リダイレクトWebフィルタリング
リダイレクトWebフィルタリングソリューションは、HTTPリクエストを傍受し、Websenseが提供する外部URLフィルタリングサーバーに送信して、リクエストをブロックするかどうかを決定します。詳細については、以下のトピックを参照してください。
リダイレクト Web フィルタリングについて
リダイレクト Web フィルタリングでは、Web フィルタリング モジュールが HTTP リクエストを傍受します。その後、要求内の URL が外部 Websense サーバーに送信され、許可または拒否の決定が行われます。該当する URL へのアクセスが許可されている場合は、元の HTTP リクエストとその後のすべてのリクエストが意図した HTTP サーバーに送信されます。ただし、対象の URL へのアクセスが拒否された場合は、ブロック メッセージがクライアントに送信されます。
Web トラフィックを傍受し、リダイレクトし、Web フィルタリング モジュールによって処理する方法について、一般的に説明します。
Web クライアントは、Web サーバーとの TCP 接続を確立します。
その後、Web クライアントは HTTP リクエストを送信します。
デバイスはリクエストを傍受し、URLを抽出します。URL は、グローバル Web フィルタリング許可リストとブロックリストに対してチェックされます。一致しない場合、Websense サーバー構成パラメーターが利用されます。それ以外の場合、プロセスはステップ 6 に進みます。
URLはWebsenseサーバーに送信され
Websense サーバーは、URL を許可またはブロックするかどうかを示す応答を返します。
アクセスが許可されている場合、元の HTTP 要求が Web サーバーに送信されます。アクセスが拒否された場合、デバイスはブロッキング メッセージをクライアントに送信し、TCP 接続を破棄します。
Web フィルタリングは、HTTP 1.0 および HTTP 1.1 で定義されているすべてのメソッドで実行されます。ただし、リダイレクトWebフィルタリングは、HTTPSトラフィックをチェックする際に、宛先IPをURLとして使用します。
リアルタイム オプションによる意思決定は、より高い精度を提供するため、リダイレクト Web フィルタリング用のキャッシュはサポートされていません。
リダイレクトWebフィルタリングには、サブスクリプションライセンスは必要ありません。
WebフィルタリングのためのユーザーメッセージとリダイレクトURL
Junos OS リリース 17.4R1 以降では、 ステートメントに新custom-objects
しいオプションが追加されました。このステートメントには、custom-message
ユーザーメッセージを設定し、URLがブロックされたり、EWFカテゴリーごとに隔離されたときにユーザーに通知するように URLをリダイレクトすることができます。オプションにはcustom-message
、以下の必須属性があります。
名前: カスタム メッセージの名前。最大長は 59 文字の ASCII 文字です。
タイプ: カスタム メッセージのタイプ:
user-message
またはredirect-url
.コンテンツ:カスタムメッセージのコンテンツ。最大長は1024 ASCII文字です。
ユーザーメッセージを設定するか、リダイレクトURLをカスタムオブジェクトとして設定し、カスタムオブジェクトをEWFカテゴリに割り当てます。
ユーザー メッセージには、組織のアクセス ポリシーによって Web サイトへのアクセスがブロックされたことを示します。ユーザーメッセージを設定するには、 階層レベルで
type user-message content message-text
ステートメントを[edit security utm custom-objects custom-message message]
含めます。URL のリダイレクト ブロックまたは隔離された URL をユーザー定義の URL にリダイレクトします。リダイレクトURLを設定するには、 階層レベルに
type redirect-url content redirect-url
ステートメントを[edit security utm custom-objects custom-message message]
含めます。
このオプションには custom-message
、以下のメリットがあります。
EWFカテゴリごとに個別のカスタムメッセージやリダイレクトURLを設定できます。
この
custom-message
オプションを使用すると、ポリシーをサポートするようにメッセージを微調整して、ブロックまたは隔離されている URL を把握できます。
新しいWebsense EWFカテゴリーの動的サポート
Junos OS リリース 17.4R1 以降、新しい EWF(拡張 Web フィルタリング)カテゴリーをダウンロードして動的に読み込むことができます。新しい EWF カテゴリーのダウンロードおよび動的読み込みには、ソフトウェアのアップグレードは必要ありません。Websense は、新しい EWF カテゴリーをリリースすることがあります。EWFは、ホスト、URL、IPアドレスに基づいてWebサイトをカテゴリに分類し、カテゴリーに基づいてフィルタリングを実行します。ユーザーは、パッチ リリースを待つのではなく、利用可能になるとすぐに新しいカテゴリを利用できます。
既存の設定は新しいカテゴリの影響を受けませんが、新しいカテゴリを使用するように変更できます。
「」も参照
例:カスタムオブジェクトを使用したリダイレクトWebフィルタリングの設定によるセキュリティの強化
この例では、カスタムオブジェクトを使用してリダイレクトWebフィルタリングを設定し、不適切なWebコンテンツへのアクセスを防止することで、インターネット利用を管理する方法を示しています。
要件
始める前に、Web フィルタリングの詳細をご確認ください。 「Web フィルタリングの概要」を参照してください。
概要
Web フィルタリングを使用するメリットは、HTTP 要求メッセージから URL を抽出し、要件に従ってフィルタリングを実行することです。リダイレクトWebフィルタリングを構成する利点は、URLをHTTPリクエストから抽出し、外部URLフィルタリングサーバーに送信して、アクセスを許可または拒否するかどうかを決定することです。
この例では、カスタムオブジェクトのリダイレクトWebフィルタリング、リダイレクトWebフィルタリング機能プロファイル、およびリダイレクトWebフィルタリングコンテンツセキュリティポリシーを設定します。また、リダイレクトWebフィルタリングコンテンツセキュリティポリシーをセキュリティポリシーにアタッチします。
デフォルトの Websense-redirect サーバー ポート番号は 15868 です。
構成した各カテゴリでエラーが発生した場合に備えて、このプロファイルのフォールバック設定(ブロックまたはログアンド permit)を選択します。この例では、フォールバック設定を設定してプロファイルをブロックします。クライアントとサーバー間の通信に使用するソケットの数を入力します。SRXシリーズファイアウォールのデフォルトは32です。
最後に、タイムアウト値を秒単位で入力します。この制限に達すると、フェイルモード設定が適用されます。デフォルトは15秒で、1~1800秒の値を入力できます。この例では、タイムアウト値を 10 に設定します。
構成
- リダイレクトWebフィルタリングカスタムオブジェクトの設定
- リダイレクト Web フィルタリング機能プロファイルの設定
- コンテンツ・セキュリティ・ポリシーのリダイレクト・ウェブ・フィルタリングの設定と、コンテンツ・フィルタリング・コンテンツ・セキュリティ・ポリシーのセキュリティ・ポリシーへの添付
リダイレクトWebフィルタリングカスタムオブジェクトの設定
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security utm custom-objects url-pattern urllist4 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 7.7.7.7 set security utm custom-objects custom-url-category custurl4 value urllist4 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhitelist value urllistwhite
手順
リダイレクトWebフィルタリングカスタムオブジェクトを設定するには:
カスタム オブジェクトを作成し、URL パターン リストを作成します。
[edit security utm] user@host# set custom-objects url-pattern urllist4 value [http://www.example.net 1.2.3.4]
URL パターン リストを使用して、カスタム URL カテゴリ リストのカスタム オブジェクトを構成します。
[edit security utm] user@host# set custom-objects custom-url-category custurl4 value urllist4
信頼できないサイトのリストを作成する
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13]
信頼できないサイトの URL パターン リストを使用して、カスタム URL カテゴリ リストのカスタム オブジェクトを構成します。
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack
信頼できるサイトのリストを作成します。
[edit security utm] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 7.7.7.7]
信頼できるサイトの URL パターン リストを使用して、カスタム URL カテゴリ リストのカスタム オブジェクトを構成します。
[edit security utm] user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
結果
設定モードから、 コマンドを入力して設定を show security utm custom-objects
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] userhost# show security utm custom-objects url-pattern { urllist4 { value [ http://www.example.net 1.2.3.4 ]; } urllistblack { value [ http://www.untrusted.com 13.13.13.13 ]; } urllistwhite { value [ http://www.trusted.com 7.7.7.7 ]; } } custom-url-category { custurl4 { value urllist4; } custblacklist { value urllistblack; } custwhitelist { value urllistwhite; } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
リダイレクト Web フィルタリング機能プロファイルの設定
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security utm feature-profile web-filtering url-whitelist custwhitelist set security utm feature-profile web-filtering url-blacklist custblacklist set security utm feature-profile web-filtering type websense-redirect set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server host Websenseserver set security utm feature-profile web-filtering websense-redirect profile p1 category cust-white-list action log-and-permit set security utm feature-profile web-filtering websense-redirect profile p1 category cust-list2 action permit set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server port 15868 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings server-connectivity block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings timeout block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings too-many-requests block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 timeout 10 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 sockets 1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
リダイレクト Web フィルタリング機能プロファイルを設定するには:
Web フィルタリング URL ブロックリストを構成します。
[edit security utm feature-profile web-filtering] user@host# set url-blacklist custblacklist
Web フィルタリング URL 許可リストを構成します。
[edit security utm feature-profile web-filtering] user@host# set url-whitelist custwhitelist
Web フィルタリング タイプを指定し、プロファイル名を作成し、サーバー名または IP アドレスを設定します。
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server host Websenseserver
カスタム カテゴリ アクション
log-and-permit
と URL 許可リストとpermit
cust-list2 にそれぞれを設定します。[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 category cust-white-list action log-and-permit user@host# set websense-redirect profile websenseprofile1 category cust-list2 action permit
サーバーと通信するためのポート番号を入力します。
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server port 15868
このプロファイルのフォールバック設定アクション
block
を構成します。[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 fallback-settings default block
user@host# set websense-redirect profile websenseprofile1 fallback-settings server-connectivity block user@host# set websense-redirect profile websenseprofile1 fallback-settings timeout block user@host# set websense-redirect profile websenseprofile1 fallback-settings too-many-requests block
クライアントとサーバー間の通信に使用するソケットの数を入力します。
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 sockets 1
タイムアウト値を秒単位で入力します。
[edit security utm feature-profile web-filtering] user@host# set .websense-redirect profile websenseprofile1 timeout 10
結果
設定モードから、 コマンドを入力して設定を show security utm feature-profile
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] userhost# show security utm feature-profile web-filtering { url-whitelist custwhitelist; url-blacklist custblacklist; type websense-redirect { profile websenseprofile1 { server { host Websenseserver; port 15868; } category { cust-white-list { action log-and-permit ; cust-list2 { action permit; } } } fallback-settings { server-connectivity block; timeout block; too-many-requests block; } timeout 10; sockets 1; } } } content-filtering { profile contentfilter1; }
デバイスの設定が完了したら、設定モードから を入力します commit
。
コンテンツ・セキュリティ・ポリシーのリダイレクト・ウェブ・フィルタリングの設定と、コンテンツ・フィルタリング・コンテンツ・セキュリティ・ポリシーのセキュリティ・ポリシーへの添付
CLI クイックコンフィギュレーション
この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit]
CLI にコピー アンド ペーストして、設定モードから を入力 commit
します。
set security utm utm-policy utmp6 web-filtering http-profile websenseprofile1 set security policies from-zone trust to-zone untrust policy p6 match source-address any set security policies from-zone trust to-zone untrust policy p6 match destination-address any set security policies from-zone trust to-zone untrust policy p6 match application junos-http set security policies from-zone trust to-zone untrust policy p6 then permit application-services utm-policy utmp6
手順
コンテンツセキュリティポリシーを設定し、セキュリティポリシーに添付するには:
-
プロファイルを参照する Content Security ポリシーを作成します。
[edit security utm] user@host# set utm-policy utmp6 web-filtering http-profile websenseprofile1
セキュリティ ポリシーを作成および設定します。
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
-
コンテンツセキュリティポリシーをセキュリティポリシーにアタッチします。
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set then permit application-services utm-policy utmp6
結果
設定モードから、 コマンドを入力して設定を show security utm
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] userhost# show security utm utm-policy utmp6 { web-filtering { http-profile websenseprofile1; } }
設定モードから、 コマンドを入力して設定を show security policies
確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit] userhost# show security policies from-zone trust to-zone untrust { policy p6 { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy utmp6; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
設定が正常に機能していることを確認するには、次のタスクを実行します。
- カスタムオブジェクトをフィルタリングするリダイレクトWeb設定の検証
- リダイレクト Web フィルタリング機能プロファイルの設定の検証
- コンテンツ・セキュリティ・ポリシーのセキュリティ・ポリシーへのリダイレクトWebフィルタリングの添付ファイルの検証
カスタムオブジェクトをフィルタリングするリダイレクトWeb設定の検証
目的
カスタムオブジェクトをフィルタリングするリダイレクトWebの設定を検証します。
アクション
設定モードの設定の上部から、 コマンドを show security utm custom-objects
入力します。
[edit] userhost# show security utm custom-objects url-pattern { urllist4 { value [ http://www.example.net 1.2.3.4 ]; } urllistblack { value [ http://www.untrusted.com 13.13.13.13 ]; } urllistwhite { value [ http://www.trusted.com 7.7.7.7 ]; } } custom-url-category { custurl4 { value urllist4; } custblacklist { value urllistblack; } custwhitelist { value urllistwhite; } }
意味
サンプル出力には、作成されたカスタム オブジェクトのリストが表示されます。
リダイレクト Web フィルタリング機能プロファイルの設定の検証
目的
リダイレクト Web フィルタリング機能プロファイルの構成を検証します。
アクション
設定モードの設定の上部から、 コマンドを show security utm feature-profile
入力します。
[edit] userhost# show security utm feature-profile web-filtering { url-whitelist custwhitelist; url-blacklist custblacklist; type websense-redirect { profile websenseprofile1 { server { host Websenseserver; port 15868; } fallback-settings { server-connectivity block; timeout block; too-many-requests block; } timeout 10; sockets 1; } } } content-filtering { profile contentfilter1; }
意味
サンプル出力は、Websense リダイレクト サーバー用に設定された機能プロファイルを示しています。
コンテンツ・セキュリティ・ポリシーのセキュリティ・ポリシーへのリダイレクトWebフィルタリングの添付ファイルの検証
目的
新しく作成したリダイレクトWebフィルタリングコンテンツセキュリティポリシーの添付ファイルをセキュリティポリシーに検証します。
アクション
設定モードの設定の上部から、 および show security policies
コマンドをshow security utm
入力します。
[edit] userhost# show security utm utm-policy utmp6 { web-filtering { http-profile websenseprofile1; } }
[edit] userhost# show security policies from-zone trust to-zone untrust { policy p6 { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy utmp6; } } } } }
意味
サンプル出力には、新しく作成されたリダイレクト Web フィルタリング Content Security ポリシーがアタッチされたセキュリティ ポリシーが表示されます。
custom-objects
しいオプションが追加されました。このステートメントには、
custom-message
ユーザーメッセージを設定し、URLがブロックされたり、EWFカテゴリーごとに隔離されたときにユーザーに通知するように URLをリダイレクトすることができます。