Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

J-Web 統合コンテンツ セキュリティ Web フィルタリングを使用した Web サイトの許可またはブロック

概要 Webフィルタリングについて、およびJ-Webを使用してコンテンツセキュリティが有効になったSRXシリーズファイアウォールでURLをフィルタリングする方法について説明します。Web フィルタリングは、Web へのアクセスを許可またはブロックしたり、ネットワーク トラフィックを監視したりするのに役立ちます。

コンテンツ セキュリティ URL フィルタリングの概要

今日、私たちのほとんどはWebに一定の時間を費やしています。私たちはお気に入りのサイトを閲覧し、電子メールで送信された興味深いリンクをたどり、オフィスネットワークにさまざまなWebベースのアプリケーションを使用しています。このネットワークの使用の増加は、個人的にも専門的にも私たちを助けます。ただし、潜在的なデータ損失、コンプライアンスの欠如、マルウェアやウイルスなどの脅威など、さまざまなセキュリティおよびビジネスリスクに組織をさらす可能性もあります。リスクが増大するこの環境では、WebフィルターまたはURLフィルターを実装してネットワークの脅威を制御することが企業にとって賢明です。Web フィルターまたは URL フィルターを使用して、インターネット上の Web サイトを分類し、ユーザー アクセスを許可またはブロックできます。

オフィスネットワークのユーザーがブロックされたWebサイトにアクセスできる典型的な状況の例を次に示します。

Web ブラウザーで、ユーザーは人気のあるゲーム サイトの www.game.co.uk と入力します。ユーザーは、 Access DeniedThe Website is blocked などのメッセージを受信します。このようなメッセージが表示された場合は、組織がゲーム Web サイトのフィルターを挿入しており、職場からサイトにアクセスできないことを意味します。

Juniper Web(J-Web)デバイスマネージャーは、SRXシリーズファイアウォール上のコンテンツセキュリティWebフィルタリングをサポートしています。

手記:

Junos OS 22.2R1以降:

  • J-Web GUI では、UTM という用語はコンテンツ セキュリティに置き換えられています。

  • Junos CLI コマンドでは、コンテンツ セキュリティのために従来の用語 UTM を引き続き使用します。

J-Webでは、Webフィルタリングプロファイルは、Webサイトのカテゴリ別に事前定義されたWeb接続に基づいて、権限とアクションのセットを定義します。また、Web フィルタリング プロファイルのカスタム URL カテゴリと URL パターン リストを作成することもできます。

手記:

J-WebコンテンツセキュリティWebフィルタリングを使用して電子メール内のURLを検査することはできません。

コンテンツ セキュリティ Web フィルタリングのメリット

  • ローカルWebフィルタリング:

    • ライセンスは必要ありません。

    • ポリシーを適用する許可サイト (許可リスト) またはブロックされたサイト (ブロックリスト) の独自のリストを定義できます。

  • 拡張 Web フィルタリング:

    • 最も強力な統合フィルタリング方法であり、URLカテゴリの詳細なリスト、Googleセーフサーチのサポート、および評判エンジンが含まれています。

    • 追加のサーバー コンポーネントは必要ありません。

    • 各 URL の脅威スコアをリアルタイムで提供します。

    • 単にブロックされた URL へのユーザー アクセスを防ぐのではなく、ブロックされた URL からユーザー定義の URL にユーザーをリダイレクトできます。

  • リダイレクトWebフィルタリング:

    • すべてのクエリをローカルで追跡するため、インターネット接続は必要ありません。

    • スタンドアロンのWebsenseソリューションのロギングおよびレポート機能を使用します。

Web フィルタリングのワークフロー

スコープ

この例では、次のことを行います。

  1. 独自のカスタム URL パターン リストと URL カテゴリを作成します。

  2. ローカル エンジン タイプを使用して Web フィルタリング プロファイルを作成します。ここでは、SRXシリーズファイアウォールで評価される許可サイト(許可リスト)またはブロックされたサイト(ブロックリスト)にできる独自のURLカテゴリを定義します。ブロックされたサイトに追加されたすべての URL は拒否されますが、許可されたサイトに追加されたすべての URL は許可されます。

  3. 不適切なゲームWebサイトをブロックし、適切なWebサイト( www.juniper.net など)を許可します。

  4. ユーザーがゲーム Web サイトにアクセスしようとしたときに表示するカスタム メッセージを定義します。

  5. Webフィルタリングプロファイルをコンテンツセキュリティポリシーに適用します。

  6. コンテンツセキュリティポリシーをセキュリティポリシールールに割り当てます。

手記:

Web フィルタリングと URL フィルタリングの意味は同じです。この例では、 Web フィルタリング という用語を使用します。

始める前に

  • デバイスは基本構成で設定されていることを前提としています。そうでない場合は、「 セットアップの構成ウィザード」を参照してください。

  • ローカル エンジン タイプを使用する場合、Web フィルタリング プロファイルを設定するためのライセンスは必要ありません。これは、独自の URL パターン リストと URL カテゴリを定義する必要があるためです。

  • WebフィルタリングプロファイルでJuniper Enhancedエンジンタイプを試す場合は、有効なライセンス(wf_key_websense_ewf)が必要です。リダイレクト Web フィルタリングにライセンスは必要ありません。

  • この例で使用するSRXシリーズファイアウォールが、Junos OSリリース22.2R1以降を実行していることを確認します。

    手記:

    Junos OS 22.2R1以降:

    • J-Web GUI では、コンテンツセキュリティという用語はコンテンツセキュリティに置き換えられています。

    • Junos CLIコマンドでは、コンテンツセキュリティのために、従来の用語「コンテンツセキュリティ」を引き続き使用しています。

位相幾何学

このトポロジーでは、インターネットにアクセスできる、コンテンツセキュリティが有効なSRXシリーズファイアウォールに接続されたPCがあります。この簡単な設定で、J-Webを使ってインターネットに送信されるHTTP/HTTPSリクエストをフィルタリングしてみましょう。

Topology

スニークピーク – J-WebコンテンツセキュリティWebフィルタリングの手順

Sneak Peek – J-Web Content Security Web Filtering Steps

手順 1: 許可またはブロックする URL を一覧表示する

このステップでは、許可またはブロックする URL を処理するカスタムオブジェクト (URL とパターン) を定義します。

現在地は(J-Web UI内) セキュリティサービス>コンテンツセキュリティ>カスタムオブジェクトです

URL を一覧表示するには:

  1. [URL パターン リスト] タブをクリックします。
  2. 追加アイコン (+) をクリックして、URL パターン リストを追加します。

    [URL パターン リストの追加] ページが表示されます。 図1を参照してください。

  3. 次の表に示す「アクション」列にリストされているタスクを実行します。

    アクション

    名前

    allowed-sites 」または「 blocked-sites」と入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大長は 29 文字です。

    価値

    1. [+] をクリックして URL パターン値を追加します。

    2. 次のように入力します。

      • 許可されたサイトの場合—www.juniper.net および www.google.com

      • ブロックされたサイトの場合—www.gematsu.com および www.game.co.uk

    3. チェックマークアイコン をクリックします。

    図 1: URL パターン リスト Add URL Pattern Listの追加
  4. [ OK ] をクリックして変更を保存します。

    よく出来ました!構成の結果を次に示します。

手順 2: 許可またはブロックする URL を分類する

次に、作成した URL パターンを URL カテゴリ リストに割り当てます。カテゴリ リストは、関連付けられた URL に関連付けられたアクションを定義します。たとえば、 ギャンブル カテゴリをブロックする必要があります。

現在地: セキュリティ サービス>コンテンツ セキュリティ>カスタム オブジェクト

URL を分類するには:

  1. [URL カテゴリ リスト] タブをクリックします。
  2. 追加アイコン (+) をクリックして、URL カテゴリ リストを追加します。

    [URL カテゴリ リストの追加] ページが表示されます。 図2を参照してください。

  3. 次の表に示す「アクション」列にリストされているタスクを実行します。

    アクション

    名前

    許可されたサイトの URL パターンの場合は good-sites 、ブロックされたサイトの URL パターンの場合は stop-sites URL カテゴリ リスト名を入力します。

    手記:

    文字またはアンダースコアで始まり、英数字とダッシュやアンダースコアなどの特殊文字で構成される文字列を使用します。最大長は 59 文字です。

    URL パターン

    1. 「使用可能」列から URL パターン値許可サイトまたはブロック・サイトを選択して、URL パターン値をそれぞれ URL カテゴリー「良好サイト」または「ストップ・サイト」に関連付けます。

    2. 右矢印をクリックして、URL パターンの値を [選択済み] 列に移動します。

    図 2: URL カテゴリ リスト Add URL Category Listの追加
  4. [ OK ] をクリックして変更を保存します。

    よく出来ました!構成の結果を次に示します。

ステップ 3: Web フィルタリングプロファイルを追加する

次に、作成したURLオブジェクト(パターンとカテゴリ)をコンテンツセキュリティWebフィルタリングプロファイルにリンクしましょう。このマッピングにより、フィルタリング動作に異なる値を設定できます。

現在地: セキュリティ サービス>コンテンツ セキュリティ> Web フィルタリング プロファイル。

Web フィルタリング プロファイルを作成するには、次の手順を実行します。

  1. 追加アイコン(+)をクリックして、Web フィルタリング プロファイルを追加します。

    [Web フィルタリング プロファイルの作成] ページが表示されます。 図3を参照してください。

  2. 次の表に示す「アクション」列にリストされているタスクを実行します。

    アクション

    全般

    名前

    Web フィルタリング プロファイルに「 wf-local 」と入力します。

    手記:

    最大長は 29 文字です。

    タイムアウト

    30 (秒単位) と入力して、ローカル エンジンからの応答を待ちます。

    最大値は 1800 秒です。デフォルト値は 15 秒です。

    エンジン型式

    Web フィルタリングの [ローカル エンジン タイプ] を選択します。[ 次へ] をクリックします。

    手記:

    デフォルト値は「Juniper Enhanced」です。

    URLカテゴリ

    +

    追加アイコンをクリックして、「URL カテゴリーの選択」ウィンドウを開きます。

    リストに適用する URL カテゴリを選択する

    [適切なサイト] または [停止サイト] を選択します。

    アクション

    リストから「グッド・サイト」カテゴリーの 「ログ」と「許可 」を選択します。

    リストからストップサイト カテゴリの [ ブロック ] を選択します。

    図 3: Web フィルタリング プロファイルの作成 Create Web Filtering Profile
  3. [ 完了] をクリックします。構成の概要を確認し、[ OK] をクリックして変更を保存します。

    よく出来ました!構成の結果を次に示します。

  4. 「成功」というメッセージが表示されたら、「 閉じる 」をクリックします。

ステップ 4: コンテンツセキュリティポリシーでの Web フィルタリングプロファイルの参照

次に、セキュリティポリシーに適用できるコンテンツセキュリティポリシーにWebフィルタリングプロファイル(wf-local)を割り当てる必要があります。

現在地: セキュリティ サービス>コンテンツ セキュリティ>コンテンツ セキュリティ ポリシー.

コンテンツセキュリティポリシーを作成するには:

  1. 追加アイコン(+)をクリックして、コンテンツセキュリティポリシーを追加します。

    [コンテンツ セキュリティ ポリシーの作成] ページが表示されます。

  2. 次の表に示す「アクション」列にリストされているタスクを実行します。

    アクション

    一般 – 一般情報

    名前

    コンテンツセキュリティポリシーに「 wf-custom-policy 」と入力します。

    手記:

    最大長は 29 文字です。

    [ 次へ ] をクリックし、[ 次へ ] をクリックしてウイルス対策の構成をスキップします。

    Webフィルタリング:トラフィックプロトコル別のWebフィルタリングプロファイル

    HTTP

    リストから wf-local を選択し、ワークフローが終了するまで [ 次へ ] をクリックします。

  3. [完了] をクリックします。構成の概要を確認し、[OK] をクリックして変更を保存します。

    もうすぐです!構成の結果を次に示します。

  4. 成功したメッセージが表示されたら、[閉じる] をクリックします。

    もう少しで完了です!次に、良好なサイトと停止サイトのリストを参照するデフォルトの UTM Web フィルタリングポリシーを作成します。

    現在地: セキュリティ サービス>コンテンツ セキュリティ>デフォルト設定>Web フィルタリング

  5. 編集アイコンをクリックして、デフォルトの Web フィルタリング ポリシーを変更します。

    Web フィルタリング ページが表示されます。

  6. 次の表に示す「アクション」列にリストされているタスクを実行します。

    アクション

    種類

    リストから[Juniper Local]を選択して、ローカルのコンテンツセキュリティフィルタリングデータベースの使用を設定します。

    URL ブロックリスト

    リストから ストップサイト を選択して、許可されていない(ブロックされている)URLのリストにリンクします。

    URL 許可リスト

    リストから 適切なサイト を選択して、許可される URL のリストにリンクします。

    ジュニパーローカル>グローバル

    カスタムブロックメッセージ

    ジュニパー Web フィルタリング」と入力して、このサイトをブロックするように設定されています

    デフォルト アクション

    リストから [ ブロック ] を選択します。

    他のフィールドをスキップして、[ OK] をクリックします。

  7. [OK] をクリックして変更を保存します。

    もうすぐです!コンテンツ セキュリティのデフォルトの Web フィルタリング設定の結果を次に示します。

    いい知らせ!これで、コンテンツ セキュリティ Web フィルタリングの設定が完了しました。

ステップ 5: コンテンツセキュリティポリシーをセキュリティポリシーに割り当てる

コンテンツセキュリティ設定を、TRUSTゾーンからインターネットゾーンのセキュリティポリシーにまだ割り当てていません。フィルタリングアクションは、一致条件として機能するセキュリティポリシールールにコンテンツセキュリティポリシーを割り当てた後にのみ実行されます。

手記:

セキュリティポリシールールが許可されている場合、SRXシリーズファイアウォールは以下を行います。

  1. HTTP/HTTPS 接続をインターセプトし、(HTTP/HTTPS リクエスト内の) 各 URL、または IP アドレスを抽出します。

    手記:

    HTTPS 接続の場合、Web フィルタリングは SSL フォワード プロキシ経由でサポートされます。

  2. Web フィルタリング(セキュリティ サービス>コンテンツ セキュリティ>デフォルト設定)で、ユーザーが構成したブロックリストまたは許可リスト内の URL を検索します。次に、URL が次の場所にあるとします。

    1. ユーザーが設定したブロックリストの場合、デバイスは URL をブロックします。

    2. ユーザーが設定した許可リストの場合、デバイスは URL を許可します。

  3. ユーザー定義のカテゴリを確認し、カテゴリのユーザー指定のアクションに基づいて URL をブロックまたは許可します。

  4. Web フィルタリングプロファイルで設定されたデフォルトアクションに基づいて、URL(カテゴリが設定されていない場合)を許可またはブロックします。

現在地: Security Policies & Objects>Security Policies.

コンテンツセキュリティポリシーのセキュリティポリシールールを作成するには:

  1. 追加アイコン (+) をクリックします。
  2. 表 1 の「アクション」列にリストされているタスクを実行します。
    表 1: ルール設定

    アクション

    一般 – 一般情報

    ルール名

    「良好なサイト」カテゴリを許可し、「停止サイト」カテゴリを拒否するセキュリティポリシーに「 wf-local-policy 」と入力します。

    ルールの説明

    セキュリティ ポリシー規則の説明を入力します。

    ソースゾーン

    1. [+] をクリックします。

      [ソースの選択] ページが表示されます。

    2. ゾーン - リストから [TRUST ] を選択します。

    3. [アドレス] - このフィールドはデフォルト値の [任意] のままにします。

    4. OK をクリックします。

    宛先ゾーン

    1. [+] をクリックします。

      [宛先の選択] ページが表示されます。

    2. ゾーン - リストから [インターネット ] を選択します。

    3. [アドレス] - このフィールドはデフォルト値の [任意] のままにします。

    4. サービス - このフィールドはデフォルト値の [任意] のままにします。

    5. URL カテゴリ - このフィールドは空白のままにします。

    6. OK をクリックします。

    アクション

    既定では、[ 許可] が選択されています。そのままにしておきます。

    先進のセキュリティ

    1. [+] をクリックします。

      [高度なセキュリティの選択] ページが表示されます。

    2. コンテンツ セキュリティ:リストから [wf-custom-policy ] を選択します。

    3. OK をクリックします。

    手記:

    [セキュリティ ポリシーとオブジェクト>ゾーン/画面] に移動して、ゾーンを作成します。ゾーンの作成は、このドキュメントの範囲外です。

  3. チェックマークアイコン をクリックし、[ 保存 ]をクリックして変更を保存します。
    手記:

    新しいルールの作成時にインラインのチェックマークアイコンとキャンセルアイコンが使用できない場合は、水平バーを後ろにスクロールします。

    よく出来ました!構成の結果を次に示します。

  4. 上部のバナーの右側にあるコミット アイコンをクリックし、[ コミット] を選択します。

    コミット成功のメッセージが表示されます。

    万丈!URL 要求をフィルター処理する準備ができました。

手順 6: URL がサーバーから許可またはブロックされていることを確認する

構成とセキュリティ ポリシーが、トポロジで定義された URL で正常に機能することを確認しましょう。

  • www.gematsu.comwww.game.co.uk を入力すると、SRXシリーズファイアウォールはURLをブロックし、設定されたブロックサイトメッセージを送信します。

    手記:

    ほとんどのサイトはHTTPSを使用しています。ブロックされたサイトメッセージは、HTTPサイトでのみ表示されます。HTTPS の場合、 An error occurred during a connection to <blocked-siteurl> PR_CONNECT_RESET_ERROR などのセキュリティで保護された接続に失敗しましたというエラー メッセージが予想されます。

  • www.juniper.netwww.google.com を入力すると、SRXシリーズファイアウォールはホームページが表示されているURLを許可します。

この後について

何をする

どこ。

コンテンツ セキュリティ Web フィルタリングの情報と統計情報を監視します。

J-Webで、 監視>セキュリティサービス>コンテンツセキュリティ>Webフィルタリングに移動します。

許可されたURLとブロックされたURLに関するレポートを生成および表示します。

J-Webで、[ レポート]に移動します。Webfilterログを介して、脅威評価レポートと上位ブロックされたアプリケーションのレポートを生成します。

詳しくは、コンテンツ セキュリティ機能についての記事をご覧ください。

コンテンツセキュリティユーザーガイド

サンプル設定出力

このセクションでは、この例で定義されている Web サイトを許可およびブロックする構成の例を示します。

以下のコンテンツセキュリティ設定を [edit security utm] 階層レベルで設定します。

カスタムオブジェクトの作成:

Web フィルタリングプロファイルの作成:

コンテンツセキュリティポリシーの作成:

セキュリティ ポリシー ルールは、 [edit security policies] 階層レベルで設定します。

セキュリティポリシーのルールを作成します。