Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Web フィルタリングの概要

Webフィルタリングを使用すると、不適切なWebコンテンツへのアクセスを防止して、インターネットの使用状況を管理できます。Web Webフィルタリング ソリューションには、次の 3 つのタイプがあります。

  • リダイレクトWebフィルタリング—リダイレクトWebフィルタリングソリューションは、HTTPおよびHTTPSリクエストを傍受して、Websenseが提供する外部URLフィルタリングサーバーに送信し、リクエストをブロックするかどうかを決定します。

    リダイレクト Webフィルタリングにライセンスは必要ありません。

  • ローカル Webフィルタリング - ローカル Webフィルタリング ソリューションは、TCP 接続のすべての HTTP 要求と HTTPS 要求をインターセプトします。この場合、意思決定は、デバイスが URL を検索して、ユーザー定義のカテゴリに基づいて許可リストまたはブロックリストのどちらに含まれているかを判断した後、デバイス上で行われます。

    ローカル Webフィルタリングには、ライセンスやリモート カテゴリ サーバーは必要ありません。

  • 拡張Webフィルタリング—拡張Webフィルタリングソリューションは、HTTPおよびHTTPSリクエストをインターセプトし、HTTP URLまたはHTTPSソースIPをWebsense ThreatSeeker Cloud へのリクエストでタイムアウトが発生(TSC)に送信します。TSC は、URL を事前定義された 151 以上のカテゴリのいずれかに分類し、サイト レピュテーション情報も提供します。TSC はさらに、URLカテゴリとサイト レピュテーション情報をデバイスに返します。デバイスは、TSC から提供された情報に基づいて、要求を許可またはブロックできるかどうかを判断します。

    Websense リダイレクトは IPv6 トラフィックをサポートします。

Webフィルタリングでは、アプリケーションデータの処理にJDPI-Decoderサポートを使用します。Webフィルタリング機能を適用するには、JDPI-Decoderを有効にする必要があります。JDPI-Decoder では、アプリケーション データを処理するために AppID が必要です。

Webフィルタリングプロファイルまたはアンチウィルスプロファイルのいずれか、あるいはその両方をファイアウォールポリシーにバインドできます。両方がファイアウォールポリシーにバインドされている場合、Webフィルタリングが最初に適用され、次にアンチウィルスが適用されます。URLがWebフィルタリングによってブロックされた場合、TCP接続は閉じられ、ウイルス対策スキャンは必要ありません。URLが許可されている場合、トランザクションの内容はウイルス対策スキャンプロセスに渡されます。

Webフィルタリングは、TCPポート番号によって適用されます。

WebフィルタリングはHTTPSプロトコルをサポートしています。Webフィルタリングソリューションは、HTTPSパケットのIPアドレスを使用して、ブロックリスト、許可リスト、許可、またはブロックの決定を行います。

HTTPS セッションでクリア テキストが使用できないため、ブロックの決定中に Webフィルタリング ソリューションはブロック ページを生成しません。ただし、ソリューションはセッションを終了し、ブロックされた HTTPS セッションのクライアントとサーバーにリセットを送信します。

HTTP の Webフィルタリング設定は、HTTPS セッションにも適用されます。

悪意のあるユーザーが大量のトラフィックを同時に生成するのを防ぐためにセッションスロットルを課すクライアント ごとのセッション制限 CLIコマンドは、Webフィルタリングをサポートしていません。

HTTP、HTTPS、FTP、SMTP、POP3、IMAPプロトコルのIPv6パススルートラフィックは、コンテンツセキュリティのWebフィルタリングおよびコンテンツフィルタリングセキュリティ機能でサポートされています。

Server Name Indication(SNI)のサポート

SNIはSSL/TLSプロトコルの拡張で、クライアントがHTTPS接続を介して接続しているサーバー名を示します。SNI は、SSL ハンドシェイクが完了する前に、宛先サーバーの実際のホスト名を「Client Hello」メッセージにクリアテキスト形式で挿入します。Webフィルタリングでは、クエリに SNI 情報が含まれます。この実装では、SNI にはサーバー名のみが含まれ、サーバーの完全な URL は含まれません。SNI のサポートにより、複数の HTTP サーバーが同じホスト IP アドレスを共有する可能性があるため、クエリでIP アドレスのみを使用すると、不正確な結果が生じる可能性があるため、Webフィルタリング機能が強化されます。

SNI のサポートにより、Webフィルタリングは HTTPS トラフィックの最初のパケットを「Client Hello」メッセージとして分析し、SNI 拡張からサーバー名を抽出し、サーバー名とIP アドレスを使用してクエリを維持/実行します。このパケットに SNI 拡張子がない場合、または解析中にエラーが発生した場合、WebフィルタリングはIP アドレスのみを使用するように戻ります。

Webフィルタリング(EWF)では、SSLフォワードプロキシとのHTTPSセッションが有効になっている場合、Webフィルタリングの前にServer Name Indication(SNI)が取得され、応答としてクエリ、サイトレピュテーション、およびカテゴリの事前チェックに使用されます。キャッシュが有効になっている場合、これらの応答はアクションなしでキャッシュに入力されます。 EWF はフル パスを抽出し、キャッシュがあるかどうかを確認します。キャッシュ内のフルパスが一致しない場合、EWF はクエリを送信します。

SNI 機能は、すべてのタイプの Webフィルタリングに対してデフォルトで有効になっているため、CLI を使用した追加の設定は必要ありません。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
25.2R1
Junos OS リリース 25.2R1 以降、ライセンスなしで AppID をダウンロードできます。Junos OS リリース 25.2R1より前では、SRX5400、SRX5600、SRX5800ファイアウォールとvSRX仮想ファイアウォールにはAppIDライセンスが必要です。
22.2R1
Junos OS リリース 22.2R1 以降、Webフィルタリングはアプリケーション データの処理に JDPI-Decoder サポートを使用します。
17.4R1
Junos OS リリース 17.4R1 以降、Websense リダイレクトは IPv6 トラフィックをサポートします。
15.1X49-D100
Junos OS リリース 15.1X49-D100 以降、HTTP、HTTPS、FTP、SMTP、POP3、IMAP プロトコルの IPv6 パススルー トラフィックは、コンテンツ セキュリティの Webフィルタリングおよびコンテンツ フィルタリング セキュリティ機能でサポートされています。