Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ローカル Web フィルタリング

Web フィルタリングを使用すると、不適切な Web コンテンツへのアクセスを防止して、インターネットの使用を管理できます。Web フィルタリング ソリューションには 4 つのタイプがあります。詳細については、次のトピックを参照してください。

ローカル Web フィルタリングについて

ローカルWebフィルタリングを使用して、SRXシリーズファイアウォールで評価されるブロックリストおよび許可リストに含めることができるカスタムURLカテゴリを定義できます。ブロックリスト内の各カテゴリのすべての URL は拒否されますが、許可リスト内の各カテゴリのすべての URL は許可されます。

ローカルWebフィルタリングでは、ファイアウォールがTCP接続内のすべてのHTTPおよびHTTPSリクエストを傍受し、URLを抽出します。決定は、ユーザーが定義したカテゴリに基づいて許可リストまたはブロックリストに含まれるかどうかを判断するためにURLを検索した後にデバイスによって行われます。URL は、最初にブロックリストの URL と比較されます。一致が見つかった場合、要求はブロックされます。一致するものが見つからない場合、URL は許可リストと比較されます。一致が見つかった場合、要求は許可されます。URL がどちらのリストにもない場合は、カスタム カテゴリ (ブロック、ログと許可、または許可) が使用されます。URL がカスタム カテゴリにない場合は、定義された既定のアクション (ブロック、ログと許可、または許可) が実行されます。Web フィルタリングプロファイルをファイアウォールポリシーにバインドすることで、要求されたサイトへのアクセスを許可またはブロックできます。ローカル Web フィルタリングは、追加のライセンスや外部カテゴリ サーバーを必要とせずに、基本的な Web フィルタリングを提供します。

このトピックは、以下のセクションで構成されています。

ローカル Web フィルタリング プロセス

次のセクションでは、WebフィルタリングモジュールによってWebトラフィックがどのように傍受され、処理されるかについて説明します。

  1. デバイスが TCP 接続をインターセプトします。

  2. デバイスは、TCP 接続内の各 HTTP および HTTPS 要求をインターセプトします。

  3. デバイスは、HTTP および HTTPS リクエストの各 URL を抽出し、ユーザー定義の許可リストとブロックリストと照合して URL を確認します。

  4. URL がブロックリストに見つかった場合、要求は許可されず、拒否ページが http または https クライアントに送信されます。URL が許可リストに含まれている場合、リクエストは許可されます。

  5. URL が許可リストまたはブロックリストに見つからない場合は、構成された既定のフォールバック アクションが適用されます。フォールバック アクションが定義されていない場合、要求は許可されます。

ユーザー定義のカスタム URL カテゴリ

ローカル Web フィルタリングを実行するには、プロファイルに適用できるブロックリストと許可リストの内容を定義する必要があります。

独自の URL カテゴリを定義する場合は、URL をグループ化し、ニーズに固有のカテゴリを作成できます。各カテゴリには、最大 20 個の URL を含めることができます。カテゴリを作成するときに、サイトの URL または IP アドレスを追加できます。ユーザー定義カテゴリにURLを追加すると、デバイスはDNSルックアップを実行し、ホスト名をIPアドレスに解決し、この情報をキャッシュします。ユーザーがサイトの IP アドレスを使用してサイトにアクセスしようとすると、デバイスはキャッシュされた IP アドレスのリストを確認し、ホスト名の解決を試みます。多くのサイトには動的IPアドレスがあり、IPアドレスは定期的に変更されます。サイトにアクセスしようとするユーザーが、デバイスのキャッシュされたリストにない IP アドレスを入力できます。したがって、カテゴリに追加するサイトの IP アドレスがわかっている場合は、サイトの URL と IP アドレスの両方を入力します。

URL パターンリストとカスタム URL カテゴリリストカスタムオブジェクトを使用して、独自のカテゴリを定義します。定義したら、カテゴリをグローバル ユーザ定義の URL ブロックリスト (ブロック) カテゴリまたは URL 許可リスト (許可) カテゴリに割り当てます。

Web フィルタリングは、HTTP 1.0 および HTTP 1.1 で定義されているすべてのメソッドに対して実行されます。

ローカル Web フィルタリング プロファイル

定義されたカスタム カテゴリに従って URL を許可またはブロックする Web フィルタリング プロファイルを設定します。Web フィルタリング プロファイルは、次のいずれかのアクションが割り当てられた URL カテゴリのグループで構成されます。

  • ブロックリスト — デバイスは常にこのリスト内の Web サイトへのアクセスをブロックします。ユーザー定義のカテゴリのみがローカル Web フィルタリングで使用されます。

  • 許可リスト — デバイスは常にこのリスト内の Web サイトへのアクセスを許可します。ユーザー定義のカテゴリのみがローカル Web フィルタリングで使用されます。

Webフィルタリングプロファイルには、1つのブロックリストまたは複数のユーザー定義カテゴリを持つ1つの許可リストを含めることができます。それぞれに許可アクションまたはブロックアクションがあります。着信 URL がプロファイルで定義されているどのカテゴリにも属していない場合の既定のフォールバック アクションを定義できます。既定のカテゴリのアクションが [ブロック] の場合、受信 URL は、プロファイルで明示的に定義されているカテゴリのいずれとも一致しない場合にブロックされます。デフォルトアクションのアクションが指定されていない場合、許可のデフォルトアクションは、どのカテゴリにも一致しない着信URLに適用されます。

Junos OSリリース17.4R1以降、ローカルWebフィルタリングでカスタムカテゴリ設定がサポートされています。このオプションは custom-message 、ローカル Web フィルタリングおよび Websense リダイレクト プロファイルのカテゴリでもサポートされています。ユーザーは、複数の URL リスト(カスタム カテゴリ)を作成し、許可、許可とログ記録、ブロック、隔離などのアクションを使用してコンテンツ セキュリティ Web フィルタリング プロファイルに適用できます。グローバル許可リストまたはブロックリストを作成するには、ローカルWebフィルタリングプロファイルをコンテンツセキュリティポリシーに適用し、グローバルルールにアタッチします。

Webフィルタリング用のユーザーメッセージとリダイレクトURL

Junos OS Release 17.4R1以降、新しいオプションである がステートメントに追加custom-objectsされ、custom-messageEWFカテゴリごとにURLがブロックまたは隔離されたときにユーザーメッセージとリダイレクトURLを設定してユーザーに通知することができます。このオプションにはcustom-message、以下の必須属性があります。

  • 名前: カスタムメッセージの名前。最大長は 59 文字の ASCII 文字です。

  • タイプ: カスタム メッセージの種類: user-message または redirect-url.

  • コンテンツ: カスタムメッセージの内容。最大長は 1024 ASCII 文字です。

ユーザメッセージまたはリダイレクトURLをカスタムオブジェクトとして設定し、カスタムオブジェクトをEWFカテゴリに割り当てます。

  • ユーザーメッセージは、Web サイトへのアクセスが組織のアクセスポリシーによってブロックされていることを示します。ユーザーメッセージを設定するには、階層レベルでステート type user-message content message-text メントを含めます [edit security utm custom-objects custom-message message]

  • リダイレクト URL は、ブロックまたは検疫された URL をユーザー定義の URL にリダイレクトします。リダイレクトURLを設定するには、階層レベルでステート type redirect-url content redirect-url メントを含めます [edit security utm custom-objects custom-message message]

このオプション custom-message には、次の利点があります。

  • EWF カテゴリごとに個別のカスタム メッセージまたはリダイレクト URL を構成できます。

  • このオプション custom-message を使用すると、メッセージを微調整してポリシーをサポートし、どの URL がブロックまたは検疫されているかを把握できます。

プロファイル照合の優先順位

プロファイルで URL 一致に複数のカテゴリが使用されている場合、それらのカテゴリの一致は次の順序でチェックされます。

  1. 存在する場合は、グローバル ブロックリストが最初にチェックされます。一致した場合、URL はブロックされます。一致するものが見つからない場合は...

  2. 次に、グローバル許可リストがチェックされます。一致した場合、URL は許可されます。一致するものが見つからない場合は...

  3. 次に、ユーザー定義のカテゴリがチェックされます。一致した場合、URL はブロックされるか、指定されたとおりに許可されます。

関連項目

例:ローカル Web フィルタリングの設定

この例では、Web サイト アクセスを管理するためのローカル Web フィルタリングを構成する方法を示します。

要件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • SRX1500デバイス

  • Junos OS リリース 12.1X46-D10 以降

開始する前に、Web フィルタリングの詳細をご確認ください。 Web フィルタリングの概要を参照してください。

概要

この例では、ローカル Web フィルタリング カスタム オブジェクト、ローカル Web フィルタリング機能プロファイル、およびローカル Web フィルタリング コンテンツ セキュリティ ポリシーを設定します。また、ローカルWebフィルタリングコンテンツセキュリティポリシーをセキュリティポリシーに付加します。 表 1 に、この例で使用されるローカル Web フィルタリングの設定タイプ、手順、およびパラメータに関する情報を示します。

表 1: ローカル Web フィルタリングの設定タイプ、手順、およびパラメータ

構成タイプ

設定手順

設定パラメータ

URL pattern and custom objects

バイパスする URL またはアドレスの URL パターン リストを設定します。

パターンを含むurllis1というカスタムオブジェクトを作成します[http://www.example1.net 192.0.2.0]

パターンを含むurllist2というカスタムオブジェクトを作成します[http://www.example2.net 192.0.2.3]

パターンを含むurllist3というカスタムオブジェクトを作成します[http://www.example3.net 192.0.2.9]

パターンを含むurllist4というカスタムオブジェクトを作成します[http://www.example4.net 192.0.2.8]

  • [http://www.example1.net 192.0.2.0]

  • [http://www.example2.net 192.0.2.3]

  • [http://www.example3.net 192.0.2.9]

  • [http://www.example4.net 192.0.2.8]

  • value urllist3

  • value urllist4

urllist1 と urllist2 のカスタムオブジェクトは、それぞれカスタム URL カテゴリのカストブロックリストとカスト許可リストに追加されます。

  • value urllist1

  • value urllist2

Feature profiles

Web フィルタリング機能プロファイルを設定します。

  

  • URL ブロックリスト フィルタリング カテゴリを custurl4 に、URL 許可リスト フィルタリング カテゴリを custurl3 に設定します。Web フィルタリング エンジンのタイプを juniper-local に設定します。

  • custurl3

  • custurl4

  • type juniper-local

  • localprofile1 という名前のジュニパーローカル プロファイル名を作成します。エラーが発生した要求に対するこのプロファイルのデフォルトアクション (許可、ログアンド許可、ブロック) を選択します。この例では、既定の動作を許可に設定します。ログと許可アクションを含むカテゴリカスト許可リストとブロックアクションを含むcusブロックリストを追加します。

  • localprofile1

  • Action: block

  • Action: log-and-permit

  • cust-black-list

  • cust-permit-list

  • リダイレクトURLを定義します。HTTP および HTTPS 要求がブロックされたときに送信されるカスタム メッセージを入力します。

  • 構成された各カテゴリでエラーが発生した場合に備えて、このプロファイルのフォールバック設定 (ブロックまたはログと許可) を選択します。この例では、フォールバック設定を [ブロック] に設定します。

  • block-message type custom-redirect-url

  • block-message url 192.0.2.10

  • custom-block-message “**Access to this site is not permitted**”.

  • fallback-settings:

    • block

    • log-and-permit

Content Security policies

コンテンツセキュリティポリシー utmp5 を作成し、プロファイル localprofile1にアタッチします。最後の設定例では、コンテンツセキュリティポリシーをセキュリティポリシー utmp5 p5にアタッチします。

  • utm policy utmp5

  • policy p5

構成

ローカル Web フィルタリングのカスタム オブジェクトと URL パターンの構成

CLIクイック構成

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで CLI [edit] にコピー アンド ペーストして、設定モードから を入力します commit

Junos OS リリース 15.1X49-D110 以降、URL パターン Web フィルタリングプロファイルに使用されるワイルドカード構文の「* 」は、すべてのサブドメインに一致します。たとえば、*.example.net は以下と一致します。

  • http://a.example.net

  • http://example.net

  • aaa.example.net

手順

CLI を使用してローカル Web フィルタリングを設定するには、次の手順に従います。

  1. URL パターンリストカスタムオブジェクトを設定するには、リスト名を作成し、次のように値を追加します。

    メモ:

    URL パターン リストを使用してカスタム URL カテゴリ リストを作成するため、カスタム URL カテゴリ リストを設定する前に、URL パターン リストのカスタム オブジェクトを設定する必要があります。
    メモ:

    • URL パターンのワイルドカードを使用するためのガイドラインは次のとおりです。\ *\.[] を使用します。\?* を使用し、すべてのワイルドカード URL の前に http:// を付けます。"*" を使用できるのは、URL の先頭に "." が続く場合のみです。"?" は URL の末尾でのみ使用できます。

    • 次のワイルドカード構文がサポートされています: http://*example.net, http://www.example.ne?, http://www.example.n??.次のワイルドカード構文はサポートされていません: *.example.???, http://*example.net, http://?。

  2. URL パターンをカスタム URL カテゴリに適用する。

結果

設定モードから、 コマンドを入力して show security utm custom-objects 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

フィーチャ プロファイルへのカスタム オブジェクトの適用

CLIクイック構成

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで CLI [edit] にコピー アンド ペーストして、設定モードから を入力します commit

手順

次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイド設定モードでのCLIエディターの使用を参照してください。

ローカル Web フィルタリング機能プロファイルを設定するには、次の手順を実行します。

  1. プロファイル名を作成し、含まれている許可カテゴリとブロックリスト カテゴリからカテゴリを選択します。カスタム カテゴリ アクションには、ブロック、許可、ログと許可、および検疫があります。

  2. デバイスがプレーンテキストHTMLを含むブロックページを送信する代わりに、デバイスがHTTPリダイレクトロケーションフィールドに埋め込まれた特別な変数を使用してこのリダイレクトサーバーにHTTP 302リダイレクトを送信するように、リダイレクトURLサーバーを定義します。これらの特殊変数はリダイレクトサーバーによって解析され、画像とクリアテキスト形式でクライアントへの特別なブロックページとして機能します。

  3. HTTP または HTTPS 要求がブロックされたときに送信されるカスタム メッセージを入力します。

  4. 明示的に設定された他のアクション(ブロックリスト、許可リスト、カスタムカテゴリ、定義済みカテゴリアクション、またはサイトレピュテーションアクション)が一致しない場合のプロファイルのデフォルトアクション(許可、ログと許可、ブロック、または隔離)を指定します。

  5. このプロファイルのフォールバック設定 (ブロックまたはログと許可) を構成します。

結果

設定モードから、 コマンドを入力して show security utm feature-profile 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

Webフィルタリングコンテンツセキュリティポリシーのセキュリティポリシーのセキュリティポリシーの適用

CLIクイック構成

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで CLI [edit] にコピー アンド ペーストして、設定モードから を入力します commit

手順

コンテンツセキュリティポリシーを設定するには:

  1. プロファイルを参照するコンテンツセキュリティポリシーを作成します。Webフィルタリングプロファイルをコンテンツセキュリティポリシーに適用します。

結果

設定モードから、 コマンドを入力して show security utm 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

簡潔にするために、この show コマンド出力には、この例に関連する設定のみ含まれています。システム上のその他の設定はすべて省略記号(...)で置き換えられています。

デバイスの設定が完了したら、設定モードから を入力します commit

ローカルWebフィルタリングコンテンツセキュリティポリシーのセキュリティポリシーのセキュリティポリシーのアタッチ

CLIクイック構成

この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルで CLI [edit] にコピー アンド ペーストして、設定モードから を入力します commit

手順

コンテンツセキュリティポリシーをセキュリティポリシーにアタッチするには:

  1. セキュリティポリシーを作成して設定します。

  2. コンテンツセキュリティポリシーをセキュリティポリシーに適用します。

結果

設定モードから、 コマンドを入力して show security policies 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正しく機能していることを確認するには、以下のタスクを実行します。

コンテンツ セキュリティ Web フィルタリングの統計情報の検証

目的

許可リストとブロックリストのヒット、カスタム カテゴリのヒットなど、接続の Web フィルタリング統計を確認します。

アクション

動作モードから コマンド show security utm web-filtering statistics を入力します。

サンプル出力
コマンド名

関連項目

関連ドキュメント

リリース履歴テーブル
リリース
説明
17.4R1
Junos OSリリース17.4R1以降、ローカルWebフィルタリングでカスタムカテゴリ設定がサポートされています。このオプションは custom-message 、ローカル Web フィルタリングおよび Websense リダイレクト プロファイルのカテゴリでもサポートされています。ユーザーは、複数の URL リスト(カスタム カテゴリ)を作成し、許可、許可とログ記録、ブロック、隔離などのアクションを使用してコンテンツ セキュリティ Web フィルタリング プロファイルに適用できます。グローバル許可リストまたはブロックリストを作成するには、ローカルWebフィルタリングプロファイルをコンテンツセキュリティポリシーに適用し、グローバルルールにアタッチします。
17.4R1
Junos OS Release 17.4R1以降、新しいオプションである がステートメントに追加 custom-objectsされ、 custom-messageEWFカテゴリごとにURLがブロックまたは隔離されたときにユーザーメッセージとリダイレクトURLを設定してユーザーに通知することができます。
15.1X49-D110
Junos OSリリース15.1X49-D110以降、URLパターンWebフィルタリングプロファイルに使用されるワイルドカード構文の「 * 」は、すべてのサブドメインに一致します。