OTP/SSLクライアント認証&フォワードプロキシやリバースプロキシ
![](../../../images2/b870-bi-web-station-1.png)
Webサイトへのアクセス時の多要素認証(SSLクライアント認証やワンタイムパスワード認証)および、多要素認証後にフォワードプロキシやリバースプロキシ経由で安全にアクセスさせることの出来るプロキシ・アプライアンスです。
![](img2/bi-web-station-1.png)
●Private CA機能
●SSLクライアント認証
●ワンタイムパスワード認証
●フォワードプロキシやリバースプロキシ機能
●インターネットサーバー(Mail/Web/DNS/ftp)機能
までを1台のサーバーで運用出来ます。
![](img2/pb-vm-3.png)
![](img2/brauza-1.png)
アクセスに際してVPNやモバイル端末向けの閉域網などは不要です。ブラウザのみでアクセス出来ます。
![](img2/pc-mobile-web-1.png)
●フォワードプロキシやリバースプロキでWebアクセスを強化したい(多要素認証)
●曜日や時間帯でのアクセスコントロールを設定したい
●ユーザーには、ブラウザのみで利用させたい
●サーバーは自社管理で運用したい
●サーバーのランニングコストを抑えたい(1台で運用)
●ひとり情シスで運用したい(低コスト)
SSLクライアント認証対応のWebサイトを構築&運用出来ます。
SSLクライアント証明書の発行・失効やSSLクライアント認証の機能
![](img2/ca-ssl-allinone1.png)
有効な場合 アクセス 〇 無効な場合 アクセス ✕
![](img2/ssl-2.png)
有効なSSLクライアント証明書を有している場合でも、Webサイト毎に各種のアクセスコントロールが設定出来ます
失効リスト(CRL)に関わらず、ただちにWebへのアクセス禁止を設定できます
SSLクライアント証明書を失効させることなく、Webへのアクセスを禁止できます
●組織や部門でのアクセス制限
●曜日や時間帯でのアクセス制限
●特定ユーザーでのアクセス制限
●端末を紛失したので、ただちにAさんのSSLクライアント証明書でのアクセスを禁止
![](img2/ssl-access-3.png)
ワンタイムパスワード認証対応のWeb サイトを構築&運用出来ます。
ワンタイムパスワードは、毎回異なる「使い捨てパスワード」で認証を行ないます。
出先などからWebサイトに安全にアクセスさせることが可能です。
![](img2/otp-02.png)
スマートフォン / モバイル端末 / PCなどで、ワンタイムパスワードを発行、表示させる汎用的な無償のソフトウエアトークンが利用できます。
ハードウエアトークンに比べて、電池などの耐久性や導入費用などを抑えられるメリットがあります。
![](img2/otp-21.png)
●Google Authenticator ( iOS/Android対応 )
●WinAuth ( Windows対応 )
●Authy ( iOS/Android/Windows/Mac/Linux対応 )
●IIJ SmartKey ( iOS/Android対応 )
などが使用出来ます。
ユーザーはQRコードなどから共通鍵を、自身の利用する端末へ簡単に登録が出来ます。
![](img2/otp-32.png)
●複数のリバース先を設定出来ます
●プロキシのアクセスにOTP認証やSSLクライアント認証を設定出来ます
●リバース先のポート(http/https/ポート番号)を指定出来ます
●終端までSSL通信での運用が可能です
●フォワード・リバースプロキシーにLet's Encryptも利用出来ます
![](img2/reverse-proxy-1.png)
ワンタイムパスワード認証&SSLクライアント認証でのリバースプロキシの構成
![](img2/webstation-4.png)
1)ワンタイムパスワードを表示させる
2)SSLクライアント認証
3)ワンタイムパスワードを入力
4)認証後にフォワード・リバースプロキシ先のターゲットのWebが表示
![](img2/otp-ca-login-1-1.png)
SSL VPN機器と連携して、ブラウザからSSLクライアント認証を利用してセキュアにアクセスさせることが出来ます。
![](../ca/img2/Sonic-SSL-VPN-4.png)
運用例
●SSL-VPNへアクセス時のSSLクライアント端末認証
●SSL-VPN経由で社内の RDP Sever へアクセス
●SSL-VPN経由で社内の Web Server へアクセス
●SSL-VPN経由で社内の File Server へアクセス
【6】 冗長構成
冗長構成時には
・Private-CAと認証&フォワードプロキシやリバースプロキシサーバー
を分離します
認証&フォワード・リバースプロキシサーバーはMaster-Slaveで同期を行い、Active-Active構成で運用します
認証&フォワードやリバースプロキシサーバーで同期できるデータは
・フォワード/リバースプロキシの設定データ
・SSLサーバー証明書
・認証データ
![](img2/webstation-sync-3.png)
パワーオンですぐに運用開始
●クラウドや仮想環境に対応のアプライアンス・サーバーとして提供●SaaSとは異なり、自社管理で任意の場所で運用出来ます
●GUIから操作できる製品です
●GUIでの設定はもちろん、SSH/Telnetでのアクセスにも対応
●CentOS / RedHat 7.x に対応
●サードパーティソフトのインストールやサーバーのカスタマイズが可能です
![](img2/cloud-2.png)
アプリケーションや認証など
![](img2/arrow-finger.gif)
![](img2/arrow-finger.gif)
![](img2/arrow-finger.gif)
![](img2/arrow-finger.gif)
提供形態
VMware ESXi / Hyper-Vに対応の仮想アプライアンスとして提供
仮想基盤にインポートするだけで、すぐに運用が開始できます
![](img2/pb-vm-3.png)
AWSやAzure、FUJITSU Cloud Service for OSS(富士通)
Enterprise Cloud (NTT communications)、ALTUS (GMOクラウド)、VPS他
![](img2/cloud-2.png)
ハードウエア・アプライアインスの場合には、バックアップ(オプション)を提供しています
![](img2/arrow-finger.gif)
各種情報
アプリケーション
Powered BLUE Web Station 対応のフリープラグイン
![](img2/arrow-finger.gif)
![](img2/arrow-finger.gif)
![](img2/arrow-finger.gif)
![](img2/arrow-finger.gif)