ビュー:
ICAP モードを使用する際の注意点として、以下3点がございます。
 

1. Web レピュテーションサービス向けの HTTP プロキシ先の設定

IWSS / IWSVA では、アクセス先 Web サイトを評価する機能として Web レピュテーションサービス(以下、WRS)を実装しております。
ICAP モードでも当該機能を利用可能ですが、WRS クエリ (HTTP) の HTTP プロキシ先として「IWSS / IWSVA を ICAP サーバとして使用している HTTP プロキシ (ICAP クライアント)」を使用すると、Web アクセス遅延の原因となる場合があります。詳細と対策は以下の通りです。


【詳細】
ICAP モードの場合、IWSS / IWSVA は ICAP サーバとして動作します。
こちらの場合、IWSS / IWSVA は、ICAP リクエストを受ける毎に WRS チェックを行います。
WRS チェックでは、トレンドマイクロ提供の WRS サーバへ HTTP で通信し、アクセス先 Web サイトの情報を取得します。

WRS サーバへの HTTP 通信は、 HTTP プロキシを介して行うことが可能です。
管理画面の [アップデート] > [接続設定] で、使用する HTTP プロキシを指定します。
ただし、当該 HTTP プロキシとして「IWSS / IWSVA を ICAPサーバとして使用している HTTP プロキシ (ICAP クライアント) 」を指定すると以下の事象が起こります。

IWSS / IWSVAは、ICAP リクエストを受ける毎に、「WRS サーバアクセス (HTTP) に対する ICAP リクエスト」も当該 HTTP プロキシから受けて処理することになります。
IWSS / IWSVA は、内部のホワイトリストで WRS サーバアクセスに対する WRS チェックはスキップします。
しかしながら、IWSS / IWSVA が受ける ICAP リクエスト数が2倍に増加することになります。
想定より多い ICAP リクエストを処理することで、Web アクセス遅延を引き起こす可能性があります。

【対策】
以下のいずれかのご検討をお願いします。

1.「IWSS / IWSVA を ICAPサーバとして使用している HTTP プロキシ (ICAP クライアント) 」にて、WRS サーバへのアクセスを ICAP 処理から除外する。

予め WRS クエリ (HTTP) を ICAP 処理から除外するよう設定します。
WRS クエリでは、以下の WRS サーバへ HTTP でアクセスします。
IWSS 6.5:  iwss65-jp.url.trendmicro.com
IWSVA 6.5: iwsva65-jp.url.trendmicro.com

2. WRS / アクティブアップデートは、HTTP プロキシを介さずに行うようにする。

管理画面の [アップデート] > [接続設定] にて、HTTP プロキシ設定を無効にします。
なお、本設定は検索エンジンやパターンファイルのアップデートでも使用されているため、当該アップデートも HTTP プロキシを介さず行われるようになります。 

2. 機能「サイズの大きいファイルの処理」の使用

IWSS / IWSVA では、サイズの大きいファイルに対する検索で特別な動作を適用することができます。管理画面の [HTTP] > [高度な脅威保護]  > [ポリシー]  の各ポリシーの [ウイルス/不正プログラム検索ルール] タブの、項目「サイズの大きいファイルの処理」の設定「配信前に検索」/ 「遅延検索」に該当いたします。但し、ICAP モードでこれらを使用する場合、連携する ICAP クライアント (HTTP プロキシサーバ) がICAPのヘッダ「X-TE: Trailers」をサポートしている必要があります。
 
【詳細】
IWSS / IWSVA は、ICAP クライアントから送られるリクエストヘッダに「X-TE: Trailers」が含まれているかを確認します。「X-TE: Trailers」が含まれていない場合は、ICAP クライアントが trickle (データ送信と並行してデータ受信を行うこと) 動作をサポートしていないとみなし、「配信前に検索」や「遅延検索」の処理は行いません。
この場合、IWSS / IWSVA は、ICAP クライアントから検索データを受信し、ウイルス検索が完了した後に ICAP クライアントへ検索結果を応答する動作になるため、大きなファイルをダウンロードする際など、データの受信や検索に時間がかかることで、クライアント端末でファイルのダウンロードが開始されるまで時間がかかる場合があります。

ICAP クライアントから送られるリクエストヘッダに「X-TE: Trailers」が含まれていない場合、HTTP 検索ログ (http.log.<date>.<count>) に以下のメッセージが記録されます。
--------------------------------------------------
WARNING: X-TE trailers not found, ICAP client does NOT support trickling for this type of transaction
--------------------------------------------------

なお、連携する ICAP クライアントが「X-TE: Trailers」をサポートしているかは、ご利用の ICAP クライアントのサポート窓口へご確認ください。
 
【対策】
以下の手順でヘッダ「X-TE: Trailers」のチェックを無効にすることが可能です。
これにより、ICAP クライアントからのリクエストに「X-TE: Trailers」が含まれてなくても特殊処理が動作するようになります。しかしながら、ICAP クライアントによっては正しく動作しない可能性がありますので、事前に十分な動作確認を実施することを強く推奨します。


  1. IWSS / IWSVA の Linux コンソールに root ユーザでログインします。
  2. 以下の設定ファイル開きます。
    # vi /etc/iscan/IWSSPIProtocolIcap.pni
  3. 以下のパラメータを no に変更します。(初期値: yes)
    require_xte_for_early_response=no
  4. 検索サービスを再起動します。
    # /etc/iscan/S99ISproxy stop
    # /etc/iscan/S99ISproxy start
 

3. ICAP モードでの同時接続数について

ICAP モードの場合、同時接続数が REQMOD リクエスト用と RESPMOD リクエスト用に以下の割合で分かれて設定されます。詳細はこちらの Q&A をご参照ください。
 
REQMOD:同時接続数の35%
RESPMOD:同時接続数の65%
 
キーワード: InterScan Web Security Appliance,InterScan Web Security Suite,InterScan Web Security Virtual Appliance