http_proxy

HTTPプロキシの各種パラメータを設定できます。

コマンド

set http_proxy

構文

set http_proxy
add_via_header [on | off]
block_proxy_loop [on | off]
captive_portal_tlsv1_0 [on | off]
captive_portal_tlsv1_1 [on] [off]
captive_portal_x_frame_options [on | off]
lient_timeout <1-2147483647> [default]
connect_timeout <1-2147483647> [default]
core_dump [on | off]
disable_tls_url_categories [on | off]
disable_tls_url_categories
proxy_tlsv1_0 [on | off]
proxy_tlsv1_1 [on] [off]
relay_invalid_http_traffic [on | off]
response_timeout <1-2147483647> [default]
tlsciphers_server [cipher string]
tunnel_timeout <1-2147483647> [default]

オプション

add_via_header [on | off]

プロキシを通過するトラフィックの via ヘッダーを追加または削除します。via ヘッダーは、メッセージ転送の追跡、要求ループの回避、および要求チェーンと応答チェーンに沿った送信者のプロトコル機能の識別に使用されます。

block_proxy_loop [on | off]

プロキシループブロックの有効・無効を切り替えます。プロキシがそれ自体に要求を転送したり、他のプロキシから要求を受信したりすると、プロキシループが発生します。block_proxy_loop をオンにすると、ファイアウォールは、パケット内の重複した Via ヘッダーを検出した場合に、トラフィックを遮断します。

プロキシのループログをトレースするには、block_proxy_loop がオンになっていて、awarrenhttp サービスがデバッグモードになっていることを確認します。デフォルトではオフです。オンにするとパフォーマンスに影響するため、トラブルシューティングを実行する場合にのみオンにしてください。

プロキシループが検出されると、 ファイルに "Duplicate Via header values, proxy loop" というメッセージが表示されます。

captive_portal_tlsv1_0 [on | off]

TLS 1.0 を使用したキャプティブポータルへの接続を許可または拒否します。

TLS 1.0 は安全でないため、推奨しません。この通信方式は、特定のビジネスニーズに必要な場合にのみオンにしてください。

captive_portal_tlsv1_1 [on] [off]

TLS 1.1 を使用したキャプティブポータルへの接続を許可または拒否します。

TLS 1.1 は安全でないため、推奨しません。この通信方式は、特定のビジネスニーズに必要な場合にのみオンにしてください。

captive_portal_x_frame_options [on | off]

キャプティブポータルトラフィックの x-frame-options ヘッダーのオン/オフを切り替える x-frame-options (XFO) は、HTTP 応答ヘッダーであり、HTTP セキュリティヘッダーとも呼ばれ、2008 年から存在しています。2013 年に RFC 7034 として公式に公開されましたが、インターネット標準ではありません。このヘッダーは、サイトのコンテンツを処理するときの動作をブラウザに指示します。導入の主な理由は、フレーム内のページのレンダリングを許可しないことにより、クリックジャック攻撃に対する保護を提供することでした。詳細はソフォスのサポートデータベースの文章 RFC 7034 を参照してください。

client_timeout <1-2147483647> [default]

プロキシ経由で確立された接続を持つクライアントのタイムアウトを秒単位で設定します。使用可能な値は 1 ～ 2147483647 です。デフォルトは60です。

connect_timeout <1-2147483647> [default]

プロキシ経由で試行される接続のタイムアウト値を秒単位で設定します。使用可能な値は 1 ～ 2147483647 です。デフォルトは60です。

core_dump [on | off]

プロキシでエラーが発生してクラッシュした場合に coredump ファイルを作成するかどうかを指定します。coredump ファイルは、問題のトラブルシューティングに役立ちます。

disable_tls_url_categories [on | off]

SSL/TLS インスペクションルールのカテゴリルックアップをオンまたはオフにできます。disable_tls_url_categories がオンの場合、トラフィックは分類されません。

これは、どの SSL / TLS インスペクションルールを選択するかに影響します。SSL/TLS インスペクションルールの場合 、「カテゴリと Web サイト」が「任意」に設定されている場合にのみ一致します。たとえば、「カテゴリと Web サイト」に対して「任意」の値が指定されている SSL / TLS ルールがない場合に、 disable_tls_url_categories がオンの場合には、ルールは一致しません。デフォルトの動作が適用されます。

これらの設定は、トラフィックに適用されるすべての Web ポリシーにも影響します。TLS ハンドシェイク中に Web ポリシーが適用されると、トラフィックは分類されません。disable_tls_url_categories こういったシナリオでは、パケットの内容全体が表示されるため、 設定は HTTP トラフィックまたは復号化された HTTPS トラフィックの URL の分類には影響しません。

proxy_tlsv1_0 [on | off]

HTTPS が復号化される際に、プロキシ経由の TLS 1.0 を使用した接続を許可または拒否します。

TLS 1.0 は安全でないため、推奨しません。この通信方式は、特定のビジネスニーズに必要な場合にのみオンにしてください。

proxy_tlsv1_1 [on] [off]

HTTPS が復号化される際に、プロキシ経由の TLS 1.1 を使用した接続を許可または拒否します。

TLS 1.1 は安全でないため、推奨しません。この通信方式は、特定のビジネスニーズに必要な場合にのみオンにしてください。

relay_invalid_http_traffic [on | off]

HTTP ポート経由で送信された非 HTTP トラフィックをプロキシによってリレーするかドロップするかを決定します。アプリケーションによっては、HTTP (80 および 443) で通常使用されるポートを介してトラフィックを送信します。このような場合、プロキシはトラフィックを処理できず、問題が発生する可能性があります。その場合には、このトラフィックのプロキシをバイパスすることをお勧めします。

response_timeout <1-2147483647> [default]

プロキシが新しい接続からの応答を待機するタイムアウトを秒単位で設定します。このタイムアウトが経過すると、接続が終了します。使用可能な値は 1 ～ 2147483647 です。デフォルトは60です。

tlsciphers_server [cipher string]

キャプティブポータルとプロキシの両方でサポートされる暗号を設定します。暗号文字列形式で指定します。

例:

HIGH:!RC4:!MD5:!aNULL

tunnel_timeout <1-2147483647> [default]

プロキシが HTTPS 接続を設定する際に応答を待機するタイムアウト値を秒単位で設定します。使用可能な値は 1 ～ 2147483647 です。デフォルトは300です。