リダイレクト Web フィルタリング
リダイレクト プロトコル Web フィルタリング HTTP リクエストを傍受し、Websense から提供される外部 URL フィルタリング サーバーに送信して、リクエストをブロックするかどうかを決定します。詳細については、以下のトピックを参照してください。
リダイレクト Web フィルタリングについて
リダイレクト プロトコルWeb フィルタリング、モジュールWeb フィルタリング HTTP リクエストを傍受します。リクエスト内の URL は外部の Websense サーバーに送信され、許可または拒否の決定を行います。問題の URL へのアクセスが許可されている場合、元の HTTP リクエストとそれ以降のすべてのリクエストが目的の HTTP サーバーに送信されます。問題の URL へのアクセスが拒否された場合は、ブロック メッセージがクライアントに送信されます。
これは、Web トラフィックが傍受され、リダイレクトされ、サーバー モジュールによってどのように処理されるのかWeb フィルタリングです。
Web クライアントが、Web サーバーとの TCP 接続を確立します。
次に、Web クライアントから HTTP リクエストを送信します。
デバイスがリクエストを傍受して URL を抽出します。この URL はグローバル アドレスに対してチェックされWeb フィルタリングリストとブロック リストに対してチェックされます。一致しない場合は、Websense サーバー設定パラメータが使用されます。そうしないと、プロセスはステップ 6 に進みます。
URLはWebsenseサーバーに送信され チェックを行います
Websense サーバーは、URL を許可またはブロックするかどうかを示す応答を返します。
アクセスが許可されている場合、元の HTTP リクエストが Web サーバーに送信されます。アクセスが拒否された場合、デバイスはクライアントにブロック メッセージを送信し、TCP 接続を切り落とします。
Web フィルタリングは、HTTP 1.0 および HTTP 1.1 で定義なすべての方法で実行されます。ただし、HTTPS Web フィルタリングチェック中は、宛先 IP を URL として使用します。
リアルタイム オプションからの意思決定は、より高い精度を提供するため、リダイレクト サービスのWeb フィルタリングはサポートされていません。
リダイレクトWeb フィルタリング は、サブスクリプション ライセンスは必要ではありません。
Web フィルタリングのユーザー メッセージとリダイレクト URL
ステートメントにJunos OSリリース17.4R1から、新しいオプションが追加されます。ステートメントでは、ユーザー メッセージを設定し custom-message
、EWF カテゴリーごとにURLがブロックまたは隔離された場合にユーザーに通知をリダイレクトできます。 custom-objects
この custom-message
オプションには、次の必須属性があります。
名前: カスタム メッセージの名前。最大長は59 ASCII文字です。
タイプ: カスタム メッセージのタイプ:
user-message
またはredirect-url
.コンテンツ:カスタム メッセージの内容。最大長は1024 ASCII文字です。
ユーザー メッセージを設定するか、URL をカスタム オブジェクトとして設定し、カスタム オブジェクトを EWF カテゴリーに割り当てる。
ユーザー メッセージは、Web サイトへのアクセスが組織のアクセス ポリシーによってブロックされたと表示されます。ユーザー メッセージを設定するには、ステートメント
type user-message content message-text
を階層レベルに[edit security utm custom-objects custom-message message]
含てます。URL をリダイレクトすると、ブロックまたは隔離された URL をユーザー定義の URL にリダイレクトできます。リダイレクト URL を設定するには、階層レベル
type redirect-url content redirect-url
にステートメントを[edit security utm custom-objects custom-message message]
含てます。
この custom-message
オプションには、次のメリットがあります。
別のカスタム メッセージを設定するか、EWF カテゴリーごとにリダイレクト URL を設定できます。
このオプションを使用すると、メッセージを細かく調整して、ポリシーをサポートして、ブロックまたは隔離されている
custom-message
URL を特定できます。
新規 Websense EWF カテゴリーの動的サポート
EWF(Junos OS リリース リリース 17.4R1、新しい EWF(拡張 Web フィルタリング)カテゴリーをダウンロードして動的にロードできます。新しい EWF カテゴリーをダウンロードして動的に読み込むには、ソフトウェア アップグレードは不要です。Websense は、新しい EWF カテゴリーをリリースする場合があります。EWF は、Web サイトをホスト、URL、または IP アドレスに基づいてカテゴリーに分類し、カテゴリーに基づいてフィルタリングを実行します。ユーザーはパッチリリースを待たずに、新しいカテゴリーをすぐに利用できます。
既存の構成は新しいカテゴリーの影響を受け型ではなく、新しいカテゴリーを使用するために変更できます。
詳細については、
例: カスタム オブジェクトを使用したリダイレクト Web フィルタリングの設定によるセキュリティーの強化
この例では、カスタム オブジェクトを使用してリダイレクト トラフィックをWeb フィルタリングし、不適切な Web コンテンツへのアクセスを防止することで、インターネット使用を管理する方法を示しています。
要件
開始する前に、このガイドの詳細Web フィルタリング。「 Web フィルタリングの概要 」を参照してください。
概要
http を使用Web フィルタリングは、HTTP リクエスト メッセージから URL を抽出し、要件に従ってフィルタリングを実行します。リダイレクト Web フィルタリング を設定するメリットは、HTTP リクエストから URL を抽出し、外部 URL フィルタリング サーバーに送信してアクセスを許可または拒否するかどうかを決定します。
この例では、カスタム オブジェクトへのリダイレクト Web フィルタリング設定、機能プロファイルWeb フィルタリングリダイレクト、ポリシーのWeb フィルタリング UTMします。また、ポリシーのリダイレクトWeb フィルタリング UTMセキュリティ ポリシーに追加します。
デフォルトのWebsense-redirectサーバーポート番号は15868です。
このプロファイルにはフォールバック設定(ブロックまたはログおよび許可)を選択します(設定した各カテゴリでエラーが発生した場合)。この例では、フォールバック設定をプロファイルをブロックする設定をします。クライアントとサーバー間の通信に使用するソケット数を入力します。デフォルトでは、デバイスの数が 32 SRX シリーズです。
最後に、タイムアウト値を数秒で入力します。この制限に達すると、失敗モード設定が適用されます。デフォルトは 15 秒で、1 ~1800 秒の値を入力できます。この例では、タイムアウト値を10に設定します。
構成
- リダイレクト Web フィルタリング カスタム オブジェクトの設定
- リダイレクト Web フィルタリング機能プロファイルの設定
- リダイレクト Web フィルタリング UTM設定し、リダイレクト Web フィルタリング UTM ポリシーをセキュリティ ポリシーに接続する
リダイレクト Web フィルタリング カスタム オブジェクトの設定
CLI迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security utm custom-objects url-pattern urllist4 value 1.2.3.4 set security utm custom-objects url-pattern urllistblack value http://www.untrusted.com set security utm custom-objects url-pattern urllistblack value 13.13.13.13 set security utm custom-objects url-pattern urllistwhite value http://www.trusted.com set security utm custom-objects url-pattern urllistwhite value 7.7.7.7 set security utm custom-objects custom-url-category custurl4 value urllist4 set security utm custom-objects custom-url-category custblacklist value urllistblack set security utm custom-objects custom-url-category custwhitelist value urllistwhite
手順
カスタム オブジェクトのリダイレクト Web フィルタリングを設定するには、以下の手順に示します。
カスタム オブジェクトを作成し、URL パターン リストを作成します。
[edit security utm] user@host# set custom-objects url-pattern urllist4 value [http://www.example.net 1.2.3.4]
URL パターン リストを使用して、カスタム URL カテゴリー リストのカスタム オブジェクトを設定します。
[edit security utm] user@host# set custom-objects custom-url-category custurl4 value urllist4
信頼できないサイトのリストを作成する
[edit security utm] user@host# set custom-objects url-pattern urllistblack value [http://www.untrusted.com 13.13.13.13]
信頼できないサイトの URL パターン リストを使用して、カスタム URL カテゴリー リストのカスタム オブジェクトを設定します。
[edit security utm] user@host# set custom-objects custom-url-category custblacklist value urllistblack
信頼できるサイトのリストを作成します。
[edit security utm] user@host# set custom-objects url-pattern urllistwhite value [http://www.trusted.com 7.7.7.7]
信頼できるサイトの URL パターン リストを使用して、カスタム URL カテゴリー リストのカスタム オブジェクトを設定します。
[edit security utm] user@host# set custom-objects custom-url-category custwhitelist value urllistwhite
結果
設定モードから、 コマンドを入力して設定を確認 show security utm custom-objects
します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] userhost# show security utm custom-objects url-pattern { urllist4 { value [ http://www.example.net 1.2.3.4 ]; } urllistblack { value [ http://www.untrusted.com 13.13.13.13 ]; } urllistwhite { value [ http://www.trusted.com 7.7.7.7 ]; } } custom-url-category { custurl4 { value urllist4; } custblacklist { value urllistblack; } custwhitelist { value urllistwhite; } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
リダイレクト Web フィルタリング機能プロファイルの設定
CLI迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security utm feature-profile web-filtering url-whitelist custwhitelist set security utm feature-profile web-filtering url-blacklist custblacklist set security utm feature-profile web-filtering type websense-redirect set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server host Websenseserver set security utm feature-profile web-filtering websense-redirect profile p1 category cust-white-list action log-and-permit set security utm feature-profile web-filtering websense-redirect profile p1 category cust-list2 action permit set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 server port 15868 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings server-connectivity block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings timeout block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 fallback-settings too-many-requests block set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 timeout 10 set security utm feature-profile web-filtering websense-redirect profile websenseprofile1 sockets 1
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、「 ネットワーク ユーザー ガイド 」の「 設定モードでの CLI エディターの CLI 使用 」を 参照してください。
リダイレクト プロファイルを設定Web フィルタリングは、以下の手順に示します。
URL ブロックWeb フィルタリングを設定します。
[edit security utm feature-profile web-filtering] user@host# set url-blacklist custblacklist
url allowlist Web フィルタリングを設定します。
[edit security utm feature-profile web-filtering] user@host# set url-whitelist custwhitelist
設定タイプWeb フィルタリングプロファイル名を作成し、サーバー名または IP アドレスを設定します。
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server host Websenseserver
カスタム カテゴリー アクションと URL
log-and-permit
permit
allowlist と cust-list2 をそれぞれ設定します。[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 category cust-white-list action log-and-permit user@host# set websense-redirect profile websenseprofile1 category cust-list2 action permit
サーバーと通信するためのポート番号を入力します。
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 server port 15868
このプロファイルのフォールバック設定アクション
block
を設定します。[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 fallback-settings default block
user@host# set websense-redirect profile websenseprofile1 fallback-settings server-connectivity block user@host# set websense-redirect profile websenseprofile1 fallback-settings timeout block user@host# set websense-redirect profile websenseprofile1 fallback-settings too-many-requests block
クライアントとサーバー間の通信に使用するソケット数を入力します。
[edit security utm feature-profile web-filtering] user@host# set websense-redirect profile websenseprofile1 sockets 1
タイムアウト値を秒単位で入力します。
[edit security utm feature-profile web-filtering] user@host# set .websense-redirect profile websenseprofile1 timeout 10
結果
設定モードから、 コマンドを入力して設定を確認 show security utm feature-profile
します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] userhost# show security utm feature-profile web-filtering { url-whitelist custwhitelist; url-blacklist custblacklist; type websense-redirect { profile websenseprofile1 { server { host Websenseserver; port 15868; } category { cust-white-list { action log-and-permit ; cust-list2 { action permit; } } } fallback-settings { server-connectivity block; timeout block; too-many-requests block; } timeout 10; sockets 1; } } } content-filtering { profile contentfilter1; }
デバイスの設定が完了したら、設定モード commit
から を入力します。
リダイレクト Web フィルタリングUTM設定し、リダイレクト Web フィルタリング UTMポリシーをセキュリティ ポリシーに接続する
CLI迅速な設定
この例のセクションを迅速に設定するには、以下のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細情報を変更し、コマンドを階層レベルで CLI にコピー アンド ペーストして、設定モードから を入力します。 [edit]
commit
set security utm utm-policy utmp6 web-filtering http-profile websenseprofile1 set security policies from-zone trust to-zone untrust policy p6 match source-address any set security policies from-zone trust to-zone untrust policy p6 match destination-address any set security policies from-zone trust to-zone untrust policy p6 match application junos-http set security policies from-zone trust to-zone untrust policy p6 then permit application-services utm-policy utmp6
手順
UTMポリシーを設定し、セキュリティ ポリシーにアタッチするには、次の手順に示します。
プロファイルを参照UTMポリシーを作成します。
[edit security utm] user@host# set utm-policy utmp6 web-filtering http-profile websenseprofile1
セキュリティ ポリシーを作成および構成します。
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set match source-address any user@host# set match destination-address any user@host# set match application junos-http
セキュリティー ポリシー UTMポリシーを追加します。
[edit security policies from-zone trust to-zone untrust policy p6] user@host# set then permit application-services utm-policy utmp6
結果
設定モードから、 コマンドを入力して設定を確認 show security utm
します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] userhost# show security utm utm-policy utmp6 { web-filtering { http-profile websenseprofile1; } }
設定モードから、 コマンドを入力して設定を確認 show security policies
します。出力結果に意図した設定が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] userhost# show security policies from-zone trust to-zone untrust { policy p6 { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy utmp6; } } } } }
デバイスの設定が完了したら、設定モード commit
から を入力します。
検証
設定が正常に機能されていることを確認するには、次のタスクを実行します。
- リダイレクトWebフィルタリングカスタムオブジェクトの設定検証
- リダイレクト Web フィルタリング機能プロファイルの設定検証
- セキュリティ ポリシーへのリダイレクト Web フィルタリングUTM添付ファイルの検証
リダイレクトWebフィルタリングカスタムオブジェクトの設定検証
目的
カスタム オブジェクトをリダイレクトするWeb フィルタリングを検証します。
アクション
設定モードの設定の一番上から コマンドを入力 show security utm custom-objects
します。
[edit] userhost# show security utm custom-objects url-pattern { urllist4 { value [ http://www.example.net 1.2.3.4 ]; } urllistblack { value [ http://www.untrusted.com 13.13.13.13 ]; } urllistwhite { value [ http://www.trusted.com 7.7.7.7 ]; } } custom-url-category { custurl4 { value urllist4; } custblacklist { value urllistblack; } custwhitelist { value urllistwhite; } }
意味
サンプル出力は、作成されたカスタム オブジェクトのリストを示しています。
リダイレクト Web フィルタリング機能プロファイルの設定検証
目的
リダイレクト サーバー機能プロファイルのWeb フィルタリングを検証します。
アクション
設定モードの設定の一番上から コマンドを入力 show security utm feature-profile
します。
[edit] userhost# show security utm feature-profile web-filtering { url-whitelist custwhitelist; url-blacklist custblacklist; type websense-redirect { profile websenseprofile1 { server { host Websenseserver; port 15868; } fallback-settings { server-connectivity block; timeout block; too-many-requests block; } timeout 10; sockets 1; } } } content-filtering { profile contentfilter1; }
意味
サンプル出力は、Websenseリダイレクト サーバーに設定された機能プロファイルを示しています。
セキュリティ ポリシーへのリダイレクト Web フィルタリングUTM添付ファイルの検証
目的
新しく作成したリダイレクト リンク ポリシーの添付ファイルWeb フィルタリング UTMセキュリティ ポリシーに適用する必要がある場合を検証します。
アクション
設定モードで設定の一番上から、 および コマンド show security utm
を入力 show security policies
します。
[edit] userhost# show security utm utm-policy utmp6 { web-filtering { http-profile websenseprofile1; } }
[edit] userhost# show security policies from-zone trust to-zone untrust { policy p6 { match { source-address any; destination-address any; application junos-http; } then { permit { application-services { utm-policy utmp6; } } } } }
意味
サンプル出力は、新しく作成したリダイレクト リンク ポリシーがアタッチされたWeb フィルタリング UTM ポリシーを示しています。