たくさんのユーザからのリクエストを一旦受け取り、Webサーバに中継する。
メリット
・複数のWebサーバでサービスを稼働させることで負荷分散できる。
・サーバのコンテンツのうち、変化しない部分をキャッシュしておくことで、Webサーバの負荷低減が出来る。
・暗号化通信をリバースプロキシサーバが行うことで、Webサーバの負荷低減が出来る。
DMZ1にリバースプロキシサーバを配置して公開、DMZ2にWebサーバを配置することで、外部から直接DMZ2のWebサーバにアクセスできないため、コンテンツの改ざん防止が期待できる。
DMZは日本語訳すると、非武装地帯というカッコいい名前になる。
DeMilitarized Zoneから来ているらしい。
内部ネットワークからインターネット接続をする場合に、通信を中継するサーバ
メリット例
・キャッシュを用いることで高速なアクセスが可能
・通信を遮断出来るので安全
設定方法
・手動設定
・自動設定(DHCPサーバまたはDNSサーバ側で設定されている前提)
WPADプロトコルに対応していることが必要
・設定ファイルから自動設定(PAC)
Javascriptで書かれた設定ファイル(pacファイル)を読み取って自動で設定
HTTPには認証のためのプロトコルが用意されている。
ベーシック認証は、パスワード秘匿されないので盗聴が可能(SSL/TLSを使用している場合は安全らしい)
ダイジェスト認証は、秘匿化のためにハッシュを用いる。
1:サーバ側でランダムな値をつくる。
2:画面側でランダムな値を受信する。
3:画面側でユーザがIDとパスワードを入力すると、ランダムな値と合わせてハッシュ化される。
4:3でハッシュ化した情報を、サーバ側でも同様に作成して、受信した情報と比較して認証を行う。
最初に HTTPS でアクセスして Strict-Transport-Security ヘッダーが返されると、
ブラウザはこの情報を記録して、以降は HTTP を使用してサイトへアクセスすると、
自動的に HTTPS を使用するようになる。
1年間期限でHTTPSを使用する設定(サブドメインにも適用される)
Strict-Transport-Security: max-age=31536000; includeSubDomains
さらに、preloadオプションを付与することで、
初回アクセス時でもHTTPS通信を行うことが可能だが、
仕様書では定義されていない非公式なオプションらしい。
TCPは、透過的なデータ転送を行うためにコネクションを確立し、通信網の品質の差を保管する。
コネクションには、SYN/ACKの仕組みを使う。
「透過的」って何?
透過的:トランスペアレント
送信データの内容を書き換えることなく、そのままの形で相手に送られる通信のこと。
ユーザデータにTCPやIPなどのヘッダを付けて、ヘッダを用いてうまいこと通信する。
TCPとUDPの両方のヘッダに共通して存在するのは、送信元ポート番号、送信先ポート番号
UDPは、DNS、SNMP、NTP、DHCP、RIPなどで使われている。
3WAYハンドシェイクでコネクションを確定させて通信を行う。
確認応答番号は次のデータの番号をいれて返す。
SYN、FINの場合はデータを含んでいなくてもシーケンス番号が1バイト分カウントされる。
ウィンドウ制御
1パケットずつACKを行っていると遅いので、まとめて送れるようにした。
フロー制御
受信側が処理できるウィンドウサイズを通知することで、送信するデータ量を調節する。
輻輳制御(通信回線の混雑解消)
ウィンドウサイズを1MSSに設定して徐々に大きくし、タイムアウトが発生したらまた小さくするなど。
これをスロースタートというらしい。
まだまだ疑問点が多過ぎる。
Virtual Router Redundancy Protocol
Reverse Address Resolution Protocol
Rapid Spanning Tree Protocol
Real Time Streaming Protocol
Redundancy:冗長性
AS間を接続するときに使われるプロトコル。
通過するAS数が少ない経路を選ぶ(経路ベクトル型)プロトコル
EBGP(AS間)は、対抗のルータとのやりとりを行う
IBGP(AS内)は、基本的に全てのルータ間でやりとりを行う。※
※ルートリフレクション:ルータをクラスタリングし、ルートリフレクタとクライアントに分ける。
ルートリフレクタは、クライアントが発行したアップデート情報を全て受信し、
それを他のクライアントに配布することでIBGPセッション数を減らす仕組みがある。
