Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

URL フィルタリングの概要

URL フィルタリングを使用して、ユーザーがアクセスできない Web コンテンツを決定できます。

この機能のコンポーネントには、次のものがあります。

  • URL フィルター・データベース・ファイル

  • 1 つ以上のテンプレートの設定(プロファイルごとに最大 8 つまで)

  • URL フィルター・プラグイン (jservices-urlf)

  • URL フィルタリングデーモン (url-filterd)

URL フィルター データベース ファイルはルーティングエンジンに保存され、許可されない URL がすべて含まれています。設定された テンプレート は、監視するトラフィック、一致させる基準、および実行するアクションを定義します。 プロファイル内の URL フィルタ データベース ファイルのテンプレートと場所を設定します。

Junos OS リリース 17.2R2 および 17.4R1 以降、適応型サービスでは、URL フィルター データベース内の許可されていないドメイン名に属する埋め込み IP アドレス(例:http:/10.1.1.1)を含む HTTP トラフィックのフィルタリングを無効にすることができます。Junos OS リリース 19.3R2 以降、これと同じ機能が MX240、MX480、MX960 の次世代サービスでサポートされています。

URLフィルタリング機能を有効にするには、[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]階層レベルでjservices-urlfpackage-nameとして設定する必要があります。有効にすると、jservices-urlfはURLフィルタリングプロファイルを保持し、フィルタリングされるすべてのトラフィック、フィルタリング基準、およびフィルタリングされたトラフィックに対して実行されるアクションを受信します。

手記:

MX-SPC3は、[edit chassis fpc slot-number pic pic-number adaptive-services service-package extension-provider]階層レベルのpackage-nameとしてjservices-urlfを明示的に必要としません。これはデフォルトでサポートされています。

同じくルーティングエンジンに常駐する URL フィルタリングデーモン(url-filterd)は、URL フィルタデータベース内の各 URL のドメイン名を IPv4 および IPv6 アドレスのリストに解決します。次に、jservices-urlfを実行するサービスPICにIPアドレスのリストをダウンロードします。次に、url-filterdは動的ファイアウォールプロセス(dfwd)と対話して、パケット転送エンジンにフィルターをインストールし、選択されたトラフィックをパケット転送エンジンからサービスPICにパントします。

新しいHTTPおよびHTTPSトラフィックがルーターに到達すると、URLフィルタデータベースファイルの情報に基づいて決定が行われます。フィルタリングルールがチェックされ、ルーターがトラフィックを受け入れて渡すか、トラフィックをブロックします。トラフィックがブロックされると、次のいずれかの設定されたアクションが実行されます。

  • HTTP リダイレクトがユーザーに送信されます。

  • カスタム ページがユーザーに送信されます。

  • HTTP ステータス コードがユーザーに送信されます。

  • TCP リセットが送信されます。

受け入れることもオプションです。この場合、トラフィックはブロックされません。

図 1 は、HTTP セッションの URL フィルタリングを示しています。

図 1: HTTP セッション Packet Flow-URL Filtering for HTTP Sessions のパケット フロー URL フィルタリング

図 2 は、HTTPS セッションの URL フィルタリングを示しています。

図 2: HTTPS セッションのパケット フロー URL フィルタリング Packet Flow-URL Filtering for HTTPS Sessions

URLフィルタリング機能の詳細については、以下のセクションを参照してください。

URL フィルタ データベース ファイル

URL フィルター データベース ファイルには、URL と IP アドレスのエントリーが含まれています。 表 1 に示す形式で URL フィルター データベース ファイルを作成し、ルーティングエンジンの /var/db/url-filterd ディレクトリに配置します。

表 1:URL フィルタ データベース ファイル形式

エントリ

形容

FQDN

完全修飾ドメイン名。

www.badword.com/jjj/bad.jpg

URL (英語)

レイヤー 7 プロトコルを使用しない完全な文字列 URL。

www.srch.com/*悪い言葉*/

www.srch.com

www.srch.com/xyz

www.srch.com/xyz*

IPv4アドレス

特定の IPv4 アドレスに対する HTTP リクエスト。

10.1.1.199

IPv6 アドレス

特定の IPv6 アドレスに対する HTTP リクエスト。

1::1

プロファイルでカスタム URL フィルター データベースを指定する必要があります。必要に応じて、任意のテンプレートにカスタムURLフィルタデータベースファイルを割り当てることもでき、そのデータベースがプロファイルレベルで設定されたデータベースよりも優先されます。

URL フィルタ データベース ファイルの内容を変更する場合は、 request services (url-filter | web-filter) update コマンドを使用します。URL フィルター データベース ファイルの保守に役立つその他のコマンドには、次のものがあります。

  • request services (url-filter | web-filter) delete

  • request services (url-filter | web-filter) force

  • request services (url-filter | web-filter) validate

URL フィルター プロファイルの注意事項

URL フィルター プロファイルは、1 つから 8 つのテンプレートで構成されています。各テンプレートは、設定された論理インターフェイスのセットで構成され、URL フィルタリングと 1 つ以上の条件についてトラフィックが監視されます。

条件は、一致条件が満たされた場合に実行されるアクションを含む一連の一致条件です。URL フィルタリングを設定するには、少なくとも 1 つの条件を設定する必要があります。各条件は、from ステートメントと then ステートメントで構成され、fromステートメントは、監視対象の送信元 IP プレフィックスと宛先ポートを定義します。then ステートメントは、取るべきアクションを指定します。fromステートメントを省略すると、任意の送信元IPプレフィックスと任意の宛先ポートが一致すると見なされます。ただし、テンプレートごとまたはプロファイルごとに省略できるfromステートメントは 1 つだけです。

from ステートメントを使用しない複数項の設定例

テンプレートごとに複数の from ステートメントを省略すると、コミット時に次のエラーメッセージが表示されます。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
19.3R2
Junos OS リリース 19.3R2 以降、これと同じ機能が MX240、MX480、MX960 の次世代サービスでサポートされています。
17.2R2
Junos OS リリース 17.2R2 および 17.4R1 以降、適応型サービスでは、URL フィルター データベース内の許可されていないドメイン名に属する埋め込み IP アドレス(例:http:/10.1.1.1)を含む HTTP トラフィックのフィルタリングを無効にすることができます。