拡張 Web フィルタリング

拡張Webフィルタリング(EWF)向けのユーザーメッセージとリダイレクトURL

Junos OSリリース15.1X49-D110以降、custom-objectsコマンドに新しいオプションcustom-messageが追加され、EWFカテゴリごとにURLがブロックまたは隔離されたときにユーザーメッセージとリダイレクトURLを設定してユーザーに通知することができます。custom-message オプションには、以下の必須属性があります。

• 名前: カスタムメッセージの名前。最大長は 59 バイトです。

• 種類: カスタム メッセージの種類: user-message または redirect-url。

• コンテンツ: カスタムメッセージの内容。最大長は 1024 バイトです。

ユーザメッセージまたはリダイレクトURLをカスタムオブジェクトとして設定し、カスタムオブジェクトをEWFカテゴリに割り当てます。

• ユーザーメッセージは、Web サイトへのアクセスが組織のアクセスポリシーによってブロックされていることを示します。ユーザーメッセージを設定するには、[edit security utm custom-objects custom-message message]階層レベルで type user-message content message-text ステートメントを含めます。

• リダイレクト URL は、ブロックまたは検疫された URL をユーザー定義の URL にリダイレクトします。リダイレクト URL を設定するには、[edit security utm custom-objects custom-message message]階層レベルで type redirect-url content redirect-url ステートメントを含めます。

custom-message オプションには、次の利点があります。

• EWF カテゴリごとに個別のカスタム メッセージまたはリダイレクト URL を構成できます。

• custom-message オプションを使用すると、メッセージを微調整してポリシーをサポートし、どの URL がブロックまたは検疫されているかを把握できます。

  カテゴリごとに適用される custom-message 構成オプションは 1 つだけです。 custom-message 構成は、拡張 Web フィルタリング(EWF)でのみサポートされます。そのため、Juniper EWFエンジンタイプのみがサポートされます。

Junos OSリリース17.4R1以降、ローカルおよびWebsenseリダイレクトプロファイルでカスタムカテゴリ設定のサポートが利用できます。

拡張 Web フィルタリングの機能要件

拡張 Web フィルタリング(EWF)を使用するには、以下のアイテムが必要です。

• License key— EWFソリューションにアップグレードするには、新しいライセンスをインストールする必要があります。

  「'wf_key_websense_ewf' ライセンスが必要です」という警告メッセージは、定期的な EWF ライセンス検証チェックによって生成されるため、無視してかまいません。

  ライセンス キーの有効期限が切れた後、EWF 機能には、他のコンテンツ セキュリティ機能と一致する 30 日間の猶予期間が提供されます。

  この機能にはライセンスが必要です。ライセンス管理に関する一般的な情報については、 ライセンスガイド を参照してください。詳細については、 SRXシリーズファイアウォール の製品データシートを参照するか、ジュニパーアカウントチームまたはジュニパーパートナーにお問い合わせください。

  EWF 機能の猶予期間が経過すると (または機能がインストールされていない場合)、Web フィルタリングは無効になり、すべての HTTP 要求は Web フィルタリングをバイパスし、TSC への接続はすべて無効になります。有効なライセンスをインストールすると、サーバーへの接続が再度確立されます。

• debug コマンドは、デバイスで使用可能な各 TCP 接続に次の情報を提供します。

  • 処理された要求の数

  • 保留中の要求の数

  • エラー (ドロップまたはタイムアウトした要求) の数

• TCP connection between a Web client and a webserver- アプリケーション識別(APPID)モジュールは、HTTP 接続を識別するために使用されます。EWF ソリューションは、デバイスが最初の SYN パケットを受信した後に HTTP 接続を識別します。HTTP 要求をブロックする必要がある場合、EWF はデバイスから Web クライアントにブロック メッセージを送信します。さらに、EWFはTCP FINリクエストをクライアントに送信し、TCPリセット(RST)をサーバーに送信して接続を無効にします。デバイスは、フロー セッションを通じてすべてのメッセージを送信します。メッセージは、サービス チェーン全体に従います。

• HTTP request interception- EWF はデバイス上の最初の HTTP リクエストをインターセプトし、HTTP 1.0 および HTTP 1.1 で定義されているすべてのメソッドに対して URL フィルタリングを実行します。デバイスは、TSC からの応答を待機している間、元の要求を保持します。HTTP URL の最初のパケットがフラグメント化されている場合、またはデバイスが何らかの理由で URL を抽出できない場合は、宛先 IP アドレスが分類に使用されます。 http-reassemble を有効にすると、EWF はフラグメントから要求全体を回復し、URL を取得できます。

  HTTP 1.1 持続接続の場合、そのセッションでの後続の要求は EWF モジュールによって無視されます。

  デバイスが元の要求を長時間保持している場合、クライアントは要求を再送信します。URLフィルタリングコードは、再送信されたパケットを検出します。元の HTTP 要求が既に転送されている場合、EWF は再送信されたパケットをサーバーに転送します。ただし、EWF が最初のパケット処理の途中であるか、セッションをブロックする計算を行う場合、ソリューションは再送信されたパケットをドロップします。カウンターは、デバイスが受信した再送信されたパケットの数を追跡します。

  TSC がデバイスからの分類要求に時間内に応答しない場合、元のクライアント要求はタイムアウト フォールバック設定に従ってブロックまたは許可されます。

• HTTPS request interception—Junos OS 15.1X49-D40およびJunos OSリリース17.3R1以降、EWFはSRXシリーズファイアウォールを通過するHTTPSトラフィックを傍受します。デバイスからのセキュリティ チャネルは、クライアントとデバイス間の 1 つの SSL チャネルと、デバイスと HTTPS サーバー間の別の SSL チャネルに分割されます。SSL 転送プロキシは、両方のチャネルの端末として機能し、クリアテキスト トラフィックをコンテンツ セキュリティに転送します。コンテンツセキュリティは、HTTPリクエストメッセージからURLを抽出します。

• Blocking message- Web クライアントに送信されるブロッキング メッセージは、ユーザーが構成でき、次のタイプがあります。

  • ジュニパーネットワークスのブロックメッセージは、デバイスに定義されているデフォルトのメッセージで、ユーザーが変更できます。既定のブロック メッセージには、要求がブロックされた理由とカテゴリ名 (カテゴリが原因でブロックされた場合) が含まれています。

  • Syslog メッセージ。

  たとえば、Enhanced_Search_Engines_and_Portals のアクションをブロックに設定し、www.example.com にアクセスしようとすると、ブロック メッセージの形式は次のようになります Juniper Web Filtering:Juniper Web Filtering has been set to block this site. CATEGORY: Enhanced_Search_Engines_and_Portals REASON: BY_PRE_DEFINED 。ただし、被試験デバイス(DUT)の対応するsyslogメッセージは次のとおりです: WEBFILTER_URL_BLOCKED: WebFilter: ACTION="URL Blocked" 56.56.56.2(59418)->74.125.224.48(80) CATEGORY="Enhanced_Search_Engines_and_Portals" REASON="by predefined category" PROFILE="web-ewf" URL=www.example.com OBJ=/ 。

• Monitoring the Websense server- URL フィルタリング モジュールは、TSC がアクティブかどうかを判断するために、ソケット接続とハートビートの 2 つの方法を使用します。EWF は、TSC への永続的な TCP ソケットを維持します。サーバーが有効になっている場合、サーバーは TCP ACK で応答します。EWF は、アプリケーション層の NOOP キープアライブを TSC に送信します。デバイスが特定の期間内に 3 回連続して NOOP キープアライブに対する応答を受信しない場合、デバイスはソケットを非アクティブと判断します。EWF モジュールは、TSC への新しい接続を開こうとします。すべてのソケットが非アクティブである場合、TSC は非アクティブと見なされます。したがって、エラーが発生します。エラーが表示され、ログに記録されます。後続の要求と保留中の要求は、TSC への新しい接続が再び開かれるまで、サーバー接続フォールバック設定に従ってブロックされるか、渡されます。

• HTTP protocol communication with the TSC- EWF は HTTP 1.1 プロトコルを使用して TSC と通信します。これにより、永続的な接続と、同じ接続を介した複数の HTTP 要求の送信が保証されます。1 つの HTTP 要求または応答がクライアントまたはサーバーの通信に使用されます。TSC はキューに入れられた要求を処理できます。最適なパフォーマンスを得るには、非同期の要求または応答メカニズムが使用されます。要求は TCP 経由で送信されるため、TCP 再送信を使用して要求または応答を確実に配信します。また、TCP は、有効な順序どおりの再送信されていない HTTP ストリーム データがデバイス上の HTTP クライアントに送信されることを保証します。

• Responses- 応答は基本的な HTTP 規則に従います。成功した応答には、20x 応答コード (通常は 200) が含まれます。エラー応答には、4xx または 5xx コードが含まれます。4xx シリーズのエラー応答は、カスタム コードの問題を示します。5xx シリーズのエラー応答は、サービスの問題を示します。

  エラーコードと意味は次のとおりです。

  • 400 - 要求が正しくありません

  • 403 - 許可されていません

  • 404–見つかりません

  • 408 – 要求が取り消されたか、応答が null です

  • 500 - 内部サーバー エラー

  400 シリーズのエラーは、要求に問題があることを示します。500 シリーズのエラーは、TSC サービスに問題があることを示します。Websenseはこれらのエラーを自動的に通知され、それに応じて応答します。

  既定のフォールバック設定を構成して、要求を渡すかブロックするかを決定できます。 set security utm feature-profile web-filtering juniper-enhanced profile juniper-enhanced fallback-settings default ?

  応答には、サイトの分類とサイトの評価情報も含まれます。

• Categories- カテゴリ リストはデバイスで使用できます。このリストはカテゴリで構成され、それぞれにカテゴリ コード、名前、および親 ID が含まれています。カテゴリは、ユーザーが定義することもできます。各カテゴリは、URL または IP アドレスの一覧で構成されます。カテゴリーは動的に更新されず、Junos OSイメージにコンパイルする必要があるため、Junos OSリリースに関連付けられます。カテゴリー内の更新は、Junos OSのリリースサイクルと同期させる必要があります。

  Junos OSリリース17.4R1以降、新しいEWFカテゴリをダウンロードして動的に読み込むことができます。新しい EWF カテゴリのダウンロードと動的読み込みには、ソフトウェアのアップグレードは必要ありません。Websenseは時折、新しいEWFカテゴリをリリースしています。EWFは、ホスト、URL、またはIPアドレスに従ってWebサイトをカテゴリに分類し、カテゴリに基づいてフィルタリングを実行します。

  1 次装置と 2 次装置の間でカテゴリー・ファイル転送が失敗すると、ファイル転送の結果、アップグレード・エラーが発生し、エラー・ログが生成されます。

  新しいカテゴリ ファイルのインストール中にカテゴリ ファイル名が変更されると、新しいカテゴリ ファイルによって内部システムの古いカテゴリ ファイルが上書きされ、関連するすべての出力情報が新しいカテゴリ名に置き換えられます。

  Junos OSリリース17.4R1以降、カテゴリファイルで定義された定義済みベースフィルタが、個々のEWFカテゴリに対してサポートされます。各 EWF カテゴリには、バックアップ フィルタとして機能するユーザー プロファイルにアタッチされたベース フィルタの既定のアクションがあります。カテゴリーがユーザー・プロファイルで構成されていない場合は、基本フィルターがアクションを実行します。

  基本フィルターは、カテゴリ ファイルで定義されているすべてのカテゴリのカテゴリとアクションのペアを含むオブジェクトです。基本フィルターは構造化されたオブジェクトであり、フィルター名とカテゴリとアクションのペアの配列を使用して定義されます。

  カテゴリとアクションのペアの配列を持つ基本フィルターの例を次に示します。Enhanced_Adult_Materialカテゴリの場合、アクションはブロックです。Enhanced_Blog_Posting カテゴリーの場合、アクションは許可です。などなど。

  EWF は最大 16 個のベース フィルターをサポートします。Junos OSリリース17.4R1は、ベースフィルターのオンラインアップグレードもサポートしています。

  ユーザー プロファイルの名前がベース フィルターと同じ場合、Web フィルターは間違ったプロファイルを使用します。

• Caching- 正常に分類された回答は、デバイスにキャッシュされます。未分類の URL はキャッシュされません。キャッシュのサイズはユーザーが構成できます。

• Safe search (HTTP support only, not HTTPS)- セーフサーチ ソリューションを使用して、検索エンジンから受信した URL の画像などの埋め込みオブジェクトが安全であり、望ましくないコンテンツがクライアントに返されないようにします。

  分類情報を提供するために、TSC に URL が提供されます。検索 URL の場合、TSC はセーフサーチ文字列も返します。たとえば、セーフサーチ文字列は safe=active です。このセーフサーチ文字列が URL に追加され、セーフサーチを使用してクライアントのクエリをリダイレクトするためのリダイレクト応答が有効になります。これにより、安全でないコンテンツがクライアントに返されなくなります。TSC がセーフサーチが必要であることを示している場合は、セーフサーチリダイレクトを実行できます。

  たとえば、クライアントは、EWF プロファイルで許可されている URL https://www.google.com/search?q=test に要求を行います。パケット モードでは、DUT 上の EWF はリダイレクト URL https://www.google.com/search?q=test&safe=active で HTTP 302 応答を生成します。この応答はクライアントに返されます。これで、クライアントはこの URL に安全なリダイレクト要求を送信します。ストリーム モードでは、DUT 上の EWF が URL を https://www.google.com/search?q=test&safe=active に書き換えて転送します。

  手記：

  セーフサーチリダイレクトはHTTPのみをサポートします。HTTPS の URL を抽出することはできません。そのため、HTTPS 検索 URL のリダイレクト応答を生成することはできません。セーフサーチリダイレクトは、CLI オプション no-safe-searchを使用して無効にできます。

• Site reputation- TSC はサイトのレピュテーション情報を提供します。これらのレピュテーションに基づいて、ブロックまたは許可アクションを選択できます。URL が許可リストまたはブロックリストによって処理されず、ユーザーまたは事前定義されたカテゴリに該当しない場合は、レピュテーションを使用して URL フィルタリングの決定を実行できます。

  Junos OS リリース 17.4R1 以降、レピュテーションベーススコアは設定可能です。ユーザーは、Websense ThreatSeekerクラウド(TSC)によって提供されるグローバルレピュテーション値を適用できます。非カテゴリURLの場合、グローバルレピュテーション値を使用してフィルタリングが実行されます。

  レピュテーションスコアは次のとおりです。

  • 100-90 - サイトは非常に安全であると見なされます。

  • 80-89 - サイトは中程度の安全性があると見なされます。

  • 70-79 - サイトはかなり安全であると見なされます。

  • 60-69:サイトは不審と見なされます。

  • 0-59 - サイトは有害と見なされます。

  デバイスは、サイトのレピュテーションスコアに基づいてブロックまたは許可された URL のログを保持します。

• Profiles- URL フィルタリング プロファイルは、カテゴリのリストとして定義され、各プロファイルにはアクション タイプ(許可、ログアンド許可、ブロック、隔離)が関連付けられています。定義済みプロファイル junos-wf-enhanced-default は、ユーザーが独自のプロファイルを定義しないことを選択した場合にユーザーに提供されます。

  また、プロファイル内のサイトのレピュテーションに基づいてアクションを定義して、受信 URL がプロファイルで定義されているどのカテゴリにも属していない場合のアクションを指定することもできます。サイトのレピュテーション処理情報を構成しない場合は、既定のアクションを定義できます。プロファイルに定義されたカテゴリまたは定義されたレピュテーションアクションがないすべてのURLは、プロファイルで明示的に定義されたデフォルトアクションのブロックまたは許可処理に応じて、ブロック、許可、ログに記録および許可、または隔離されます。デフォルト・アクションを指定しない場合、URL は許可されます。検索エンジン要求の場合、明示的なユーザー定義の構成がなく、URL 要求にセーフサーチオプションがない場合、EWF はリダイレクト応答を生成してクライアントに送信します。クライアントは、セーフサーチオプションを有効にして新しい検索要求を生成します。

  URL フィルタリングプロファイルには、次の項目を含めることができます。

  • 複数のユーザー定義および定義済みカテゴリ(それぞれに許可アクションまたはブロックアクションあり)

  • 複数のサイトレピュテーション処理カテゴリ (それぞれに許可またはブロックアクションあり)

  • 許可アクションまたはブロックアクションを含む1つのデフォルトアクション

  検索の順序は、ブロックリスト、許可リスト、ユーザー定義カテゴリ、定義済みカテゴリ、セーフサーチ、サイトレピュテーション、およびデフォルトアクションです。

拡張Webフィルタリングのためのキャッシュプリロード

Junos OSリリース23.2R1以降、キャッシュには、システム起動段階で分類情報とともに、高評価で頻繁にアクセスするURLリストがロードされます。これは、インターネット接続が遅いユーザーが、リモート分類サービスのために Web へのアクセス中に高い待機時間が発生する場合に便利です。Web フィルタ ポリシーの決定はキャッシュに事前に読み込まれた URL カテゴリ情報に基づいているため、最初の要求が行われた場合でも遅延が発生しないようにします。

キャッシュはデフォルトでは有効になっていません。この機能を使用するには、キャッシュが有効になっていることを確認します。拡張Webフィルタリング(EWF)のキャッシュを有効にするには、以下の設定が必要で、SRXシリーズファイアウォールで使用できます。

• security utm default-configuration web-filtering juniper-enhanced cache timeout

• security utm default-configuration web-filtering juniper-enhanced cache size

拡張Webフィルタリング用キャッシュプリロードには、次のCLI設定ステートメントオプションを使用します。

表 1: オプション

フィードURL	既定のハードコードされたファイルの代わりに代替ファイルをダウンロードするために使用されます。必須ではありません。設定されていない場合は、ハードコーディングされた既定値が使用されます。 デフォルトのフィード URL: https://update.juniper-updates.net/EWF-CACHE-PRELOAD/ フィードタイプに基づいて、次のいずれかのデフォルトが使用されます。 https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz
自動	ダウンロードとプリロードキャッシュをユーザーの操作なしで自動的に設定するために使用されます。
自動インターバル<時間単位>	自動キャッシュ プリロードをスケジュールするために使用されます。自動オプションが指定されている場合は必須です。
自動再試行<時間単位>	何らかの理由で自動キャッシュプリロードが失敗した場合の再試行をスケジュールするために使用されます。自動オプションが指定されている場合は必須です。
自動フィードタイプ<abs-urls-feedまたはサーバー名フィード>	自動ダウンロードおよびプリロード機能で使用するフィードタイプを指定するために使用します。自動オプションが指定されている場合は必須です。

手記：

キャッシュ内のエントリの最大数は、次のコマンドを使用して制限できます。

set security utm default-configuration web-filtering juniper-enhanced cache size ?

可能な完了:

<size> Juniper enhanced cache size (0..4096 kilobytes)

拡張Webフィルタリングキャッシュプリロード機能の新しい操作コマンドがCLIから利用できます。

操作コマンドを使用して、リモートサーバーから任意のURLフィードをダウンロードできます。Feed-URL オプションは、既定のハードコードされたファイルではなく、代替ファイルをダウンロードする場合に便利です。Feed-URL オプションを使用しても、指定したパッケージで使用可能なフィードのタイプを示すには、サーバー名フィードオプションと abs-urls-feed オプションが必要です。

• request security utm web-filtering cache-preload download abs-urls-feed

• request security utm web-filtering cache-preload download server-names-feed

• request security utm web-filtering cache-preload download server-names-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_fp_feed.tgz

• request security utm web-filtering cache-preload download abs-urls-feed feed-url https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_fp_feed.tgz

手記：

種類が server-names-feed のユーザー指定パッケージには、 server_names_feed.csv ファイルと server_names_feed.ver ファイルが含まれている必要があります。

種類が abs-urls-feed must のユーザー指定パッケージには、 abs_urls_feed.csv ファイルと abs_urls_feed.ver ファイルが含まれています。

ハードコーディングされたリンクを次に示します。プログラムは、フィードタイプに基づいてリンクを選択します。

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/abs_urls_feed.tgz

https://update.juniper-updates.net/EWF-CACHE-PRELOAD/server_names_feed.tgz

以下の操作コマンドを使用して、システム内の既存のURLフィードを使用してキャッシュのプリロードをトリガーします。これらのコマンドは、ダウンロード用のコマンドを使用してパッケージが既にインストールされている場合にキャッシュを読み込みます。サーバー名フィードオプションを使用して、分類されたサーバー名をプリロードします。abs-urls-feed を使用して、分類された URL フィードをプリロードします。

• request security utm web-filtering cache-preload load-active-local server-names-feed

• request security utm web-filtering cache-preload load-active-local abs-urls-feed

次を使用して、リモート サーバーから既定の URL フィードをダウンロード、インストールし、キャッシュを読み込みます。分類されたサーバー名をダウンロードするには、サーバー名フィードオプションを使用します。abs-urls-feed を使用して、分類された URL フィードをダウンロードします。

• request security utm web-filtering cache-preload load-active server-names-feed

• request security utm web-filtering cache-preload load-active abs-urls-feed

キャッシュプリロード機能のステータスを確認するには、次のコマンドを使用します。

拡張Webフィルタリング(EWF)向けのユーザーメッセージとリダイレクトURL

Junos OSリリース15.1X49-D110以降、custom-objectsステートメントに新しいオプションcustom-messageが追加されています。これにより、EWFカテゴリごとにURLがブロックまたは隔離されたときに、ユーザーメッセージとリダイレクトURLを設定してユーザーに通知することができます。custom-message オプションには、以下の必須属性があります。

• 名前: カスタムメッセージの名前。最大長は 59 文字の ASCII 文字です。

• 種類: カスタム メッセージの種類: user-message または redirect-url。

• コンテンツ: カスタムメッセージの内容。最大長は 1024 ASCII 文字です。

ユーザメッセージまたはリダイレクトURLをカスタムオブジェクトとして設定し、カスタムオブジェクトをEWFカテゴリに割り当てます。

• ユーザーメッセージは、Web サイトへのアクセスが組織のアクセスポリシーによってブロックされていることを示します。ユーザーメッセージを設定するには、[edit security utm custom-objects custom-message message]階層レベルで type user-message content message-text ステートメントを含めます。

• リダイレクト URL は、ブロックまたは検疫された URL をユーザー定義の URL にリダイレクトします。リダイレクト URL を設定するには、[edit security utm custom-objects custom-message message] 階層レベルで type redirect-url content redirect-url ステートメントを含めます。

custom-message オプションには、次の利点があります。

• EWF カテゴリごとに個別のカスタム メッセージまたはリダイレクト URL を構成できます。

• [ custom-message ] オプションを使用すると、メッセージを微調整してポリシーをサポートし、どの URL がブロックまたは検疫されているかを把握できます。

  カテゴリごとに適用される custom-message 構成オプションは 1 つだけです。 custom-message 設定は、拡張Webフィルタリング(EWF)でのみサポートされています。そのため、Juniper EWFエンジンタイプのみがサポートされます。

Junos OSリリース17.4R1以降、ローカルおよびWebsenseリダイレクトプロファイルでカスタムカテゴリ設定のサポートが利用できます。

インテリジェントWebフィルタリングプロファイル選択

Junos OSリリース23.2R1以降、ポリシーの最終一致が行われる前に、JDPIからの動的アプリ情報を使用してポリシー情報を取得できるようになりました。Web フィルター プロファイルは、最終的なアプリケーションの一致に基づいて最終的なポリシーが選択された後、再度更新されます。

動的アプリ情報に基づいて取得されるコンテンツセキュリティプロファイルは、以前のアプローチであったデフォルトプロファイルを適用するよりも正確です。

動的なアプリベースのポリシー検出が既定の動作になりました。次のノブが Web フィルタリングのデフォルト設定階層に追加され、必要に応じて動的アプリプロファイル検出機能が無効になります。

set security utm default-configuration web-filtering disable-dynapp-profile-selection

コンテンツセキュリティポリシーの1つをデフォルトにするために、次のコマンドが導入されています。

set security utm default-policy <pol_name>

このコマンドを使用して、任意のコンテンツセキュリティポリシーをデフォルトポリシーとして選択できます。デフォルトポリシーが統一されたマルチポリシー設定シナリオで設定されている場合は、デフォルトのコンテンツセキュリティWebフィルタリングポリシーが使用されます。設定されていない場合は、junos-default-utm-policyがデフォルトポリシーとして使用されます。

手記：

デフォルトのポリシー変更は Web フィルタリングにのみ適用され、コンテンツ フィルタリング、アンチウィルス、アンチスパムには適用されません。

次のCLIコマンドを使用して、dynappプロファイル選択の設定を表示します。

show security utm web-filtering status

コンテンツセキュリティ Web フィルタリングのステータス:

次のコマンドを使用して、ポリシー参照アクティビティのデバッグ カウンタ値を表示します。

show security utm l7-app-policy statistics

新しいカウンターがデバッグ用の Web フィルタリング統計に追加されます。

表 2: Web フィルタリング統計に追加された新しいカウンタ

Dynappポリシーに一致するセッション	uf_ng セッションに関連付けられているポリシーが、新しく識別された App-ID に基づいて変更されるたびに増加します。
デフォルト・ポリシーに一致するセッション	接続に対して実行されるコンテンツセキュリティポリシーアクションが、ユーザーが設定したデフォルトポリシーに基づいている場合に増加します。このカウンタは、ユーザが設定したデフォルト ポリシーが new dynamic-app で識別されるポリシーと同じ場合、またはユーザが設定したデフォルト ポリシーに有効なコンテンツ セキュリティ Web フィルタリング プロファイルがあり、ポリシーが no が既存のファイアウォール ポリシーと一致していない場合に増加します。
最終ポリシーと一致したセッション	ポリシーの競合なしにコンテンツセキュリティポリシーに対してアクションが実行されると増加します。

手記：

show services application-identification application-system-cacheコマンドを使用して、AppIDモジュールによって識別される動的アプリケーションを確認します。

拡張Webフィルタリング(EWF)向けのユーザーメッセージとリダイレクトURL

Junos OSリリース15.1X49-D110以降、custom-objectsステートメントに新しいオプションcustom-messageが追加されています。これにより、EWFカテゴリごとにURLがブロックまたは隔離されたときに、ユーザーメッセージとリダイレクトURLを設定してユーザーに通知することができます。custom-message オプションには、以下の必須属性があります。

• 名前: カスタムメッセージの名前。最大長は 59 文字の ASCII 文字です。

• 種類: カスタム メッセージの種類: user-message または redirect-url。

• コンテンツ: カスタムメッセージの内容。最大長は 1024 ASCII 文字です。

ユーザメッセージまたはリダイレクトURLをカスタムオブジェクトとして設定し、カスタムオブジェクトをEWFカテゴリに割り当てます。

• ユーザーメッセージは、Web サイトへのアクセスが組織のアクセスポリシーによってブロックされていることを示します。ユーザーメッセージを設定するには、[edit security utm custom-objects custom-message message]階層レベルで type user-message content message-text ステートメントを含めます。

• リダイレクト URL は、ブロックまたは検疫された URL をユーザー定義の URL にリダイレクトします。リダイレクト URL を設定するには、[edit security utm custom-objects custom-message message] 階層レベルで type redirect-url content redirect-url ステートメントを含めます。

custom-message オプションには、次の利点があります。

• EWF カテゴリごとに個別のカスタム メッセージまたはリダイレクト URL を構成できます。

• custom-message オプションを使用すると、メッセージを微調整してポリシーをサポートし、どの URL がブロックまたは検疫されているかを把握できます。

• 各カテゴリに適用されるカスタム メッセージ構成オプションは 1 つだけです。カスタム メッセージ設定は、拡張 Web フィルタリング(EWF)でのみサポートされます。そのため、Juniper EWFエンジンタイプのみがサポートされます。

Junos OSリリース17.4R1以降、ローカルおよびWebsenseリダイレクトプロファイルでカスタムカテゴリ設定のサポートが利用できます。