケーション、ストリーミング・オーディオ、Webベースのメインフレームアクセス・アプリケーションなど）を判別することができません。そのため、IPアドレスとポート番号にもとづく負荷分散では、すべてのWebアプリケーションを同等に扱ってしまい、個々のWebアプリケーションに要求されているレスポンスやサービス品質（QoS: Quality of Service）を保証できない可能

性があります。

　Interstage Traffic Director（サーバ）の負荷分散エンジンは、IPアドレスとポート番号に加え、URLのパス名やファイル種別情報を解析して、要求されているコンテンツ単位に分散対象サーバを選択することができます。これは、サイトファーム内のサーバ群をコンテンツ単位にグルーピングし、サブ・サイトファームを構成することができることを意味します。

　サブ・サイトファーム内のどのサーバに転送するかは、指示されたサーバ分散方式にもとづいて制御されます。



11.3.1.4　HTTPヘッダ負荷分散


i-mode用


EZweb用


一般PC用


http://jp.fujitsu.com/



HTTPリクエストヘッダ内のUser-Agentヘッダを検査し、

端末タイプを識別する。端末の種別に応じたサブ・ファームへ転送する。

HTTPリクエストヘッダ内のUser-Agentヘッダを検査し、

端末タイプを識別する。端末の種別に応じたサブ・ファームへ転送する。

　HTTPヘッダ負荷分散は、HTTPリクエストヘッダ内の情報にもとづいて、該当するサーバ群（サブ・サイトファーム）の中の適なサーバに転送する機能です。URLベース負荷分散機能は、HTTPリクエストヘッダのURI(Universal Resource Indicator)の情報にもとづいて転送する機能を提供しますので、HTTPヘッダ負荷分散は、URLベース負荷分散機能の拡張機能と考えることができます。

　Interstage Traffic DirectorのHTTPヘッダ負荷分散は、メソッド(GET、POSTなど)、HTTPリクエストヘッダ（Accept, Accept-Charset, Host, User-Agentなど）、Cookieヘッダ、プロトコル（SOAP : Simple Object Access Protocol）などの情報を負荷分散ポリシーとして定義することで、サイトファーム内のサーバ群をサブ・サイトファームとして構成できます。Interstage Traffic Director（サーバ）の負荷分散エンジンは、クライアントからのHTTPリクエストを受信すると、HTTPヘッダの内容を検査し、負荷分

散ポリシーで定義されている該当するサブ・サイトファームの中の適なサーバに転送します。

　HTTPヘッダ負荷分散機能を利用すると、同じURLでデバイスタイプ（i-mode、EZweb、一般PCなど）

ごとや言語ごとに異なるサーバへアクセスさせたり、特定の顧客向けに高性能なサーバを配置するなど、顧客の要求に見合った良のレスポンスと差別化サービスの提供といった利点があります。



11.3.1.5　セション維持(一意性の保証)

処理が複数画面でも同一サーバへ振り分け

サイトファーム

セションを固定化する方法として・Cookie・SSLセションID・URLリライト・URLリライト拡張・HTTP認証ヘッダ・HTTPトンネルセションIDオプションを

　提供

　Interstage Traffic Directorは、一定時間初にアクセスしたサーバと同じサーバへのアクセスを保

証する「セション維持（一意性保証）機能」を以下のような方法から選択できます。

■Cookieオプション

　クライアントとサーバ間でやりとりされるCookieを使用して、クライアントからのアクセスを指定された時

　間、サイトファーム内の特定のサーバに固定化するためのオプション機能です。　このオプション機能は、HTTPプロトコルを使用した通信だけに使用できます。

■SSLセションIDオプション

　同じSSLセションIDをもつリクエストを指定された時間、同じサーバに転送するためのオプション機能　です。また、この機能を使用する際は、サーバ側でSSL v3(バージョン3)がサポートされていなければ

　なりません。

■URLリライト・オプション

　HTTPレスポンスを監視し、URLリライトされたセションIDとアクセス先サーバのマッピングテーブルを

　作成し、セションを維持します。

■URLリライト拡張オプション

　URLパス内に埋め込まれた任意の文字列をキー名として認識し、キー名に続く情報にもとづいてセ

　ション維持を制御します。

■HTTP認証ヘッダ・オプション

　HTTPリクエストヘッダ内のAuthorizationフィールド、または、Proxy-Authorizationフィールドの値

　（認証情報）にもとづいて、マッピングテーブルを作成し、セションを維持します。

■HTTPトンネル・セションIDオプション

　HTTPレスポンスを監視し、HTTPのボディ部に埋め込まれたHTTPトンネリングプロトコルヘッダ内の　セションIDとアクセス先サーバのマッピングテーブルを作成し、セションを維持します。


　サイト負荷分散機能は、利用者からのリクエストをサイトファーム内のサーバに転送する際、分散の単位を設定できます。分散の単位として次のいずれかを設定できます。

■ノード単位の分散

　ノード、すなわちクライアント（利用者）を1つの単位として、同じノードからのリクエストはサイトファーム内　の同じサーバに転送する方式です。1つのノードからのすべてのリクエストは同じサーバに転送されるこ　とが保証されます。（プロキシやファイアウォールを経由する通信には不向き）

■コネクション単位の分散

　コネクション（TCPコネクションまたは、UDPフロー）を1つの単位として、コネクション単位にサイトファー

　ム内の適なサーバを選択して転送する方式です。ノード単位の分散と違い、同じノードであってもコ　ネクションが異なれば、別の適なサーバに転送されます。

　これらの「セション維持（一意性保証）機能」を利用することで同じサーバへのアクセスを維持することが

できます。



11.3.1.6　故障監視

■ サイトファーム内の各サーバの動作状況をリアルタイムに監視■ サイトファーム内の各サーバの動作状況をリアルタイムに監視

装置監視（レイヤ3レベル・ヘルスチェック）

サービス監視（レイヤ4レベル・ヘルスチェック）

アプリケーション監視（レイヤ7レベル・ヘルスチェック）

負荷計測エージェントによる監視

サイトファーム内の各サーバに対して、PING（ICMP Echoリクエスト）を指定された間隔で送信して、

その応答の有無によってサーバの故障を監視

サイトファーム内の各サーバに対して、各サーバ上で動作しているアプリケーションのTCPポート、UDPポートにリクエストを送信して、その応答の有無によってアプリケーションの動作状況を監視

アプリケーションに対して、アプリケーションレベルのリクエストを送信し、その応答を監視することでアプリケーションの動作状況を監視する方式です。Traffic Director（サーバ）は次のアプリケーションに対する監視をサポート。HTTP,FTP,SMTP,POP3,IMAP4,NNTP,TELNET,LDAP,DNS,SSL

サイトファーム内の各サーバ上に「負荷計測エージェント」がインストールされて動作している場合に、負荷計測エージェントからのパケットの有無によってサーバの故障を監視

　サイト負荷分散機能は、サイトファーム内の各サーバの動作状況をリアルタイムに監視します。故障を検出すると、故障したサーバやアプリケーションを分散対象から除外します。次の4つの方式を提供します。

■ 装置監視（レイヤ3レベル・ヘルスチェック）　［PING(ICMP Echo)によるサーバ監視］

■ サービス監視（レイヤ4レベル・ヘルスチェック）

　　［TCP/UDPポートへのリクエスト送信によるサーバ監視］

■ アプリケーション監視（レイヤ7レベル・ヘルスチェック）

　　［アプリケーションレベルのリクエスト送信によるサーバ監視］

■ 負荷計測エージェントによる監視

　サービス監視は、装置監視でサーバが正常に動作していることを確認した後で実行され、アプリケーション監視は、装置監視、サービス監視でサーバおよびサービスが正常に動作していることを確認した後で実行されます。


　さらに、故障監視のオプション機能として、以下の機能を提供しています。

■URLリダイレクト

　HTTPプロトコルを使用した通信を行っている場合に、サイトファーム内のすべての分散対象サーバが

　高負荷状態、または、故障などの要因でクライアントからのアクセスができなくなったとき、負荷分散ポ　リシーとして案内ページ（サイトファームがビジー状態になったことをお知らせするための専用ページ）　のURLを指定しておくことで、クライアントからのアクセスを指定のURLにリダイレクトできます。

■ HTTPエラーメッセージ(HTTPエラーページ)転送

　HTTPプロトコルを使用した通信を行っている場合に、サイトファーム内のすべての分散対象サーバが

　高負荷状態、または、故障などの要因でクライアントからのアクセスができなくなったとき、負荷分散ポ　リシーとしてエラーメッセージを事前に定義しておくことで、クライアントからのアクセスに対して指定され　たHTMLメッセージを通知できます。URLリダイレクト機能をサポートしていないデバイスに対しても状　況を通知できます。

■ コネクション・リセット

　TCP通信を行っている中に何らかの原因でサーバがダウンした場合、クライアントのTCP/IPやクライ

　アント・アプリケーションは何度かデータの再送信を試み、その結果、通信ができなければ通信異常と認　識します。通常、クライアントが通信異常と認識するまでに、1分～10分かかります。Interstage Traffic 　Directorは、サーバの異常をリアルタイムに監視していますので、サーバ異常をより早く認識することが　できます。サーバ異常を認識すると、TCPコネクションをリセットし、クライアントにサーバ異常が発生した

　ことを通知する機能を提供しています。このオプション機能を利用することで、素早く業務を再開すること　ができます。



11.3.1.7　IIOP負荷分散

ネーミングサービス

Application Server

オブジェクト

OBJ(仮想IP)

負荷分散対象サーバ1

ネーミングサービス

Application Server

オブジェクト

OBJ(仮想IP)

負荷分散対象サーバ2

負荷分散

Interstage Traffic Director

③ メソッド呼び出し

② アプリのOR獲得

① NSのOR獲得仮想IPアドレス

実IPアドレス1

実IPアドレス2

※メソッド呼び出し単位の負荷分散時

③ メソッド呼び出し

※ネーミングサービスのオブジェクト　リファレンスの獲得時点の負荷分散時

　Interstage Traffic Directorが提供するInterstage Application ServerのIIOP通信の振り分けの単位には、以下の2つがあります。

■メソッド呼び出し単位の負荷分散

　本方式は、メソッド呼び出しの都度、負荷分散を行う方式です。各メソッドを負荷状況などあらかじめ設　定された分散方式で各サーバに個々に振り分けます。

　本方式では、アクセス数の制限、コネクションリセット機能は、使用できません。

■オブジェクトリファレンス単位の負荷分散

　本方式は、ネーミングサービスのオブジェクトリファレンスを獲得する際に負荷分散を行う方式です。　本方式では、ネーミングサービスの獲得時に、振り分けられたサーバ上のネーミングサービスのオブジェ　クトリファレンスを獲得することにより、そのサーバへ振り分けられます。同一クライアントからの一連の要　求を、同一サーバに振り分けたい時は、この方式を使用します。

　セション継続のように、負荷分散後は、特定のプロセスと通信を行いたいという場合に使用します。

図の負荷分散例では、以下のような処理の流れになります。

1.クライアントアプリケーションは、仮想IPアドレス経由で、負荷分散対象サーバ上のネーミングサービス

　から、オブジェクトリファレンスを獲得します。本要求は、負荷分散されます。　（初のネーミングサービスへの問い合わせは、仮想IPアドレス経由で負荷分散されます。）

2.1.で獲得したオブジェクトリファレンスから、実IPアドレス経由でサーバアプリケーションのオブジェクトリ　ファレンスを獲得します。

3.【メソッド呼び出し単位の負荷分散の場合】　　2.で獲得したオブジェクトリファレンスから、仮想IPアドレス経由でサーバアプリケーションのメソッドを

　　呼び出します。本要求は、負荷分散されます。

　【オブジェクトリファレンス単位の負荷分散の場合】　　2.で獲得したオブジェクトリファレンスから、実IPアドレス経由でサーバアプリケーションのメソッドを呼

　　び出します。　　（メソッド呼び出し時は、実IPアドレス指定で行われます。）



11.3.1.8 IJServerとWebサーバを分離して運用する

システムの負荷分散





Interstage Application Server(Webサーバ)

Interstage Application Server(アプリケーションサーバ)

　Servletによるシステムを構築する際にWebサーバからIJServerを分離し、DMZにはWebサーバを配置し、IJServer上で動作するアプリケーションをイントラ内に配置してよりセキュリティを高めたシステムを

構築することが可能です。

　Interstage Traffic Directorでは、WebサーバとIJServer間の通信の負荷分散機能を提供します。WebサーバとIJServer間の通信データ内に含まれるセション情報を一意性保証のためのキー情報として参照して、同一のセションはすべて同じApplication Serverに分散することが可能となります。

　利用可能な方式は以下の2つです。

■ Cookieオプション(セションID参照方式)

■ URLリライト・オプション

　　（Cookieを用いたセションの一意性保証と、URLリライトを用いたセションの一意性保証ができます。）

　この機能において、Interstage Application Server以外のApplication Serverは未サポートです。

　Interstage Application Server V7以降では、Webサーバ上で動作するWebサーバコネクタにおいて、負荷分散、および故障監視機能がサポートされていますが、Webサーバコネクタによる負荷分散とInterstage Traffic Directorによる負荷分散を併用することはできません。どちらかだけ使用してくださ

い。

　なお、Webサーバコネクタによる負荷分散とTraffic Directorによる負荷分散システムはそれぞれ

以下の特長をもちます。


■Webサーバコネクタの負荷分散機能

　Interstage Traffic Directorのサーバが不要になり、サーバ管理台数が少なく、Interstage管理コン

　ソールで一括管理できるため導入、保守が小限のコストで負荷分散を構築可能です。　Webサーバコネクタの負荷分散は、 WebサーバとIJServerとの間でだけ使用可能です。　Webサーバコネクタの負荷分散では、以下の機能を提供します。

　・転送方式：ラウンドロビン、小リクエスト数　・故障監視：故障監視、サービス監視　・一意性保証：Cookie　・プロトコル：HTTP、HTTPS

■Interstage Traffic Directorの負荷分散機能

　WebサーバとIJServerをTraffic Directorによって独立した仮想単位とすることができ、高信頼化、保　守を効率よく行うことが可能です。また、WebサーバとIJServer間の穴あけが少なくセキュリティリスクを

　低くできます。　Interstage Traffic Directorでは、WebサーバとIJServer間の負荷分散として以下の機能を提供し

　ます。

　・転送方式：ラウンドロビン、静的な重み付け、小サーバ負荷、小データ通信量、小応答時間、小待ちメッセージ数、小通信バッファ使用率

　・故障監視：故障監視、サービス監視、アプリケーション監視、URLリダイレクション、HTTPエラーメッセージ送信、コネクションリセット、ワークユニット監視

　・一意性保証：ノード単位、Cookie、SSLセションID、URLリライト、HTTPヘッダ認証情報HTTPトンネル

　・プロトコル：HTTP、HTTPS、IIOP

　以上のように、比較的小規模なシステム向けにはWebサーバコネクタの負荷分散機能を適用し、大規模システム向けにはInterstage Traffic Directorの負荷分散機能を適用します。

　Webサーバコネクタの負荷分散機能とInterstage Traffic Directorの負荷分散機能を併用することは

できません。



11.3.1.9 サイト間連携



サイト間は、定期的に情報交換を行い、各サイトの稼動状況を把握

サイト間は、定期的に情報交換を行い、各サイトの稼動状況を把握

サイトAのサイトファームが高負荷であるため、サイトAのTraffic DirectorはサイトBへ転送

サイトAのサイトファームが高負荷であるため、サイトAのTraffic DirectorはサイトBへ転送

サイトA サイトB

　サイトファーム内のすべてのサーバが高負荷状態の場合やすべてのサーバが故障してしまった場合、そのサイトの利用者は一切サービスが受けられなくなってしまいます。サイト負荷分散では、このような問題を解決する手段として、サイトファーム内のすべてのサーバが高負荷、または、故障した場合は、一時的に別のサイトのサイトファームにリクエストを転送する「サイト間連携」機能を提供します。

これにより、あるサイトのサイトファームが何らかの原因で利用者のリクエストを処理できなくなっても、別のサイトでサービスを継続して受けることができるため、非常に信頼性の高いシステムを構築することができます。

　「サイト間連携」の転送方式には、次の2つがあります。

■URLリダイレクト

　「サイト間連携」機能を使用して、かつHTTPプロトコル（たとえば、Webサーバへのアクセス）が使用され　ている場合に、アクセス先のサイトのサイトファームが高負荷状態や故障でアクセスできないとき、　Interstage Traffic Directorは、利用者（クライアント）のリクエストに対して、HTTPリダイレクトで応答し　て、別サイトのサイトファームのIPアドレス（代表IPアドレス）を通知します。利用者は通知されたIPアドレ　スに向けて直接リクエストを送信します。

■UDPカプセリング

　「サイト間連携」機能を使用して、かつHTTP以外のプロトコルが使用されている場合に、アクセス先のサ　イトのサイトファームが高負荷状態や故障でアクセスできないとき、 Interstage Traffic Directorは、利　用者（クライアント）のリクエストにUDPヘッダを付加することでカプセリングして別サイトのInterstage 　Traffic Directorに転送します。

　あるサイトのTraffic Director（サーバ）が別のサイトのTraffic Director（サーバ）にリクエストを転送する際、適な転送先サイトを決定する必要があります。サイト間連携機能では、以下の2つの方式を提供し

ています。


■静的分散モード

　このモードは、管理者があらかじめ設定した各サイトの優先度にもとづいて、優先度の高いサイトから順　番にサイトを選択して転送する方式です

■動的分散モード

　このモードは、Traffic Director（サーバ）が各サイトまでの距離、回線の混雑度、サイトファームの負荷

　状況にもとづいて自動的に転送先のサイトを決定する方式です。各サイトまでの距離や回線の混雑度　を測定するためにICMP Echoパケットを使用します。



11.3.2 透過デバイス負荷分散


ワイルドカードVIP：0.0.0.0＋

　　　　　代表ポート

キャッシュサーバファーム


ファイアウォールファーム

透過型キャッシュサーバの負荷分散ファイアウォールの負荷分散

　透過デバイス負荷分散とは、透過型キャッシュサーバや透過型ファイアウォールなど透過型のネットワークデバイスの負荷分散を実現する機能です。キャッシュサーバを複数台利用し、より高速なレスポンスを提供したり、ファイアウォールの冗長構成をとることができます。

　透過デバイス負荷分散では、分散対象の透過デバイス群を束ねる仮想IPアドレスとして、便宜的に“ワイルドカード仮想IPアドレス（ワイルドカードVIP）”を導入します。これは、 Interstage Traffic Directorのポリシー上では、“0.0.0.0”として設定します。

　キャッシュサーバ向けには、キャッシュサーバが同じデータを極力キャッシュしないように制御する機能と、すべてのキャッシュサーバが高負荷になった場合、キャッシュサーバへの転送を中止し、直接インターネット上のサーバへアクセスさせるかどうかを選択できる機能を提供しています。

　また、ファイアウォールを透過デバイス負荷分散するには、ファイアウォール群をInterstage Traffic Directorがはさむ形態で、 Interstage Traffic Directorを配置します。ファイアウォールは、ユーザ認証

情報やコネクションの状態を管理しているため、上りと下りのパケットを同じファイアウォールを経由するように制御する必要があります。Interstage Traffic Directorは、コネクション単位、またはノード単位で必ず

同じファイアウォールを経由するように制御します。

　透過デバイスの負荷分散を行う場合、転送方式として「MACアドレス変換」方式を選択する必要があります。また、SSLアクセラレータも透過デバイス負荷分散が可能です。SSLアクセラレータ（クライアントIP透過モード）を3LANアダプタ構成で分散する以外は、並列型配置で使用することはできません。



11.4 QoS（帯域）制御

InterstageTraffic

Director

実回線

下り（512Kbps）

上り（256Kbps）

その他20％

基幹80％

その他20％

ＷＷＷ30％

基幹50％

仮想回線

インターネット／イントラネット

　現在のネットワークでは、業務の重要度に関係なく、つねに早い者勝ちでネットワーク帯域を占有しています。しかし、重要かつ緊急度の高い業務に対して信頼性の高い、安定したパフォーマンスを提供するためには、限られた帯域を適切に割り当てる仕組みが必要となります。

　Interstage Traffic DirectorのQoS(帯域)制御は、以下のような制御を行いネットワークの利用帯域を

高めるソリューションを提供します。

■業務やアプリケーションごとのトラフィックを分類、制御して、帯域管理ポリシー（優先度や利用帯域幅の　範囲など）にもとづいてダイナミックに帯域を割り当てます。

■下りフロー、上りフロー別に、実回線上に業務やアプリケーションごとの仮想回線を構築することができ　ます。

■ある業務の仮想回線に空きがある場合は、ほかの仮想回線がその空き帯域を利用できます。

■IP（TCP/UDP）だけではなく、FNA/SNA、NetWare、AppleTalk、OSIなどあらゆるネットワークプロ

　トコルに提供できます。



11.4.1 帯域幅制御

A事業所6Mbps

A事業所6Mbps

第一営業1Mbps

第一営業1Mbps

第二営業1Mbps

第二営業1Mbps

第三営業1Mbps

第三営業1Mbps

経理0.6Mbps

経理0.6Mbps

人事0.4Mbps

人事0.4Mbps

マーケット1Mbps

マーケット1Mbps

開発0.5Mbps

開発0.5Mbps

管理0.5Mbps

管理0.5Mbps

総務部1Mbps総務部1Mbps

開発部2Mbps開発部2Mbps

営業部3Mbps営業部3Mbps

　Interstage Traffic DirectorのQoS(帯域)制御機能では、「トラフィック・クラス」、「低保証帯域幅」、「大帯域幅」の3つの情報を使用して仮想回線を定義します。

■トラフィック・クラス　仮想回線上を流れるトラフィック（データ）の種類です。1つのトラフィック・クラスが1本の仮想回線を

　構成します。

　また、これらの条件をグルーピングして1つの条件として定義することもできます。たとえば、営業グルー　プメンバの端末のIPアドレスを個々に定義して、それらのIPアドレスをグルーピングして、1つの条件

　「営業グループ」を定義できます。

　仮想回線の定義情報である「トラフィッククラス」の分類条件としては、以下を指定可能です。　「MACアドレス（ブリッジモードで運用する場合に有効）」「IPアドレス」「サービス（TCP/UDPポート番　号）」「プロトコル」「URL」「パターンマッチ」「アプリケーション」

■ 低保証帯域幅

　仮想回線に対して与える低限保証する帯域幅です。実回線が混み合っている場合でも、仮想回線を　構成するトラフィック・クラスに属するパケットは、この帯域幅が必ず保証されます。

■ 大帯域幅

　仮想回線に対して与える上限の帯域幅です。仮想回線を構成するトラフィック・クラスに属するパケットは、　この帯域幅を越えて帯域を使用することができません。

　Interstage Traffic DirectorのQoS(帯域)制御機能は、実回線上に複数の仮想回線を構築し、仮想

回線に対して定義されている低保証帯域幅の比率にもとづいて帯域幅をダイナミックに制御します。実回線に余分の帯域幅がある場合は、各仮想回線の低保証帯域幅の比率にしたがって余分の帯域幅を分配して使用します。


　Interstage Traffic DirectorのQoS(帯域)制御機能は、実回線に対して、上りフローと下りフローの帯域幅を別々に制御できます。ADSLやCATV回線のような上りと下りで帯域幅が異なる回線を制御する

場合は、上りフロー用の実回線と下りフロー用の実回線を定義して、その実回線上にそれぞれ仮想回線を定義します。　Interstage Traffic DirectorのQoS(帯域)制御機能のもう1つの特長として、仮想回線を階層状（仮想回線の中

にさらに仮想回線を構築）に構成できます。



11.4.2 その他の帯域制御機能

マルチメディア・アプリケーションのサポート

パケットサイズの適化

ToSビット・マーキング

優先制御

スケジュール

複数回線サポート

マルチメディア系アプリケーションの制御データを監視し、使用するTCP/UDPポート番号を追跡し、

データ通信トラフィックを定義されたトラフィック・クラスとして自動的に認識

大きなサイズのパケットを帯域管理ポリシーで指示されたサイズのパケットに分割（フラグメント）し、ネットワーク遅延を軽減

ToSビット・マーキング機能を提供し、指示されたサービス品質（ToSビット値）を保証

帯域幅制御対象のトラフィック・クラスとは別に、つねに優先して転送するトラフィック・クラスを定義可能

月日、曜日、時間帯で保証帯域幅をダイナミックに切り換えるスケジューリング機能を提供

Interstage Traffic Director（サーバ）1台で、複数の回線（複数台のルータ装置）の帯域幅を

同時に管理、制御することが可能

■マルチメディア・アプリケーションのサポート

　マルチメディア系アプリケーションの多くはデータ通信のためのTCP/UDPポート番号をダイナミックに割　り当てます。

　本機能は、マルチメディア系アプリケーションの制御データを監視して、データ通信に使用する　TCP/UDPポート番号を追跡し、データ通信トラフィックを定義されたトラフィック・クラスとして自動的に認

　識します。この機能により、トラフィック・クラスにアプリケーション種別を指定するだけで、マルチメディア　系アプリケーションが使用するダイナミックなTCP/UDPポート番号を意識することなく、帯域管理が可能

　になります。

■パケットサイズの適化

　VoIP(Voice over IP)、FNA/SNA、ICA(MetaFrame)などの対話型トラフィックは、ネットワーク遅延に　非常に敏感です。回線速度の遅いWAN回線で遅延に敏感な対話型トラフィックとFTPなどの大きなサ

　イズのパケットが同時に流れると、ルータ装置が大きなパケットを処理している間、対話型トラフィックが　転送されなくなりネットワーク遅延が発生します。

　本機能は、大きなサイズのパケットを帯域管理ポリシーで指示されたサイズのパケットに分割（フラグメン　ト）し、遅延に敏感な対話型トラフィックの合間に分割したパケットを挿入して転送することでネットワーク　遅延を軽減します。

■ToSビット・マーキング

　ルータベースのQoS(帯域)規格であるIP Precedence(RFC791)やDifferentiated Service　(DiffServ:RFC2474,2475 ほか)対応のネットワークをサポートするToSビット・マーキング機能を提供　します。帯域管理ポリシーとして、個々のトラフィック・クラスにToSビット値を定義できます。

■優先制御

　帯域幅制御対象のトラフィック・クラスとは別に、つねに優先して転送するトラフィック・クラスを定義でき　ます。優先トラフィック・クラスは、使用する帯域幅に関係なく、つねに優先的に転送されます。

　たとえば、ネットワーク管理で使用されるSNMPトラップパケットを優先トラフィック・クラスとして定義して　おくことで、SNMPトラップは、ネットワーク管理者に遅延なく速やかに通知されます。


■スケジュール

　月日、曜日、時間帯で保証帯域幅をダイナミックに切り換えるスケジューリング機能を提供します。たと　えば、昼間の業務時間帯はトランザクション処理系のトラフィックに十分な帯域を確保するが、夜間は　バッチ処理系やメンテナンス処理系のトラフィックに帯域を割り当てるなど、企業の業務形態に沿った　柔軟な帯域管理が実現できます。

■複数回線サポート

　Interstage Traffic Director（サーバ）1台で、複数の回線（複数台のルータ装置）の帯域幅を同時に　管理、制御できます。ただし、1台のルータ装置に複数の回線（インタフェース）が接続されていて、

　かつ同一のサブネット間を接続しているような形態では、制御できません。

　（たとえば、同一のあて先に対して複数回線を使用することで負荷分散を行うマルチホーミングによる帯　　域制御などはできません。）



11.5 キャッシュ機能

クライアントのレスポンス向上

別のクライアントが近アクセスしたサーバのデータは、キャッシュから取り出される

ネットワークおよびサーバの負荷軽減

キャッシュ

Interstage Traffic Director(キャッシュ機能)

HTTPサーバ FTPサーバ

　Interstage Traffic Directorには、クライアントがサーバから取得したデータをローカルディスク上に一

時的に格納（キャッシュ）しておく機能があります。これにより、同一データへのアクセスは、サーバにアクセスすることなく、ローカルディスク上に格納しているデータをクライアントに転送することで、高速な応答を得ることができます。

　キャッシュ機能では、以下のような機能を提供しています。

■HTTPキャッシュ制御機能

　Webサーバから取得したデータをキャッシュします。

■FTPキャッシュ制御機能

　WebクライアントからFTP PROXY機能、または、FTPクライアントからFTP中継機能を使用して　anonymousFTPサーバから取得したデータをキャッシュします。キャッシュしたファイルは、FTP 　PROXY機能とFTP中継機能の間で互いに共有されます。

■キャッシュ総量の制限

　キャッシュ総量が、指定された値の90%を超えた場合は、自動的に70％以下になるまで、参照されてい

　ないものから順に削除します。

■キャッシュの自動削除

　指定した時間に、一定期間参照されていないデータや、キャッシュ採取されてから一定期間経過した　データを自動的に削除できます。

■データサイズによるキャッシュ採取の制御

　キャッシュを採取するデータの小サイズと大サイズを指定できます。

■データの有効性確認

　必要に応じてサーバに接続し、キャッシュデータの新性の確認やデータの再取得を行います。


■URL単位のキャッシュ制御

　接続先のURL単位にキャッシュの採取を行うかどうかを指定することができます。

■PUT/DELETE時のキャッシュ削除

　HTTPキャッシュ、FTPキャッシュともに、リクエストにPUTやDELETEメソッドが指定されていれば、

　キャッシュデータを削除します。

　これらの機能により、以下のようなことが実現できます。

■サーバの負荷軽減

■ネットワークトラフィックの抑制

■クライアントへの高速なレスポンス



11.6 Interstage Application Serverとの連携

マルチシステム


特定オブジェクトキュー

OLTPバッファ使用状況

InterstageTraffic

Director InterstageTraffic

Director

InterstageApplication

Server(ﾃﾞﾌｫﾙﾄｼｽﾃﾑ)


Server(ﾃﾞﾌｫﾙﾄｼｽﾃﾑ)


Server(拡張ｼｽﾃﾑ)


Server(拡張ｼｽﾃﾑ)



業務1ワークユニット




Application Server特有のリソースの使用

状況に応じた負荷分散複数のワークユニットを独立して監視

マルチシステム機能使用時の負荷分散

　Interstage Traffic Directorには、Interstage Application Serverと連携し、高度な負荷分散を実現

できます。

■負荷計測エージェントによるApplication Server特有リソースの使用状況に応じた負荷分散とワーク

　ユニット故障監視

　Interstage Application Serverの内部キュー数、獲得メモリ内の使用状況に応じた負荷分散に加え　て、Interstage Application Server特有リソースであるワークユニットの異常を検出する機能を提供し　ます。また、Interstage Application Server上にインストールされた負荷計測エージェントによって各　業務(ワークユニット)の故障を監視し、故障検出時はそのサーバ全体を負荷分散対象から切り離して、

　残りの正常に動作しているサーバだけに負荷分散を行うことができます。どのワークユニットを監視する　かは、すべてInterstage Application Serverのワークユニット定義で設定します。

■ マルチシステム機能使用時の負荷分散

　1サーバに複数Interstage Application Serverが動作するマルチシステム機能使用時に、負荷計測　エージェントをインストールすることで、Interstageの起動単位での負荷分散を可能とします。これによ

　り、サーバ能力のすべてを引き出す運用や、柔軟な負荷分散が可能となります。

■ 複数独立業務監視

　Interstage Application Server上の複数のワークユニットを独立して監視し、複数のワークユニットの　うち、どれか1つでも故障した場合には、該当サーバを切り離すことができます。これにより、単一サー　バ上で複数の業務を動作させる場合に、すべての業務について監視が可能となり、Interstage　Application Server全体の信頼性を向上できます。



11.7 アプリケーションサーバの活性増設


計測ｴｰｼﾞｪﾝﾄ

業務１業務１業務２

業務２OBJ1 OBJ2OBJ2


③組み込み③組み込み

④ 適な業務に振り分け

④ 適な業務に振り分け


ｻｰﾊﾞ

ｻｰﾊﾞ

ｻｰﾊﾞ

②活性増　設指示

②活性増　設指示

①新規サー　バを追加

①新規サー　バを追加

業務を停止せずにサーバを増設したい

活性保守に加えて、サーバの活性増設が可能

ｻｰﾊﾞ

　Interstage Traffic Directorでは、負荷分散対象サーバの活性増設が可能です。

これにより、分散対象サーバが故障した場合や、高負荷で分散対象サーバの増設が必要になった場合に、負荷分散動作を継続したまま、業務を停止させることなく分散対象サーバを増設できます。

　ただし、「URLベース負荷分散」、「HTTPヘッダ負荷分散」、「サイト間連携」などの使用時は、新規分

散対象サーバを追加した際に、既存の分散対象サーバの接続について切断されるなどの影響があり、活性増設できません。

第10章 interstage security directorの...

Documents