Служба EtherSensor ICAP является ICAP-сервером, предназначенным для получения сетевого трафика по протоколу ICAP от любых ICAP-клиентов в режиме REQMOD.
Протокол ICAP (Internet Content Adaptation Protocol) предназначен для работы только с протоколом HTTP и используется для контентной фильтрации и определения вредоносного содержимого (вирусы, spyware/malware).
В качестве клиента ICAP выступает система, через которую передается HTTP-трафик. Такой системой могут быть различные HTTP-прокси, поддерживающие ICAP (например, SQUID, Blue Coat Proxy SG, Cisco IronPort S, Webwasher). После получения данных от клиента некоторые ICAP-серверы выполняют их обработку и, если это необходимо, то и модификацию данных.
Затем данные возвращаются клиенту ICAP, и он их передает дальше серверу или клиенту в зависимости от того, в каком направлении они передавались.
Поскольку ICAP-сервер Microolap EtherSensor использует трафик, получаемый от ICAP-клиентов, только для анализа, трафик всегда возвращается ICAP-клиенту без изменений.
Архитектура системы при использовании протокола ICAP:
Рис.15. Схема взаимодействия службы EtherSensor ICAP и ICAP-клиента.
Некоторые клиенты ICAP используют расширения заголовков, что позволяет им передавать на ICAP-сервер информацию о пользователе, который авторизовался на прокси-сервере. Эта информация учитывается при дальнейшей обработке сообщений в EtherSensor.
Параметры командной строки
Служба Windows EtherSensor ICAP в ходе инсталляции Microolap EtherSensor устанавливается с автоматическим запуском. Однако, при необходимости процесс sensor_icap.exe можно запустить как приложение Windows со следующими параметрами командной строки:
/process
Запустить процесс sensor_icap.exe как обычный Windows Win32-процесс (возможно использование для отладки).
/service
Запустить как службу Windows.
/config
Сохранить конфигурацию службы по умолчанию.