ICAPクライアントデータトリッキングパラメータの設定

説明

ペイシェンスページは、オブジェクトのスキャンが比較的短時間で行われる場合に、ユーザをなだめるためのソリューションです。しかし、比較的大きなオブジェクトをスキャンしたり、帯域の狭いパイプでオブジェクトをスキャンしたり、サーバに高い負荷がかかると、接続タイムアウトが発生するため、ユーザの体験が阻害される可能性があります。このようなタイムアウトを防ぐために、データのトリクルリングを発生させることができます。データ・トリッキングでは、スキャンの最初か最後のほうに、非常に遅い速度でデータがクライアントに送信されます。

スタートモードからのトリクル

Trickle from Startモードでは、ICAPクライアント閉じた セキュリティゲートウェイまたはクラスタのICAPクライアント機能は、ICAPサーバのレスポンス(RFC 3507参照)と対話し、そのコンテンツを変更し、一致するHTTP接続をブロックすることを可能にします。はHTTPレスポンスボディの冒頭部分を少量だけバッファリングします。ICAPサーバ閉じた セキュリティゲートウェイまたはクラスタのICAPサーバ機能は、ICAPクライアントのリクエストに対応し、検査用のファイルを送信して、その結果を返すことができます。はHTTPレスポンスをスキャンし続けるので、ICAPクライアントはHTTPクライアントに対して1秒間に1バイトを許可します。ICAPサーバがスキャンを完了した後、オブジェクトがクリーン(HTTPレスポンスの修正が不要)と判断された場合、ICAPクライアントは残りのオブジェクトのバイトをHTTPクライアントに、接続で許可された最高の速度で送信します。オブジェクトが悪意あるものと判断された場合、ICAPクライアントは接続を終了し、残りのHTTPレスポンスオブジェクトも終了させます。HTTPクライアントはウイルススキャンの結果を待つ間、少量のデータしか受信しないため、「スタートからのトリクリング」は、より安全なデータトリクリングオプションです。

エンドモードでのトリクル

Trickle at Endモードでは、ICAPクライアントはHTTPレスポンスをHTTPクライアントに、最後の16KBのデータを除いて、接続で許可された最高の速度で送信します。ICAPサーバがコンテンツスキャンを実行すると、ICAPクライアントはHTTPクライアントに1秒間に1バイトの送信を許可します。ICAPサーバがスキャンを完了した後、オブジェクトがクリーン(HTTPレスポンスの修正が不要)と判断された場合、ICAPクライアントは残りのオブジェクトのバイトをHTTPクライアントに、接続で許可された最高の速度で送信します。この方式は、Trickle at Startよりもユーザフレンドリーです。これは、オブジェクトの99%がダウンロードされるのと1%がダウンロードされるのとでは、ユーザの方が我慢する傾向があり、接続再開を実行する可能性が低いからです。しかし、この方法は、ICAPのスキャン結果よりも先にオブジェクトの大部分が配信されるため、ネットワーク管理者は安全性の低い方法と認識する可能性があります。

Check Point Security Gateway におけるデータのトリッキングに関する注:。

  • データトリクリング中は、真の意味でのデータ修正(真の意味でのコンテンツ適応)は行われない。

    Trickling at the End モードでは、データの変更は一切ありません。

  • HTTPメッセージにContent-length ヘッダーがない場合、Data Trickling (Trickling from the StartTrickling at the End の両方のモード) は動作しません。

  • Trickling at the End モードでは、Check Point Security Gateway は 204 ステータス・コード(HTTP ヘッダが「Allow: 204 」、HTTP レスポンスが「No change / Unmodified 」)をサポートします。

  • ICAPセッションの適用タイムアウト(:icap_servers ()-:timeout)は、ユーザがicap-service の要求に従って定義する必要があり、その後、fail-action が続きます。

    アプリケーティブタイムアウトは、Trickling from the Start モードの最大バッファサイズを決定する要因にもなっています。

ICAPクライアントデータのトリッキングを設定する

ICAP Client Data Tricklingは、Security Gatewayの特定のカーネルパラメータで設定します。

一般的な使用方法については、R81.10 Quantum Security Gateway Guide > ChapterWorking with Kernel Parameters on Security Gateway をご覧ください。

項目

説明

名前

icap_blade_trickling_bytes_ps

説明

Trickling from the Start が動作している間、元の HTTP 送信先に何バイト/秒送信するかを指定します。

HTTPクライアントは、アップロードとダウンロードの進行が非常に遅いことを確認します。

タイプ

整数

デフォルト値

10

設定値は、ICAP接続のバイトレートよりはるかに小さい値でなければならない。

ICAPサーバが600キロバイト程度のファイルを1分間スキャンした場合、ICAP接続のバイトレートは1秒間に10キロバイト程度となります。したがって、設定値は10,000バイト/秒よりはるかに小さい値でなければなりません。

項目

説明

名前

icap_blade_trickling_interval

説明

Trickling from the Start が動作している間、元の HTTP の宛先にバイトを送信する間隔を秒単位で指定します。

タイプ

整数

デフォルト値

1

設定値は1以上でなければならない。

値2は、ICAPクライアントが元のHTTP宛先に2秒に1回だけバイトを送信することを意味します。

項目

説明

名前

icap_blade_trickling_threshold_mb

説明

Content-Length の閾値をメガバイト単位で指定する。元のHTTP接続のHTTPContent-Length がこの閾値より大きい場合のみ、Trickling from the Start が有効になります。

タイプ

整数

デフォルト値

0

値1の意味。

  • ICAPクライアントは、1メガバイトを超えるファイルのみを元のHTTPの宛先に送信します。

  • ICAPクライアントは、ICAPサーバから評決を取得する前に他のすべてのファイルを送信しない。

項目

説明

名前

icap_blade_trickling_kbytes_from_end

説明

Trickling at the End モード中、ICAP クライアントが ICAP サーバから評決を取得するまでに、何キロバイトを元の HTTP 送信先に送信しないかを指定します。

タイプ

整数

デフォルト値

33

値16を意味する。

  • ICAPクライアントは、ICAPサーバから評決を得る前に、ファイルの最後の16キロバイトだけを送信することはありません。

  • ICAPクライアントは、それ以外のファイルをHTTP接続のバイトレートで元のHTTPの宛先に送信します。