[index] AT-AR2050V/AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.5

UTM / Webコントロール

Note - Webコントロール（URLフィルタリング）機能はAT-AR2050Vでは使用できません。

Note - Webコントロール（URLフィルタリング）機能を使用するにはサブスクリプションライセンスが必要です。

Note - Webコントロール（URLフィルタリング）機能の対象となるのは、本製品のルーティング用インターフェースを通過するTCP 80番ポート宛ての通信（HTTP通信）です。本機能はこれらの通信に対する透過型プロキシーとして動作します。

Note - Webコントロール機能が使用するURLカテゴリーデータベースは、本製品にダウンロードするのではなく、必要に応じて本製品がインターネット上のサーバーに問い合わせる形で使用するため、データベースの更新は不要です。

1. Webコントロール（URLフィルタリング）機能の設定を行うため、Webコントロールモードに移行します。これにはweb-controlコマンドを使います。
   

   awplus(config)# web-control ↓

   
   
2. URLカテゴリーデータベースの提供元を指定します。これにはprovider digitalartsコマンドを使います。
   このデータベースに含まれるURLカテゴリーをプロバイダーカテゴリーと呼びます。
   一方、ユーザーが定義するカテゴリーはカスタムカテゴリーと呼びます。
   

   awplus(config-web-control)# provider digitalarts ↓

   Note - Webコントロール（URLフィルタリング）機能とファイアウォール機能を併用する場合は、URLカテゴリーデータベースに問い合わせるため、本製品からインターネットへのDNS通信とHTTP通信を許可する必要があります。

   
   
3. カスタムカテゴリーを定義します。これには、categoryコマンドとmatchコマンドを使います。
   ここでは、URLのホスト名かパス部分に、「tech-news」か「play-scala」という文字列が含まれているWebサイトを「Technical」（技術系）というカテゴリーに分類するよう設定しています。
   また、同様に「xxxx」、「zzzzzz」という文字列が含まれているWebサイトを「TimeWasting」（時間の無駄）というカテゴリーに分類するよう設定しています。
   

   awplus(config-web-control)# category Technical ↓ awplus(config-category)# match tech-news ↓ awplus(config-category)# match play-scala ↓ awplus(config-category)# exit ↓ awplus(config-web-control)# category TimeWasting ↓ awplus(config-category)# match xxxx ↓ awplus(config-category)# match zzzzzz ↓ awplus(config-category)# exit ↓

   
   
4. Webコントロールルールを作成します。これにはruleコマンドを使います。
   Webコントロールルールは、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにアクションを指定するものです。
   
   アクセス元クライアントは、「エンティティー（通信主体）定義」によって指定します。詳細は「UTM」/「エンティティー定義」をご覧ください。
   
   アクションには次の2つがあります。
   
   • permit（アクセスを許可）
     
   • deny（アクセスを拒否し、エラーページを返す）
     
   
   本例では初期設定のデフォルトアクション「拒否」をそのまま使っているため、どのカテゴリーにも分類されなかったサイト、および、どのルールにもマッチしなかったカテゴリーのサイトへのアクセスは拒否されます。そのため、許可ルールを追加しないままWebコントロール機能を有効化すると、すべてのWebアクセスが遮断されることとなります。
   
   なお、ruleコマンドで指定するカテゴリー名は、show web-control categoriesコマンドで確認できます。
   

   awplus(config-web-control)# do show web-control categories ↓ Category Category Hits Custom Custom Matches -------------------------------------------------------------------------------- Advocacy 0 "Alcohol, Tobacco" 0 "Amusement Facilities" 0 "Audio Streaming" 0 Blogs 0 "Browser Crashing Sites" 0 "Celebrities, Entertainment" 0 Chat 0 "Comics, Animation" 0 "Consumer Lending" 0 "Coupon Sites" 0 "Credit Cards, Online Payment, E-Money" 0 "Crime, Weapons" 0 ... Technical 0 yes play-scala tech-news "Terrorism, Extremism" 0 TimeWasting 0 yes xxxx zzzzzz "Town Pages" 0 ...

   
   ここでは、ゾーン「private」（内部ネットワーク）から「Government」（政府）、「IT Forum」（ITフォーラム）、「Portals」（ポータル）、「Providers」（プロバイダー）カテゴリーに分類されたWebサイトへのアクセスを許可しています。
   
   ただし、これら許可カテゴリーのサイトでも、手順3で定義したカスタムカテゴリー「TimeWasting」（時間の無駄）にマッチするURLであれば例外的に禁止するよう設定しています。
   
   また、上記の許可カテゴリー以外であっても、同じく手順3で定義したカスタムカテゴリー「Technical」（技術系）にマッチするURLであれば例外的にアクセスを認めるよう設定しています。
   
   デフォルトアクションが「拒否」であるため、ルールで明示的に許可していないカテゴリーのサイトや、どのカテゴリーにも分類されなかったサイトへのアクセスはすべて禁止されます。
   

   awplus(config-web-control)# rule permit Technical from private ↓ awplus(config-web-control)# rule deny TimeWasting from private ↓ awplus(config-web-control)# rule permit Government from private ↓ awplus(config-web-control)# rule permit "IT Forum" from private ↓ awplus(config-web-control)# rule permit Portals from private ↓ awplus(config-web-control)# rule permit Providers from private ↓

   
   5．Webコントロール（URLフィルタリング）機能を有効化します。これにはprotectコマンドを使います。
   

   awplus(config-web-control)# protect ↓

1. Webコントロール（URLフィルタリング）機能の設定を行うため、Webコントロールモードに移行します。これにはweb-controlコマンドを使います。
   

   awplus(config)# web-control ↓

   
   
2. URLカテゴリーデータベースの提供元を指定します。これにはprovider digitalartsコマンドを使います。
   このデータベースに含まれるURLカテゴリーをプロバイダーカテゴリーと呼びます。
   一方、ユーザーが定義するカテゴリーはカスタムカテゴリーと呼びます。
   

   awplus(config-web-control)# provider digitalarts ↓

   Note - Webコントロール（URLフィルタリング）機能とファイアウォール機能を併用する場合は、URLカテゴリーデータベースに問い合わせるため、本製品からインターネットへのDNS通信とHTTP通信を許可する必要があります。

   
   
3. Webコントロール（URLフィルタリング）機能のデフォルトアクションを拒否から許可に変更します。これには、actionコマンドを使います。
   

   awplus(config-web-control)# action permit ↓

   
   
4. カスタムカテゴリーを定義します。これには、categoryコマンドとmatchコマンドを使います。
   ここでは、URLのホスト名かパス部分に、「chat-for-work」か「work-blog」という文字列が含まれているWebサイトを「Work」（仕事）というカテゴリーに分類するよう設定しています。
   

   awplus(config-web-control)# category Work ↓ awplus(config-category)# match chat-for-work ↓ awplus(config-category)# match work-blog ↓ awplus(config-category)# exit ↓

   
   
5. Webコントロールルールを作成します。これにはruleコマンドを使います。
   Webコントロールルールは、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにアクションを指定するものです。
   
   アクセス元クライアントは、「エンティティー（通信主体）定義」によって指定します。詳細は「UTM」/「エンティティー定義」をご覧ください。
   
   アクションには次の2つがあります。
   
   • permit（アクセスを許可）
     
   • deny（アクセスを拒否し、エラーページを返す）
     
   
   本例では手順3でデフォルトアクションを許可に設定しているため、どのカテゴリーにも分類されなかったサイト、および、どのルールにもマッチしなかったカテゴリーのサイトへのアクセスは許可されます。
   
   なお、ruleコマンドで指定するカテゴリー名は、show web-control categoriesコマンドで確認できます。
   

   awplus(config-web-control)# do show web-control categories ↓ Category Category Hits Custom Custom Matches -------------------------------------------------------------------------------- Advocacy 0 "Alcohol, Tobacco" 0 "Amusement Facilities" 0 "Audio Streaming" 0 Blogs 0 "Browser Crashing Sites" 0 "Celebrities, Entertainment" 0 Chat 0 "Comics, Animation" 0 "Consumer Lending" 0 "Coupon Sites" 0 "Credit Cards, Online Payment, E-Money" 0 "Crime, Weapons" 0 ... Work 0 yes chat-for-work work-blog

   
   ここでは、ゾーン「private」（内部ネットワーク）から「Blogs」（ブログ）、「Chat」（チャット）、「Crimes, Weapons」（犯罪、武器）カテゴリーに分類されたWebサイトへのアクセスを禁止しています。
   
   ただし、ブログサイトやチャットサイトでも、手順4で定義したカスタムカテゴリー「Work」（仕事）にマッチするURLであれば例外的に許可するよう設定しています。
   
   デフォルトアクションが「許可」であるため、ここで指定していないカテゴリーのサイトや、どのカテゴリーにも分類されなかったサイトへのアクセスはすべて許可されます。
   

   awplus(config-web-control)# rule permit Work from private ↓ awplus(config-web-control)# rule deny Blogs from private ↓ awplus(config-web-control)# rule deny Chat from private ↓ awplus(config-web-control)# rule deny "Crime, Weapons" from private ↓

   
   6．Webコントロール（URLフィルタリング）機能を有効化します。これにはprotectコマンドを使います。
   

   awplus(config-web-control)# protect ↓

awplus# show web-control ↓ Web Control protection is enabled Web Control default action is deny Categorization provider is Digital Arts Server URL: www.mydigital_arts_server_url.com Username: my_user_name Password: my_password Statistics: Categorization hits: 40/40 (100.0%) Rule hits: 20/40 (50.0%) Cache hits: 30/40 (75.0%) Cache size: 40

#show web-control rules ID Action Category From Hits -------------------------------------------------------------------------- 10 deny "Online Trading" r&d.test.qa 0 20 permit "Browser Crashing Sites" market.sales 1 25 permit suspicious_sites r&d 2

(C) 2015 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.F