Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リダイレクトWebフィルタリング

リダイレクトWebフィルタリングソリューションは、HTTPリクエストを傍受し、Websenseが提供する外部URLフィルタリングサーバーに送信して、リクエストをブロックするかどうかを決定します。詳細については、以下のトピックを参照してください。

リダイレクト Web フィルタリングについて

リダイレクト Web フィルタリングでは、Web フィルタリング モジュールが HTTP リクエストを傍受します。その後、要求内の URL が外部 Websense サーバーに送信され、許可または拒否の決定が行われます。該当する URL へのアクセスが許可されている場合は、元の HTTP リクエストとその後のすべてのリクエストが意図した HTTP サーバーに送信されます。ただし、対象の URL へのアクセスが拒否された場合は、ブロック メッセージがクライアントに送信されます。

Web トラフィックを傍受し、リダイレクトし、Web フィルタリング モジュールによって処理する方法について、一般的に説明します。

  1. Web クライアントは、Web サーバーとの TCP 接続を確立します。

  2. その後、Web クライアントは HTTP リクエストを送信します。

  3. デバイスはリクエストを傍受し、URLを抽出します。URL は、グローバル Web フィルタリング許可リストとブロックリストに対してチェックされます。一致しない場合、Websense サーバー構成パラメーターが利用されます。それ以外の場合、プロセスはステップ 6 に進みます。

  4. URLはWebsenseサーバーに送信され

  5. Websense サーバーは、URL を許可またはブロックするかどうかを示す応答を返します。

  6. アクセスが許可されている場合、元の HTTP 要求が Web サーバーに送信されます。アクセスが拒否された場合、デバイスはブロッキング メッセージをクライアントに送信し、TCP 接続を破棄します。

    Web フィルタリングは、HTTP 1.0 および HTTP 1.1 で定義されているすべてのメソッドで実行されます。ただし、リダイレクトWebフィルタリングは、HTTPSトラフィックをチェックする際に、宛先IPをURLとして使用します。

    リアルタイム オプションによる意思決定は、より高い精度を提供するため、リダイレクト Web フィルタリング用のキャッシュはサポートされていません。

    リダイレクトWebフィルタリングには、サブスクリプションライセンスは必要ありません。

WebフィルタリングのためのユーザーメッセージとリダイレクトURL

Junos OS リリース 17.4R1 以降では、 ステートメントに新custom-objectsしいオプションが追加されました。このステートメントには、custom-messageユーザーメッセージを設定し、URLがブロックされたり、EWFカテゴリーごとに隔離されたときにユーザーに通知するように URLをリダイレクトすることができます。オプションにはcustom-message、以下の必須属性があります。

  • 名前: カスタム メッセージの名前。最大長は 59 文字の ASCII 文字です。

  • タイプ: カスタム メッセージのタイプ: user-message または redirect-url.

  • コンテンツ:カスタムメッセージのコンテンツ。最大長は1024 ASCII文字です。

ユーザーメッセージを設定するか、リダイレクトURLをカスタムオブジェクトとして設定し、カスタムオブジェクトをEWFカテゴリに割り当てます。

  • ユーザー メッセージには、組織のアクセス ポリシーによって Web サイトへのアクセスがブロックされたことを示します。ユーザーメッセージを設定するには、 階層レベルで type user-message content message-text ステートメントを [edit security utm custom-objects custom-message message] 含めます。

  • URL のリダイレクト ブロックまたは隔離された URL をユーザー定義の URL にリダイレクトします。リダイレクトURLを設定するには、 階層レベルに type redirect-url content redirect-url ステートメントを [edit security utm custom-objects custom-message message] 含めます。

このオプションには custom-message 、以下のメリットがあります。

  • EWFカテゴリごとに個別のカスタムメッセージやリダイレクトURLを設定できます。

  • この custom-message オプションを使用すると、ポリシーをサポートするようにメッセージを微調整して、ブロックまたは隔離されている URL を把握できます。

新しいWebsense EWFカテゴリーの動的サポート

Junos OS リリース 17.4R1 以降、新しい EWF(拡張 Web フィルタリング)カテゴリーをダウンロードして動的に読み込むことができます。新しい EWF カテゴリーのダウンロードおよび動的読み込みには、ソフトウェアのアップグレードは必要ありません。Websense は、新しい EWF カテゴリーをリリースすることがあります。EWFは、ホスト、URL、IPアドレスに基づいてWebサイトをカテゴリに分類し、カテゴリーに基づいてフィルタリングを実行します。ユーザーは、パッチ リリースを待つのではなく、利用可能になるとすぐに新しいカテゴリを利用できます。

メモ:

既存の設定は新しいカテゴリの影響を受けませんが、新しいカテゴリを使用するように変更できます。

例:カスタムオブジェクトを使用したリダイレクトWebフィルタリングの設定によるセキュリティの強化

この例では、カスタムオブジェクトを使用してリダイレクトWebフィルタリングを設定し、不適切なWebコンテンツへのアクセスを防止することで、インターネット利用を管理する方法を示しています。

要件

始める前に、Web フィルタリングの詳細をご確認ください。 「Web フィルタリングの概要」を参照してください。

概要

Web フィルタリングを使用するメリットは、HTTP 要求メッセージから URL を抽出し、要件に従ってフィルタリングを実行することです。リダイレクトWebフィルタリングを構成する利点は、URLをHTTPリクエストから抽出し、外部URLフィルタリングサーバーに送信して、アクセスを許可または拒否するかどうかを決定することです。

この例では、カスタムオブジェクトのリダイレクトWebフィルタリング、リダイレクトWebフィルタリング機能プロファイル、およびリダイレクトWebフィルタリングコンテンツセキュリティポリシーを設定します。また、リダイレクトWebフィルタリングコンテンツセキュリティポリシーをセキュリティポリシーにアタッチします。

デフォルトの Websense-redirect サーバー ポート番号は 15868 です。

構成した各カテゴリでエラーが発生した場合に備えて、このプロファイルのフォールバック設定(ブロックまたはログアンド permit)を選択します。この例では、フォールバック設定を設定してプロファイルをブロックします。クライアントとサーバー間の通信に使用するソケットの数を入力します。SRXシリーズファイアウォールのデフォルトは32です。

最後に、タイムアウト値を秒単位で入力します。この制限に達すると、フェイルモード設定が適用されます。デフォルトは15秒で、1~1800秒の値を入力できます。この例では、タイムアウト値を 10 に設定します。

トポロジ

図 1 は、Websense リダイレクト機能の全体的なアーキテクチャを示しています。

図 1:Websense リダイレクト アーキテクチャ Websense Redirect Architecture

構成

リダイレクトWebフィルタリングカスタムオブジェクトの設定

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

リダイレクトWebフィルタリングカスタムオブジェクトを設定するには:

  1. カスタム オブジェクトを作成し、URL パターン リストを作成します。

  2. URL パターン リストを使用して、カスタム URL カテゴリ リストのカスタム オブジェクトを構成します。

  3. 信頼できないサイトのリストを作成する

  4. 信頼できないサイトの URL パターン リストを使用して、カスタム URL カテゴリ リストのカスタム オブジェクトを構成します。

  5. 信頼できるサイトのリストを作成します。

  6. 信頼できるサイトの URL パターン リストを使用して、カスタム URL カテゴリ リストのカスタム オブジェクトを構成します。

結果

設定モードから、 コマンドを入力して設定を show security utm custom-objects 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

リダイレクト Web フィルタリング機能プロファイルの設定

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。

リダイレクト Web フィルタリング機能プロファイルを設定するには:

  1. Web フィルタリング URL ブロックリストを構成します。

  2. Web フィルタリング URL 許可リストを構成します。

  3. Web フィルタリング タイプを指定し、プロファイル名を作成し、サーバー名または IP アドレスを設定します。

  4. カスタム カテゴリ アクション log-and-permit と URL 許可リストと permit cust-list2 にそれぞれを設定します。

  5. サーバーと通信するためのポート番号を入力します。

  6. このプロファイルのフォールバック設定アクション blockを構成します。

  7. クライアントとサーバー間の通信に使用するソケットの数を入力します。

  8. タイムアウト値を秒単位で入力します。

結果

設定モードから、 コマンドを入力して設定を show security utm feature-profile 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

コンテンツ・セキュリティ・ポリシーのリダイレクト・ウェブ・フィルタリングの設定と、コンテンツ・フィルタリング・コンテンツ・セキュリティ・ポリシーのセキュリティ・ポリシーへの添付

CLI クイックコンフィギュレーション

この例のセクションを迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。

手順

コンテンツセキュリティポリシーを設定し、セキュリティポリシーに添付するには:

  1. プロファイルを参照する Content Security ポリシーを作成します。

  2. セキュリティ ポリシーを作成および設定します。

  3. コンテンツセキュリティポリシーをセキュリティポリシーにアタッチします。

結果

設定モードから、 コマンドを入力して設定を show security utm 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

設定モードから、 コマンドを入力して設定を show security policies 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

デバイスの設定が完了したら、設定モードから を入力します commit

検証

設定が正常に機能していることを確認するには、次のタスクを実行します。

カスタムオブジェクトをフィルタリングするリダイレクトWeb設定の検証

目的

カスタムオブジェクトをフィルタリングするリダイレクトWebの設定を検証します。

アクション

設定モードの設定の上部から、 コマンドを show security utm custom-objects 入力します。

意味

サンプル出力には、作成されたカスタム オブジェクトのリストが表示されます。

リダイレクト Web フィルタリング機能プロファイルの設定の検証

目的

リダイレクト Web フィルタリング機能プロファイルの構成を検証します。

アクション

設定モードの設定の上部から、 コマンドを show security utm feature-profile 入力します。

意味

サンプル出力は、Websense リダイレクト サーバー用に設定された機能プロファイルを示しています。

コンテンツ・セキュリティ・ポリシーのセキュリティ・ポリシーへのリダイレクトWebフィルタリングの添付ファイルの検証

目的

新しく作成したリダイレクトWebフィルタリングコンテンツセキュリティポリシーの添付ファイルをセキュリティポリシーに検証します。

アクション

設定モードの設定の上部から、 および show security policies コマンドをshow security utm入力します。

意味

サンプル出力には、新しく作成されたリダイレクト Web フィルタリング Content Security ポリシーがアタッチされたセキュリティ ポリシーが表示されます。

リリース履歴テーブル
リリース
説明
17.4R1
Junos OS リリース 17.4R1 以降では、 ステートメントに新 custom-objectsしいオプションが追加されました。このステートメントには、 custom-messageユーザーメッセージを設定し、URLがブロックされたり、EWFカテゴリーごとに隔離されたときにユーザーに通知するように URLをリダイレクトすることができます。
17.4R1
Junos OS リリース 17.4R1 以降、新しい EWF(拡張 Web フィルタリング)カテゴリーをダウンロードして動的に読み込むことができます。