UTM / URLフィルター


検査タイミング
基本動作
基本設定
リストファイルの作成
URLフィルター機能の有効化
リストファイルを更新したとき
設定や状態の確認
ログ


URLフィルター(URLブラックリスト)は、ユーザーが定義したURLのブラックリスト、ホワイトリストにもとづいて、Webアクセスを拒否・許可する機能です。

URLフィルターは、本製品のブリッジング用、ルーティング用インターフェースを通過するIPv4/IPv6パケット内のHTTP/HTTPSトラフィックを監視し、HTTPリクエストまたはHTTPSの接続開始時に送信されるTLS ClientHelloメッセージを検出すると、HTTPリクエストに含まれるURLや、TLS ClientHelloメッセージ内のSNI(Server Name Indication)フィールドに平文で含まれているサーバーのドメイン名をユーザー定義のホワイトリスト、ブラックリストと比較して該当パケットの拒否・許可を判断します。
Note
HTTPSの通信では暗号化されたTLSセッション上でHTTPリクエストが送信されるため、アクセス先URLそのものを検査することはできません。ただし通常、TLSセッション開始時のClientHelloメッセージには接続先サーバーのドメイン名がSNIとして含まれるため、HTTPS通信に対してはこのドメイン名の情報を利用して処理を行います。


検査タイミング

本機能は下記のタイミングでサポート対象のパケットを検査します。
Note
初期設定では、トンネルインターフェースで受信したパケットは検査されません。
トンネルインターフェースで受信したパケットに本機能を適用するには、グローバルコンフィグモードのtunnel security-reprocessingコマンドを有効にしてください。
同コマンドの有効時は、すべてのトンネルインターフェースで受信パケットが検査対象になります(ただし、DS-Lite、LW4o6、MAP-E、IPv6 over IPv4トンネルインターフェースはサポート対象外)。

基本動作

HTTPリクエストやHTTPS SNI内にURLを検出したときの、URLフィルターの処理フローは次のとおりです。
  1. ホワイトリストにマッチ → 許可
  2. ブラックリストにマッチ → 拒否
  3. どちらにもマッチしない → 許可
Note
SNIを含まないHTTPSトラフィックはフィルタリングの対象になりません。

ここから、URLフィルターでは次の方針にしたがってブラックリスト、ホワイトリストを作成することになります。

基本設定

URLフィルターの設定は、次の流れで行います。
  1. ブラックリスト、ホワイトリストのリストファイルを作成し、ローカルファイルシステムに保存。

  2. URLフィルターモードでリストファイルを指定し、URLフィルター機能を有効化。

リストファイルの作成

最初にブラックリスト、ホワイトリストそれぞれに対応するリストファイルを作成し、本製品のローカルファイルシステム(内臓フラッシュメモリー、SDカード、USBメモリー)上に保存してください。
PC上で作成し本製品にダウンロードしても、本製品上でeditコマンドを使って作成してもかまいません。

リストファイルの仕様は以下のとおりです。


URLフィルター機能の有効化

リストファイルの用意ができたら、URLフィルターモード(url-filterコマンド)でURLフィルター機能の設定を行います。
  1. URLフィルターの設定を行うため、url-filterコマンドでURLフィルターモードに移動します。
    awplus(config)# url-filter
    awplus(config-url-filter)# 
    

  2. ホワイトリストファイルを指定します。これには、whitelistコマンドを使います。
    リストファイルが複数ある場合は同コマンドを複数回実行してください。
    awplus(config-url-filter)# whitelist flash:/w1.txt
    awplus(config-url-filter)# whitelist flash:/w2.txt
    

  3. ブラックリストファイルを指定します。これには、blacklistコマンドを使います。
    リストファイルが複数ある場合は同コマンドを複数回実行してください。
    awplus(config-url-filter)# blacklist flash:/b1.txt
    awplus(config-url-filter)# blacklist flash:/b2.txt
    

  4. URLフィルター機能を有効化します。これには、protectコマンドを使います。
    awplus(config-url-filter)# protect
    

リストファイルを更新したとき

リストファイルを更新したときは、url-filter reload custom-listsコマンドを実行してリストファイルを再読み込みする必要があります。
awplus# url-filter reload custom-lists

設定や状態の確認

■ URLフィルター機能の有効・無効、ブラックリスト・ホワイトリストの登録数は、show url-filterコマンドで確認できます。
awplus# show url-filter
Status:      Enabled (Active)
Events:      104
Provider:    not set
Custom blacklists   Entries
 b1.txt               2
 b2.txt               2
Custom whitelists   Entries
 w1.txt               3
 w2.txt               2

ログ

■ URLフィルター(URLブラックリスト)のログを記録するには、以下のコマンド(log(filter))を実行してください。初期設定では本機能のログは記録されません。
awplus(config)# log buffered level informational facility local5

■ 前記の設定を行っても初期状態では拒否したURLしかログに記録されません。すべてのURLリクエストをログに記録したい場合はlog url-requestsコマンドで有効化してください。
awplus(config)# url-filter
awplus(config-url-filter)# log url-requests


(C) 2019 アライドテレシスホールディングス株式会社

PN: 613-002735 Rev.B