Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

J-Web 統合コンテンツ セキュリティ Web フィルタリングを使用して Web サイトを許可またはブロックする

Webフィルタリングの概要と、J-Webを使用してコンテンツセキュリティ対応SRXシリーズファイアウォールでURLをフィルタリングする方法をご覧ください。Webフィルタリングは、Webへのアクセスを許可またはブロックしたり、ネットワークトラフィックを監視したりするのに役立ちます。

コンテンツ セキュリティ URL フィルタリングの概要

今日、私たちのほとんどは Web に多くの時間を費やしています。私たちは、お気に入りのサイトを閲覧し、電子メールで送られてきた興味深いリンクをたどり、オフィス ネットワークにさまざまな Web ベースのアプリケーションを使用します。このようにネットワークの利用が増えたことは、個人的にも仕事上でも役立っています。しかしながら、それはまた、潜在的なデータ損失、コンプライアンスの欠如、マルウェアやウイルスなどの脅威など、さまざまなセキュリティおよびビジネスリスクに組織をさらすことになります。リスクが高まるこの環境では、企業はWebまたはURLフィルターを実装してネットワークの脅威を制御するのが賢明です。Web フィルタまたは URL フィルタを使用して、インターネット上の Web サイトを分類し、ユーザ アクセスを許可またはブロックできます。

以下は、オフィスネットワークのユーザーがブロックされたWebサイトにアクセスできる典型的な状況の例です。

Web ブラウザーで、ユーザーは人気のあるゲーム サイト「 www.game.co.uk」と入力します。ユーザーは、 Access DeniedThe Website is blocked などのメッセージを受信します。このようなメッセージが表示されるということは、組織がゲーム Web サイトのフィルターを挿入しており、職場からサイトにアクセスできないことを意味します。

Juniper Web(J-Web)デバイスマネージャーは、SRXシリーズファイアウォールでコンテンツセキュリティWebフィルタリングをサポートします。

手記:

Junos OS 22.2R1以降:

  • J-Web GUI では、UTM という用語は「コンテンツ セキュリティ」に置き換えられています。

  • Junos CLIコマンドでは、コンテンツセキュリティを表す従来の用語UTMを引き続き使用します。

J-Web では、Webフィルタリング プロファイルが、Web サイトのカテゴリで事前に定義された Web 接続に基づいて、一連の権限とアクションを定義します。また、Webフィルタリング プロファイル用のカスタム URL カテゴリと URL パターン リストを作成することもできます。

手記:

J-Web Content Security Webフィルタリングを使用してメール内のURLを検査することはできません。

コンテンツセキュリティのメリット Web フィルタリング

  • ローカル Webフィルタリング:

    • ライセンスは必要ありません。

    • ポリシーを適用する許可サイト(許可リスト)またはブロックされたサイト(ブロックリスト)の独自のリストを定義できます。

  • 拡張Webフィルタリング:

    • 最も強力な統合フィルタリング方法であり、URL カテゴリの詳細なリスト、Google セーフ サーチのサポート、評価エンジンが含まれています。

    • 追加のサーバーコンポーネントは必要ありません。

    • 各 URL の脅威スコアをリアルタイムで提供します。

    • ブロックされた URL へのユーザー アクセスを単に禁止するのではなく、ブロックされた URL からユーザー定義の URL にユーザーをリダイレクトできます。

  • リダイレクトWebフィルタリング:

    • すべてのクエリをローカルで追跡するため、インターネット接続は必要ありません。

    • スタンドアロンの Websense ソリューションのログ機能とレポート機能を使用します。

Web フィルタリング ワークフロー

スコープ

この例では、次のことを行います。

  1. 独自のカスタムURLパターンリストとURLカテゴリを作成します。

  2. ローカル エンジン タイプを使用して Webフィルタリング プロファイルを作成します。ここでは、SRXシリーズファイアウォールで評価される許可サイト(許可リスト)またはブロックされたサイト(ブロックリスト)にできる独自のURLカテゴリを定義します。ブロックされたサイトに追加されたすべての URL は拒否されますが、許可されたサイトに追加されたすべての URL は許可されます。

  3. 不適切なゲーム Web サイトをブロックし、適切な Web サイト( www.juniper.net など)を許可します。

  4. ユーザーがゲーム Web サイトにアクセスしようとしたときに表示するカスタム メッセージを定義します。

  5. Webフィルタリングプロファイルをコンテンツセキュリティポリシーに適用します。

  6. コンテンツセキュリティポリシーをセキュリティポリシールールに割り当てます。

手記:

WebフィルタリングとURLフィルタリングは同じ意味です。この例では、 Webフィルタリング という用語を使用します。

始める前に

  • デバイスが 基本構成で設定されていることを前提としています。そうでない場合は、「 セットアップ ウィザードの構成」を参照してください。

  • ローカル エンジン タイプを使用する場合、Webフィルタリング プロファイルを設定するためのライセンスは必要ありません。これは、独自の URL パターン リストと URL カテゴリを定義する必要があるためです。

  • WebフィルタリングプロファイルのJuniper Enhancedエンジンタイプを試す場合は、有効なライセンス(wf_key_websense_ewf)が必要です。リダイレクト Webフィルタリングにライセンスは必要ありません。

  • この例で使用するSRXシリーズファイアウォールが、Junos OS リリース22.2R1以降を実行していることを確認します。

    手記:

    Junos OS 22.2R1以降:

    • J-Web GUI では、「コンテンツセキュリティ」という用語は「コンテンツセキュリティ」に置き換えられます。

    • Junos CLIコマンドでは、コンテンツセキュリティに従来の「コンテンツセキュリティ」という用語を引き続き使用します。

位相幾何学

このトポロジーでは、インターネットにアクセスできるコンテンツセキュリティ対応のSRXシリーズファイアウォールに接続されたPCがあります。J-Webを使用して、この簡単なセットアップを使用して、インターネットに送信されるHTTP/HTTPSリクエストをフィルタリングしてみましょう。

Network diagram showing data flow from a PC in the trusted zone through an SRX Series firewall to the untrusted Internet zone.

スニークピーク – J-WebコンテンツセキュリティのWebフィルタリング手順

Workflow diagram for managing URL filtering in web security: 1. List URLs to allow or block. 2. Categorize URLs. 3. Add Web filter profile. 4. Attach profile to Content Security policy. 5. Assign to security policy. 6. Verify URLs.

ステップ 1: 許可またはブロックする URL を一覧表示する

このステップでは、カスタムオブジェクト(URLとパターン)を定義して、許可またはブロックするURLを処理します。

現在地(J-Web UI): セキュリティ サービス>Content Security>Custom Objects

URL を一覧表示するには:

  1. 「URL パターンリスト」タブをクリックします。
  2. 追加アイコン(+)をクリックして、URLパターンリストを追加します。

    [Add URL パターン List] ページが表示されます。 図 1 を参照してください。

  3. 次の表の「アクション」列にリストされているタスクを実行します。

    アクション

    名前

    allowed-sites 」または「 blocked-sites」と入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大長は 29 文字です。

    価値

    1. [+] をクリックして URL パターン値を追加します。

    2. 次のように入力します。

      • 許可されたサイトの場合—www.juniper.net および www.google.com

      • ブロックされたサイトの場合—www.gematsu.com および www.game.co.uk

    3. Blue checkmark indicating confirmation or approval.チェックマークアイコンをクリックします。
    図 1: URL パターン リストの追加 Two sections to manage URL lists. Blocked-sites: www.gematsu.com, www.game.co.uk. Allowed-sites: www.juniper.net, www.google.com. Options to add, delete, cancel, or confirm.
  4. [OK] をクリックして変更を保存します。

    よく出来ました!設定の結果は次のとおりです。

    Allowed sites: juniper.net and google.com. Blocked sites: gematsu.com and game.co.uk. Icons of hands shaking represent configuration.
    Custom Objects interface with URL Pattern List tab selected; shows allowed-sites: www.juniper.net and blocked-sites: www.gematsu.com.

手順 2: 許可またはブロックする URL を分類する

次に、作成したURLパターンをURLカテゴリリストに割り当てます。カテゴリ リストは、関連付けられた URL に関連付けられたアクションを定義します。たとえば、 ギャンブル カテゴリはブロックする必要があります。

現在地: セキュリティ サービス>Content Security>Custom Objects.

URL を分類するには:

  1. [URL カテゴリ リスト(URL Category List)] タブをクリックします。
  2. 追加アイコン(+)をクリックして、URLカテゴリリストを追加します。

    [Add URL Category List] ページが表示されます。 図 2 を参照してください。

  3. 次の表の「アクション」列にリストされているタスクを実行します。

    アクション

    名前

    許可されたサイトの URL パターンの場合は good-sites 、ブロックされたサイトの URL パターンの場合は stop-sites として、URLカテゴリ リスト名を入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大長は 59 文字です。

    URL パターン

    1. [使用可能(Available)] 列から URL パターン値の [allowed-sites ] または [blocked-sites] を選択して、URL パターン値を URL カテゴリの good-sites または stop-sites にそれぞれ関連付けます。

    2. 右矢印をクリックして、URL パターン値を [選択済み] 列に移動します。

    図 2: [Add URL Category List] User interface for adding a URL category list in a network tool. Creating
  4. [OK] をクリックして変更を保存します。

    よく出来ました!設定の結果は次のとおりです。

    Good-sites with allowed-sites and stop-sites with blocked-sites categories, handshake icon, reference code g300751.
    Web interface for managing Custom Objects with URL Category List tab selected. Entries: good-sites allowed-sites, stop-sites blocked-sites. Options to add, edit, delete entries. Other tabs: MIME Pattern List, File Extension List, Protocol Command List, URL Pattern List, Custom Message List.

ステップ 3:Web フィルタリング プロファイルを追加する

それでは、作成したURLオブジェクト(パターンとカテゴリー)をContent Security Webフィルタリングプロファイルにリンクします。このマッピングにより、フィルタリング動作に異なる値を設定できます。

現在地: セキュリティ サービス>Content Security>Web フィルタリング プロファイル。

Webフィルタリング プロファイルを作成するには、次の手順に従います。

  1. 追加アイコン(+)をクリックして、Webフィルタリングプロファイルを追加します。

    [Create Web Filtering Profiles] ページが表示されます。 図 3 を参照してください。

  2. 次の表の「アクション」列にリストされているタスクを実行します。

    アクション
    全般

    名前

    Webフィルタリングプロファイルに「 wf-local 」と入力します。

    手記:

    最大長は 29 文字です。

    タイムアウト

    30(秒単位)を入力して、ローカルエンジンからの応答を待ちます。

    最大値は 1800 秒です。デフォルト値は 15 秒です。

    エンジン型式

    Webフィルタリングの ローカル エンジンタイプを選択します。「 次へ」をクリックします。

    手記:

    デフォルト値は Juniper Enhanced です。
    URL カテゴリ

    +

    追加アイコンをクリックして、[URL カテゴリの選択(URL カテゴリを選択)] ウィンドウを開きます。

    リストに適用する URL カテゴリを選択します

    good-sites または stop-sites を選択します。

    アクション

    リストから [good-sites] カテゴリの [Log and Permit ] を選択します。

    リストから [stop-sites] カテゴリの [ブロック ] を選択します。
    図3:Web フィルタリング プロファイルの作成 User interface for creating web filtering profiles at the URL Categories step. Shows actions like Log and Permit for good-sites and Block for stop-sites.
  3. 終了」をクリックします。設定の概要を確認し、[OK] をクリックして変更を保存します。

    よく出来ました!設定の結果は次のとおりです。

    Web Filtering Profiles section with a table listing profile details like Name, Profile Type, Default Action, and Timeout, plus toolbar options for adding, editing, deleting profiles, and a search bar.
  4. 構成に成功したというメッセージが表示されたら、[閉じる] をクリックします。

手順 4: コンテンツ セキュリティ セキュリティポリシーで Web フィルタリング プロファイルを参照する

次に、Webフィルタリングプロファイル(wf-local)を、セキュリティポリシーに適用できるコンテンツセキュリティポリシーに割り当てる必要があります。

現在地: セキュリティ サービス>コンテンツセキュリティ>コンテンツセキュリティポリシー

コンテンツセキュリティポリシーを作成するには:

  1. 追加アイコン(+)をクリックして、コンテンツセキュリティポリシーを追加します。

    「コンテンツセキュリティポリシーの作成」ページが表示されます。

  2. 次の表の「アクション」列にリストされているタスクを実行します。

    アクション
    一般 – 一般情報

    名前

    コンテンツセキュリティポリシーに「 wf-custom-policy 」と入力します。

    手記:

    最大長は 29 文字です。

    [ 次へ ] をクリックし、[ 次へ ] をクリックしてウイルス対策の構成をスキップします。
    Web フィルタリング:トラフィック プロトコルによる Web フィルタリング プロファイル

    HTTP

    リストから「 wf-local 」を選択し、ワークフローが終了するまで「 次へ 」をクリックします。
  3. 終了」をクリックします。設定の概要を確認し、[OK] をクリックして変更を保存します。

    もうすぐです!設定の結果は次のとおりです。

    Gray banner with Content Security Policies section with a table listing policies like wf-custom-policy and buttons for managing them.
  4. 成功メッセージが表示されたら、[閉じる] をクリックします。

    もう少しで完了です。ここで、正常サイトと停止サイトのリストを参照するデフォルトの UTM Web フィルタリング ポリシーを作成します。

    現在地: セキュリティ サービス>コンテンツセキュリティ>デフォルト設定>Webフィルタリング

  5. 編集アイコンをクリックして、デフォルトの Web フィルタリング ポリシーを変更します。

    [Web フィルタリング(Web Filtering)] ページが表示されます。

  6. 次の表の「アクション」列にリストされているタスクを実行します。

    アクション

    種類

    リストから [Juniper Local] を選択して、ローカルのコンテンツセキュリティフィルタリングデータベースの使用を設定します。

    URL ブロックリスト

    リストから stop-sites を選択して、許可されていない (ブロックされている) URL のリストにリンクします。

    URL許可リスト

    リストから good-sites を選択して、許可された URL のリストにリンクします。

    ジュニパーのローカル>グローバル

    カスタム ブロック メッセージ

    「Juniper Web Filtering has been set to block this site」と入力します。

    デフォルトアクション

    リストから [ ブロック ] を選択します。

    他のフィールドをスキップして、「 OK」をクリックします。
  7. OK」をクリックして変更を保存します。

    もうすぐです!以下は、コンテンツ セキュリティの既定の Web Webフィルタリング設定の結果です。Web filtering settings interface for UTM with options for HTTP persist, HTTP reassemble, type set to juniper-local, URL blacklist labeled stop-sites, and URL whitelist labeled good-sites. Expandable sections for Juniper Enhanced and Juniper Local settings.

    いい知らせ!これで、Content Security の Web Webフィルタリングの設定は完了です。

手順 5: コンテンツ セキュリティポリシーをセキュリティポリシーに割り当てる

コンテンツ セキュリティ構成を TRUST ゾーンから INTERNET ゾーンのセキュリティ ポリシーにまだ割り当てていません。フィルタリング アクションは、一致条件として機能するセキュリティ ポリシー ルールにコンテンツ セキュリティ ポリシーを割り当てた後にのみ実行されます。

手記:

セキュリティ ポリシー ルールが許可されている場合、SRXシリーズファイアウォールは以下を実行します。

  1. HTTP/HTTPS接続をインターセプトし、(HTTP/HTTPSリクエスト内の)各URLまたはIPアドレスを抽出します。

    手記:

    HTTPS接続の場合、WebフィルタリングはSSLフォワードプロキシを介してサポートされます。

  2. Webフィルタリング(セキュリティ サービス>コンテンツセキュリティ>デフォルト設定)で、ユーザーが設定したブロックリストまたは許可リストでURLを検索します。次に、URLが次の場所にある場合:

    1. ユーザーが構成したブロックリストの場合、デバイスはURLをブロックします。

    2. ユーザーが構成した許可リストでは、デバイスはURLを許可します。

  3. ユーザー定義のカテゴリをチェックし、カテゴリに対してユーザーが指定したアクションに基づいて URL をブロックまたは許可します。

  4. Webフィルタリングプロファイルで設定されたデフォルトのアクションに基づいて、URLを許可またはブロックします(カテゴリが設定されていない場合)。

You are here: セキュリティポリシーとオブジェクト>セキュリティポリシー.

コンテンツセキュリティポリシーのセキュリティポリシールールを作成するには:

  1. 追加アイコン(+)をクリックします。
  2. 表 1 の「アクション」列にリストされているタスクを実行します。
    表 1: ルール設定

    アクション
    一般 – 一般情報

    ルール名

    セキュリティ ポリシーに「 wf-local-policy 」と入力し、good-sites カテゴリを許可し、stop-sites カテゴリを拒否します。

    ルールの説明

    セキュリティ ポリシー ルールの説明を入力します。

    送信元ゾーン

    1. [+] をクリックします。

      [ソースの選択(Select Sources)] ページが表示されます。

    2. [ゾーン(Zone)]:リストから [TRUST ] を選択します。

    3. [アドレス(Addresses)]:このフィールドはデフォルト値の [任意(Any)] のままにします。

    4. [OK] をクリックします。

    ゾーンと宛先

    1. [+] をクリックします。

      [Select Destination] ページが表示されます。

    2. [ゾーン(Zone)]:リストから [インターネット(INTERNET )] を選択します。

    3. [アドレス(Addresses)]:このフィールドはデフォルト値の [任意(Any)] のままにします。

    4. [サービス(Services)]:このフィールドはデフォルト値の [任意(Any)] のままにします。

    5. [URL Category]:このフィールドは空白のままにします。

    6. [OK] をクリックします。

    アクション

    デフォルトでは、[ 許可] が選択されています。そのままにしておきます。

    先進のセキュリティ

    1. [+] をクリックします。

      [高度なセキュリティの選択] ページが表示されます。

    2. [コンテンツセキュリティ(Content Security)]:リストから [wf-custom-policy ] を選択します。

    3. [OK] をクリックします。

    手記:

    [Security Policies & Objects]>[Zones/Screens]に移動して、ゾーンを作成します。ゾーンの作成は、このドキュメントの範囲外です。
  3. Blue checkmark indicating confirmation or approval.チェックマークアイコンをクリックし、「保存」をクリックして変更を保存します。
    手記:

    新しいルールの作成時にインラインチェックマークとキャンセルアイコンが使用できない場合は、水平バーをスクロールして戻します。

    よく出来ました!設定の結果は次のとおりです。

    Security policy configuration allowing traffic from TRUST zone to INTERNET zone with no source, destination, or service restrictions. Rule action is permit.
    Security Policies configuration interface showing a table with details about a security policy rule, including Seq, Hits, Rule Name, Source Zone, Source Address, Identity, Destination Zone, Destination Address, Dynamic Application, Services, URI Category, Action, Advanced Security, and Options columns.
  4. コミット アイコン (上部のバナーの右側) をクリックし、[コミット] を選択します。

    「successful-commit」メッセージが表示されます。

    万丈!URLリクエストをフィルタリングする準備が整いました。

手順 6: URL がサーバーから許可またはブロックされていることを確認する

設定とセキュリティポリシーが、トポロジで定義されたURLで正常に機能することを確認しましょう。

  • www.gematsu.comwww.game.co.uk を入力すると、SRXシリーズ ファイアウォールによって URL がブロックされ、構成されたブロックされたサイト メッセージが送信されます。

    手記:

    ほとんどのサイトではHTTPSを使用しています。ブロックされたサイトメッセージは、HTTPサイトでのみ表示されます。HTTPS の場合、 An error occurred during a connection to <blocked-siteurl> PR_CONNECT_RESET_ERROR などの「セキュア接続に失敗しました」というエラー メッセージが表示されることがあります。

  • www.juniper.netwww.google.com を入力すると、SRXシリーズファイアウォールはホームページが表示されたURLを許可する必要があります。

Juniper Web Filtering diagram showing SRX Series device blocking access to gematsu.com and game.co.uk while allowing access to juniper.net and google.com.

次のステップ

何をすべきか?

どこ。

コンテンツ セキュリティ Webフィルタリングの情報と統計を監視します。

J-Web で、[ 監視>セキュリティ サービス>コンテンツ セキュリティ>Web フィルタリング] に移動します。

許可およびブロックされたURLに関するレポートを生成して表示します。

J-Web で [レポート] に移動します。Webfilterログを介して、脅威評価レポートと上位ブロックアプリケーションのレポートを生成します。

詳しくは、コンテンツ セキュリティ機能についての記事をご覧ください。

コンテンツセキュリティユーザーガイド

設定出力の例

このセクションでは、この例で定義された Web サイトを許可およびブロックする構成の例を示します。

[edit security utm] 階層レベルで、以下のコンテンツセキュリティ設定を行います。

カスタムオブジェクトの作成:

Webフィルタリング プロファイルの作成:

コンテンツセキュリティポリシーの作成:

セキュリティポリシールールは、 [edit security policies] 階層レベルで設定します。

セキュリティポリシーのルールの作成: