Windows用プロキシサーバー
Windows Proxy Server
WinGate プロキシサーバー

ケーススタディ

WinGate は、フレキシブルな機能やポリシー設定により、ユーザーへのアクセス制限など、お客様のご要望にお応えいたします。
ここでは、WinGateで設定可能な事例などをご紹介しております。
ここで、ご紹介しております以外にも、WinGateでは機能やポリシーの組み合わせにより、様々な構成に対応することができます。
試用版をご利用いただき、WinGateの機能をお試しください。また、多く使用される設定の一部は、ユーザーガイドにてご紹介をしております。

  1. ネットワーク内のプロキシサーバーとして、Active Directoryと連携
  2. インターネット ゲートウェイとし構成し、クライアント接続を制御
  3. 上位プロキシサーバー使用の振り分け
  4. クライアントマシンへの接続制限(ポリシー事例)

ご検討をいただいております構成や制限事項に関してご不明な点などがございましたら弊社までご連絡ください。(ご紹介しております内容の動作についてお約束できるものではございません。)

事例1

ネットワーク内のプロキシサーバーとして、Active Directoryと連携

構成条件

  • Active Directoryユーザーデーターベースと連携し、Active DirectoryのユーザーのみWeb参照を可能とする
  • WinGateは、LAN内のプロキシサーバーとして動作し、DNS・DHCPサーバーはLAN内に構成されている
  • すべてのクライアントはWinGateのWWW Proxyを経由してブラウジングをおこなう

利点

  • Active Directoryユーザー以外をWebアクセスさせないことができます。
  • WinGateのログには、Active Directoryユーザー名が記録されます。
  • HTTPキャッシュの利用によるネットワークリソースの節約が期待できます。

WinGateでの設定概要

  • WinGateサーバーPCは、ネットワークカードを1枚だけ持ち、Active Directoryユーザーを利用するために、Active Directoryのメンバーとして構成される。
  • WinGateでは、Active Directoryユーザーデーターベースを使用する構成として、単にWebプロキシとして動作するため、Extended Networkingはインストールされない。
  • WinGateのポリシー機能により、ユーザー認証を必要とする設定を行う。これによりWinGateは、Active Directoryのユーザーを使用して認証をおこないActive Directoryユーザー以外のWebプロキシ利用を拒否します。

ネットワークでの注意事項

  • Active DirectoryによりプロキシサーバーにWinGateが指定されるように構成いただくことを推奨いたします。(手動でブラウザにプロキシサーバーを指定することでもご利用いただけます。)
  • WinGateがインストールされているPCはActive Directoryのメンバーである必要があります。
  • すべてのクライアントがブラウジングする際にWinGateのWWW Proxyを経由させるため、LAN内のインターネットゲートウェイでクライアントPCが直接ゲートウェイを経由してWeb参照できない構成が必要となります。

拡張性

  • 認証したユーザーをさらにユーザー毎、グループ毎に制限することもできます。グループでの利用時間制限やユーザーにアクセスを禁止するURLの制限を適用するなどの設定も可能となります。

事例2

インターネット ゲートウェイとし構成し、クライアント接続を制御

構成条件

  • WinGateをインターネットゲートウェイとして構成し、すべてのインターネット接続はWinGateを経由して行われる。
  • ユーザーログを取得し、ユーザーのWeb参照の履歴を保存する。

利点

  • WinGateがインターネットゲートウェイとなるため、インターネットアクセスの集中管理が可能です。
  • WinGate Managementにより、ユーザーの利用状況がリアルタイムに把握することができます。
  • Extended NetworkingのNAT機能を使用することにより、クライアントPCはプロキシ設定を行うことなくWinGateのHTTPプロキシなどを使用することができます。(これはクライアントPCにプロキシ接続を意識することなく、WinGateのWWWプロキシ機能を使用させることができます。)

WinGateでの設定概要

  • WinGateサーバーPCは、ネットワークカードを2枚持ち、インターネット接続とLANの間に構成されます。
  • WinGateのExtended NetworkingをインストールしNAT機能を使用します。
  • WinGateのDNS、DHCPサービスを使用し、ネットワーク内のDNS、DHCPサーバーとしてWinGateが動作します。WinGateのDHCPサービスでは、デフォルトゲートウェイ、DNSサーバーとして自動的にWinGate PCが指定されます。
  • WWWプロキシのトランスペアレント機能により、NAT接続のポート80番を使用する接続は、WWWプロキシへインターセプトされます。これによりWWWプロキシの機能(HTTPキャッシュなど)を使用できます。

ネットワークでの注意事項

  • LAN内に他のDHCPサーバーが存在する場合は停止いただく必要があります。
  • ログにユーザー名を記録する場合は、WinGateでユーザー認証、またはユーザー信任を設定する必要があります。
  • Active Directoryユーザーデーターベースを使用する場合、WinGateがインストールされているPCはActive Directoryのメンバーである必要があります。

拡張性

  • トランスペアレント機能により、WWWプロキシのポリシー、プラグインを適用することができます。(ユーザー認証、アクセス制限、時間制限、IPアドレス制限、アンチウイルスプラグインなど)
  • Extended NetworkingによりWinGateサーバーへ接続を許可しないポートを設定することができます。

事例3

上位プロキシサーバー使用の振り分け

構成条件

  • LANの上位にある本社に他のプロキシサーバーがあり、LAN内のクライアントは、上位プロキシサーバーを使用する必要がある。
  • ファイアウィールの配下は各拠点毎にプロキシサーバーを配置する必要があり、そのプロキシサーバーでは、ログ取得を行う必要がある。
  • ファイアウォールと拠点の間には、ローカルWebサーバー(グループウェアなど)があり、それらは上位プロキシを使用せずに参照する必要がある。

利点

  • 上位プロキシサーバーの利用をWinGateによりコントロールすることができます。
  • WinGate Managementにより、ユーザーの利用状況がリアルタイムに把握することができます。
  • WinGate Managementのリモートアクセス機能により、本社より拠点のWinGateをリモート管理することができます。

WinGateでの設定概要

  • WinGateを拠点のLAN内に構成する場合は、WinGateマシンは、NIC 1枚の構成となります。
  • DNS、DHCPサーバーは、既存の環境を使用する。
  • WinGateのWWW Proxy Serverの設定により、上位プロキシサーバーを指定して多段プロキシ構成を行う。
  • 上位プロキシサーバーを使用しないローカルサイトについては、ローカルサイトがWinGateサーバーマシンからみてローカルネットワークに位置する場合は、WWW Proxy Serverの設定によりローカルサイトは上位プロキシを使用しない設定を行う。(PCのルーティングテーブル情報に依存)ローカルサイトがWinGateサーバーマシンからみてローカルサイトと判断出来ない場合は、ポリシー設定によりホストを指定して上位プロキシの利用を振り分けする。(WinGate Enterprise版が必要)

ネットワークでの注意事項

  • WinGateのDHCPを使用しない場合、ログにはマシン名の情報は記録されません。
  • ログにユーザー名を記録する場合は、WinGateでユーザー認証、またはユーザー信任を設定する必要があります。
  • Active Directoryユーザーデーターベースを使用する場合、WinGateがインストールされているPCはActive Directoryのメンバーである必要があります。
  • すべてのクライアントがブラウジングする際にWinGateのWWW Proxyを経由させるため、LAN内のインターネットゲートウェイでクライアントPCが直接ゲートウェイを経由してWeb参照できない構成が必要となります。

拡張性

  • 複数の上位プロキシが存在する場合でも、WinGateのポリシー機能によりホスト指定による振り分けが可能です。

事例4

クライアントマシンへの接続制限(ポリシー事例)

クライアントマシンへの接続制限(ポリシー事例)

WinGate7の柔軟なポリシー機能は、クライアントPCへの様々な制限や制御を可能にします。
WinGate7で構成例が多い制限設定は以下のようなものがあります。
これらのポリシーは、内容によっては複合的に組み合わせることやユーザー認証、通知などとの連携も可能となります。例えばユーザー AであればURLアクセス制限をおこない、更に時間制限を適用し、かつ時間外利用のリクエストがあった場合に管理者へメールで通知というようなポリシーも可能です。

  • URLによるアクセス制限
    企業や組織では、アクセスを許可したくないWebサイトが存在する場合があります。
    WinGateは、データーベース型のWebフィルタリング機能は持っていませんが、ポリシーでは個々に接続を禁止するサイトやURLを設定することができます。
    アクセスを必ず禁止するサイトを設定することにより、企業や組織として接続を許可しないサイトを設定することができます。この禁止するサイトは、複数のサイトを設定することができます。
  • IPアドレスによるアクセス制限
    組織内の許可されたPCのみがWinGateのHTTPプロキシサーバーを使用できるようにする方法の一つがクライアントのIPアドレスによるアクセス制限アドレスによるアクセス制限です。
    WinGate内で登録されたクライアントIPアドレスのみがWinGateのHTTPプロキシを使用できる設定とすることにより、不要なPCがWinGateのHTTPプロキシを介してWebアクセスすることを禁止します。
    ネットワーク構成によりWinGate PC以外がWebアクセスの許可を持たない場合やWinGate PCがインターネットゲートウェイとして構成されている場合には、許可されたIPアドレス以外はWebアクセスを行えない事となります。
    逆に許可しないIPアドレスを設定することも可能ですので、WinGateのHTTPプロキシの使用を禁止するIPアドレスを設定することもできます。
  • 時刻による禁止
    組織で業務時間以外や曜日によってWinGateのHTTPプロキシの使用を制限することが可能となります。
    管理者が把握できない時間帯などのWebアクセスを禁止したい場合に有効です。
  • ユーザーやIPアドレスにより使用する上位プロキシを変更
    ネットワーク内に他のフィルタリングプロキシがある場合などに、WinGateのポリシーでは、ユーザー(要ユーザー認証)やクライアントIPを判断して接続先の上位プロキシを振り分けることができます。
    これは管理者はフィルタリングを使用せず、一般ユーザーが上位プロキシのフィルタリングを使用する必要がある場合などに有効です。