ICAPクライアント機能

セキュリティゲートウェイ Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。またはクラスタ 冗長構成で連携する2つ以上のセキュリティゲートウェイ（ハイアベイラビリティまたは負荷分散）をクラスタ化します。のICAPクライアント セキュリティゲートウェイまたはクラスタのICAPクライアント機能は、ICAPサーバのレスポンス（RFC 3507参照）と対話し、そのコンテンツを変更し、一致するHTTP接続をブロックすることを可能にします。機能は、ICAPサーバ セキュリティゲートウェイまたはクラスタのICAPサーバ機能は、ICAPクライアントのリクエストに対応し、検査用のファイルを送信して、その結果を返すことができます。のレスポンス（RFC 3507参照）と対話し、そのコンテンツを変更し、一致するHTTP接続をブロック トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。することを可能にします。

さらに、ICAPサーバの決定を、Security Gatewayまたはクラスタの強制ロジックに追加できます（「ICAPレスポンスヘッダを追加設定し、エンフォースメントを行う」を参照）。

チェック・ポイントのセキュリティ・ゲートウェイやクラスタに搭載されている ICAP クライアント機能を使用すると、ネットワーク・トポロジーを変更することなくサードパーティ製デバイスと連携することができます。

Check Point Security Gateway またはクラスタに搭載されている ICAP クライアント機能は、これらに対応しています。

• HTTPリクエストの変更（ICAP REQMOD）。

• HTTPレスポンスモディフィケーション（ICAP RESPMOD）。

• HTTPSトラフィックで、ICAPサーバに送信することができます。

  重要： セキュリティゲートウェイまたはクラスタで HTTPS インスペクションを有効化し、構成する必要があります。 ICAPクライアントと設定されたICAPサーバとの通信は、クリア（暗号化されていない）トラフィックで行われます。

• 複数のICAPサーバ。

  ICAPクライアントは、複数のICAPサーバに同時にHTTPメッセージを送信することができます。

• ユーザ定義のICAPrequest ヘッダー拡張機能（X-Headers）。

  • X-Client-IP,X-Server-IP (宛先ホスト用), およびX-Authenticated-User (ICAPクライアントがそれを知っている場合)。

  • ユーザ定義のICAPresponse ヘッダー拡張機能を使用するには、明示的に設定する必要があります（「ICAPレスポンスヘッダを追加設定し、エンフォースメントを行う」参照）。

  • Draft RFC - ICAP Extensionsを参照してください。

• データトリッキングモード。

• UserCheck Security Gatewayやクラスタ、エンドポイントクライアントの機能で、データ損失やセキュリティ侵害の危険性がある場合に、ユーザに警告を与える機能。これにより、ユーザはセキュリティ事故の防止や、組織のセキュリティポリシーを知ることができます。

この ICAP クライアントの機能は、社内の ICAP サーバおよびチェック・ポイントの ICAP サーバを対象にテストされました。

注: Fail-Openのフルサポートはありません。HTTP / HTTPSのリクエストまたはレスポンスがボディ付きで、ICAPサーバサービスが1つだけの場合、フェイルモードは常にフェイルクローズとなります。 Check Point Security Gateway の ICAP クライアントは、Trickling From The End モードで Fail-Open をサポートします（「ICAPクライアントデータトリッキングパラメータの設定」を参照）。 IPv6トラフィックを検査するには セキュリティゲートウェイまたはクラスタメンバでIPv6サポートを有効化する。 すべてのICAPサーバにIPv6アドレスを設定します。