このページの目次
J-Web 統合コンテンツ セキュリティ Web フィルタリングを使用した Web サイトの許可またはブロック
概要 Webフィルタリングについて、およびJ-Webを使用してコンテンツセキュリティが有効になったSRXシリーズファイアウォールでURLをフィルタリングする方法について説明します。Web フィルタリングは、Web へのアクセスを許可またはブロックしたり、ネットワーク トラフィックを監視したりするのに役立ちます。
コンテンツ セキュリティ URL フィルタリングの概要
今日、私たちのほとんどはWebに一定の時間を費やしています。私たちはお気に入りのサイトを閲覧し、電子メールで送信された興味深いリンクをたどり、オフィスネットワークにさまざまなWebベースのアプリケーションを使用しています。このネットワークの使用の増加は、個人的にも専門的にも私たちを助けます。ただし、潜在的なデータ損失、コンプライアンスの欠如、マルウェアやウイルスなどの脅威など、さまざまなセキュリティおよびビジネスリスクに組織をさらす可能性もあります。リスクが増大するこの環境では、WebフィルターまたはURLフィルターを実装してネットワークの脅威を制御することが企業にとって賢明です。Web フィルターまたは URL フィルターを使用して、インターネット上の Web サイトを分類し、ユーザー アクセスを許可またはブロックできます。
オフィスネットワークのユーザーがブロックされたWebサイトにアクセスできる典型的な状況の例を次に示します。
Web ブラウザーで、ユーザーは人気のあるゲーム サイトの www.game.co.uk と入力します。ユーザーは、 Access Denied
や The Website is blocked
などのメッセージを受信します。このようなメッセージが表示された場合は、組織がゲーム Web サイトのフィルターを挿入しており、職場からサイトにアクセスできないことを意味します。
Juniper Web(J-Web)デバイスマネージャーは、SRXシリーズファイアウォール上のコンテンツセキュリティWebフィルタリングをサポートしています。
Junos OS 22.2R1以降:
J-Web GUI では、UTM という用語はコンテンツ セキュリティに置き換えられています。
Junos CLI コマンドでは、コンテンツ セキュリティのために従来の用語 UTM を引き続き使用します。
J-Webでは、Webフィルタリングプロファイルは、Webサイトのカテゴリ別に事前定義されたWeb接続に基づいて、権限とアクションのセットを定義します。また、Web フィルタリング プロファイルのカスタム URL カテゴリと URL パターン リストを作成することもできます。
J-WebコンテンツセキュリティWebフィルタリングを使用して電子メール内のURLを検査することはできません。
コンテンツ セキュリティ Web フィルタリングのメリット
ローカルWebフィルタリング:
ライセンスは必要ありません。
ポリシーを適用する許可サイト (許可リスト) またはブロックされたサイト (ブロックリスト) の独自のリストを定義できます。
拡張 Web フィルタリング:
最も強力な統合フィルタリング方法であり、URLカテゴリの詳細なリスト、Googleセーフサーチのサポート、および評判エンジンが含まれています。
追加のサーバー コンポーネントは必要ありません。
各 URL の脅威スコアをリアルタイムで提供します。
単にブロックされた URL へのユーザー アクセスを防ぐのではなく、ブロックされた URL からユーザー定義の URL にユーザーをリダイレクトできます。
リダイレクトWebフィルタリング:
すべてのクエリをローカルで追跡するため、インターネット接続は必要ありません。
スタンドアロンのWebsenseソリューションのロギングおよびレポート機能を使用します。
Web フィルタリングのワークフロー
スコープ
この例では、次のことを行います。
独自のカスタム URL パターン リストと URL カテゴリを作成します。
-
ローカル エンジン タイプを使用して Web フィルタリング プロファイルを作成します。ここでは、SRXシリーズファイアウォールで評価される許可サイト(許可リスト)またはブロックされたサイト(ブロックリスト)にできる独自のURLカテゴリを定義します。ブロックされたサイトに追加されたすべての URL は拒否されますが、許可されたサイトに追加されたすべての URL は許可されます。
不適切なゲームWebサイトをブロックし、適切なWebサイト( www.juniper.net など)を許可します。
ユーザーがゲーム Web サイトにアクセスしようとしたときに表示するカスタム メッセージを定義します。
Webフィルタリングプロファイルをコンテンツセキュリティポリシーに適用します。
コンテンツセキュリティポリシーをセキュリティポリシールールに割り当てます。
Web フィルタリングと URL フィルタリングの意味は同じです。この例では、 Web フィルタリング という用語を使用します。
始める前に
デバイスは基本構成で設定されていることを前提としています。そうでない場合は、「 セットアップの構成ウィザード」を参照してください。
ローカル エンジン タイプを使用する場合、Web フィルタリング プロファイルを設定するためのライセンスは必要ありません。これは、独自の URL パターン リストと URL カテゴリを定義する必要があるためです。
WebフィルタリングプロファイルでJuniper Enhancedエンジンタイプを試す場合は、有効なライセンス(wf_key_websense_ewf)が必要です。リダイレクト Web フィルタリングにライセンスは必要ありません。
この例で使用するSRXシリーズファイアウォールが、Junos OSリリース22.2R1以降を実行していることを確認します。
手記:Junos OS 22.2R1以降:
J-Web GUI では、コンテンツセキュリティという用語はコンテンツセキュリティに置き換えられています。
Junos CLIコマンドでは、コンテンツセキュリティのために、従来の用語「コンテンツセキュリティ」を引き続き使用しています。
位相幾何学
このトポロジーでは、インターネットにアクセスできる、コンテンツセキュリティが有効なSRXシリーズファイアウォールに接続されたPCがあります。この簡単な設定で、J-Webを使ってインターネットに送信されるHTTP/HTTPSリクエストをフィルタリングしてみましょう。
スニークピーク – J-WebコンテンツセキュリティWebフィルタリングの手順
手順 1: 許可またはブロックする URL を一覧表示する
このステップでは、許可またはブロックする URL を処理するカスタムオブジェクト (URL とパターン) を定義します。
現在地は(J-Web UI内) セキュリティサービス>コンテンツセキュリティ>カスタムオブジェクトです。
URL を一覧表示するには:
手順 2: 許可またはブロックする URL を分類する
次に、作成した URL パターンを URL カテゴリ リストに割り当てます。カテゴリ リストは、関連付けられた URL に関連付けられたアクションを定義します。たとえば、 ギャンブル カテゴリをブロックする必要があります。
現在地: セキュリティ サービス>コンテンツ セキュリティ>カスタム オブジェクト。
URL を分類するには:
ステップ 3: Web フィルタリングプロファイルを追加する
次に、作成したURLオブジェクト(パターンとカテゴリ)をコンテンツセキュリティWebフィルタリングプロファイルにリンクしましょう。このマッピングにより、フィルタリング動作に異なる値を設定できます。
現在地: セキュリティ サービス>コンテンツ セキュリティ> Web フィルタリング プロファイル。
Web フィルタリング プロファイルを作成するには、次の手順を実行します。
ステップ 4: コンテンツセキュリティポリシーでの Web フィルタリングプロファイルの参照
次に、セキュリティポリシーに適用できるコンテンツセキュリティポリシーにWebフィルタリングプロファイル(wf-local)を割り当てる必要があります。
現在地: セキュリティ サービス>コンテンツ セキュリティ>コンテンツ セキュリティ ポリシー.
コンテンツセキュリティポリシーを作成するには:
ステップ 5: コンテンツセキュリティポリシーをセキュリティポリシーに割り当てる
コンテンツセキュリティ設定を、TRUSTゾーンからインターネットゾーンのセキュリティポリシーにまだ割り当てていません。フィルタリングアクションは、一致条件として機能するセキュリティポリシールールにコンテンツセキュリティポリシーを割り当てた後にのみ実行されます。
セキュリティポリシールールが許可されている場合、SRXシリーズファイアウォールは以下を行います。
HTTP/HTTPS 接続をインターセプトし、(HTTP/HTTPS リクエスト内の) 各 URL、または IP アドレスを抽出します。
手記:HTTPS 接続の場合、Web フィルタリングは SSL フォワード プロキシ経由でサポートされます。
-
Web フィルタリング(セキュリティ サービス>コンテンツ セキュリティ>デフォルト設定)で、ユーザーが構成したブロックリストまたは許可リスト内の URL を検索します。次に、URL が次の場所にあるとします。
-
ユーザーが設定したブロックリストの場合、デバイスは URL をブロックします。
-
ユーザーが設定した許可リストの場合、デバイスは URL を許可します。
-
ユーザー定義のカテゴリを確認し、カテゴリのユーザー指定のアクションに基づいて URL をブロックまたは許可します。
Web フィルタリングプロファイルで設定されたデフォルトアクションに基づいて、URL(カテゴリが設定されていない場合)を許可またはブロックします。
現在地: Security Policies & Objects>Security Policies.
コンテンツセキュリティポリシーのセキュリティポリシールールを作成するには:
手順 6: URL がサーバーから許可またはブロックされていることを確認する
構成とセキュリティ ポリシーが、トポロジで定義された URL で正常に機能することを確認しましょう。
-
www.gematsu.com と www.game.co.uk を入力すると、SRXシリーズファイアウォールはURLをブロックし、設定されたブロックサイトメッセージを送信します。
手記:ほとんどのサイトはHTTPSを使用しています。ブロックされたサイトメッセージは、HTTPサイトでのみ表示されます。HTTPS の場合、
An error occurred during a connection to <blocked-siteurl> PR_CONNECT_RESET_ERROR
などのセキュリティで保護された接続に失敗しましたというエラー メッセージが予想されます。 -
www.juniper.net と www.google.com を入力すると、SRXシリーズファイアウォールはホームページが表示されているURLを許可します。
この後について
何をする |
どこ。 |
---|---|
コンテンツ セキュリティ Web フィルタリングの情報と統計情報を監視します。 |
J-Webで、 監視>セキュリティサービス>コンテンツセキュリティ>Webフィルタリングに移動します。 |
許可されたURLとブロックされたURLに関するレポートを生成および表示します。 |
J-Webで、[ レポート]に移動します。Webfilterログを介して、脅威評価レポートと上位ブロックされたアプリケーションのレポートを生成します。 |
詳しくは、コンテンツ セキュリティ機能についての記事をご覧ください。 |
サンプル設定出力
このセクションでは、この例で定義されている Web サイトを許可およびブロックする構成の例を示します。
以下のコンテンツセキュリティ設定を [edit security utm]
階層レベルで設定します。
カスタムオブジェクトの作成:
custom-objects { url-pattern { blocked-sites { value [ http://*.gematsu..com http://*.game.co.uk]; } allowed-sites { value [ http://*.juniper.net http://*.google.com]; } } custom-url-category { good-sites { value allowed-sites; } stop-sites { value blocked-sites; } } }
Web フィルタリングプロファイルの作成:
default-configuration { web-filtering { url-whitelist good-sites; url-blacklist stop-sites; type juniper-local; juniper-local { default block; custom-block-message "Juniper Web Filtering has been set to block this site."; fallback-settings { default log-and-permit; server-connectivity log-and-permit; timeout log-and-permit; too-many-requests log-and-permit; } } } }
feature-profile { web-filtering { juniper-local { profile wf-local { category { stop-sites { action block; } good-sites { action log-and-permit; } } timeout 30; } } } }
コンテンツセキュリティポリシーの作成:
utm-policy wf-custom-policy { web-filtering { http-profile wf-local; } }
セキュリティ ポリシー ルールは、 [edit security policies]
階層レベルで設定します。
セキュリティポリシーのルールを作成します。
from-zone trust to-zone internet { policy wf-local-policy { match { source-address any; destination-address any; application any; } then { permit { application-services { utm-policy wf-custom-policy; } } } } }