Web フィルタリングの概要
Web フィルタリングを使用すると、不適切な Web コンテンツへのアクセスを防止して、インターネットの使用を管理できます。Web フィルタリング ソリューションには、次の 3 種類があります。
リダイレクトWebフィルタリング:リダイレクトWebフィルタリングソリューションは、HTTPおよびHTTPSリクエストを傍受して、Websenseが提供する外部URLフィルタリングサーバーに送信し、リクエストをブロックするかどうかを決定します。
リダイレクト Web フィルタリングにライセンスは必要ありません。
ローカル Web フィルタリング - ローカル Web フィルタリング ソリューションは、TCP 接続のすべての HTTP 要求と HTTPS 要求をインターセプトします。この場合、意思決定は、ユーザーが定義したカテゴリに基づいて許可リストまたはブロックリストに含まれるかどうかを判断するためにURLを検索した後、デバイス上で行われます。
ローカル Web フィルタリングには、ライセンスやリモート カテゴリ サーバーは必要ありません。
拡張Webフィルタリング-拡張Webフィルタリングソリューションは、HTTPおよびHTTPSリクエストを傍受し、HTTP URLまたはHTTPSソースIPをWebsense ThreatSeeker Cloud(TSC)に送信します。TSCは、URLを事前定義された151以上のカテゴリの1つに分類し、サイトのレピュテーション情報も提供します。TSC はさらに、URL カテゴリとサイトレピュテーション情報をデバイスに返します。デバイスは、TSC によって提供される情報に基づいて、要求を許可またはブロックできるかどうかを判断します。
Junos OS リリース 17.4R1 以降、Websense リダイレクトは IPv6 トラフィックをサポートします。
Junos OSリリース22.2R1以降、Webフィルタリングはアプリケーションデータの処理にJDPIデコーダーサポートを使用します。JDPI-Decoder には APPID ライセンスが必要です。APPIDライセンスなしでローカルWebフィルタリングを使用するには、 set security utm default-configuration web-filtering performance-mode
コマンドを使用します。これにより、JDPIデコーダが無効になり、WFデコーダが有効になります。このコマンドを実行するには、システムを再起動する必要があります。
Web フィルタリング プロファイルまたはアンチウィルス プロファイルのいずれか、あるいはその両方をファイアウォール ポリシーにバインドできます。両方がファイアウォール ポリシーにバインドされている場合、最初に Web フィルタリングが適用され、次にアンチウィルスが適用されます。URL が Web フィルタリングによってブロックされている場合、TCP 接続は閉じられ、ウイルス対策スキャンは必要ありません。URL が許可されている場合、トランザクションの内容はウイルス対策スキャン プロセスに渡されます。
Web フィルタリングは、TCP ポート番号によって適用されます。
Web フィルタリングは HTTPS プロトコルをサポートしています。Webフィルタリングソリューションは、HTTPSパケットのIPアドレスを使用して、ブロックリスト、許可リスト、許可、またはブロックの決定を行います。
ブロックの決定時に、クリア テキストが HTTPS セッションで使用できないため、Web フィルタリング ソリューションはブロック ページを生成しません。ただし、ソリューションはセッションを終了し、ブロックされた HTTPS セッションのリセットをクライアントとサーバーに送信します。
HTTPのWebフィルタリング設定は、HTTPSセッションにも適用されます。
悪意のあるユーザーが大量のトラフィックを同時に生成するのを防ぐためにセッションスロットルを課す 、クライアントごとのセッション制限 CLIコマンドは、Webフィルタリングをサポートしていません。
Junos OSリリース15.1X49-D100以降、コンテンツセキュリティのWebフィルタリングおよびコンテンツフィルタリングセキュリティ機能では、HTTP、HTTPS、FTP、SMTP、POP3、IMAPプロトコルのIPv6パススルートラフィックがサポートされています。
サーバー名表示 (SNI) のサポート
SNI は、クライアントが HTTPS 接続を介して接続しているサーバー名を示す SSL/TLS プロトコルの拡張機能です。SNI は、SSL ハンドシェイクが完了する前に、宛先サーバーの実際のホスト名をクリア テキスト形式で「クライアント Hello」メッセージに挿入します。Web フィルタリングでは、クエリに SNI 情報を含めます。この実装では、SNI にはサーバー名のみが含まれ、サーバーの完全な URL は含まれません。SNI のサポートにより、複数の HTTP サーバーが同じホスト IP アドレスを共有する可能性があるため、クエリで宛先 IP アドレスのみを使用すると結果が不正確になる可能性があるため、Web フィルタリング機能が強化されます。
SNI サポートにより、Web フィルタリングは HTTPS トラフィックの最初のパケットを「クライアント Hello」メッセージとして分析し、SNI 拡張からサーバー名を抽出し、サーバー名と宛先 IP アドレスを使用してクエリを維持/実行します。このパケットに SNI 拡張がない場合、または解析中にエラーが発生した場合、Web フィルタリングは宛先 IP アドレスのみを使用するように戻します。
Webフィルタリング(EWF)では、SSLフォワードプロキシとのHTTPSセッションが有効になっている場合、サーバー名表示(SNI)がWebフィルタリングの前に取得され、事前チェッククエリ、サイトレピュテーション、および応答のカテゴリに使用されます。キャッシュが有効になっている場合、これらの応答はアクションなしでキャッシュにデータを取り込みます。 EWF は完全パスを抽出し、キャッシュがあるかどうかを確認します。キャッシュ内の完全パスが一致しない場合、EWF はクエリを送信します。
SNI機能は、すべてのタイプのWebフィルタリングでデフォルトで有効になっているため、CLIを使用した追加設定は必要ありません。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。