UTM / Webコントロール


基本動作
基本設定
ホワイトリスト方式(指定したサイトのみ許可)
ブラックリスト方式(指定したサイトのみ禁止)
設定や状態の確認
ログ
プロバイダーカテゴリー一覧


Webコントロール(URLフィルタリング)機能は、クライアントがアクセスしようとしているWebサイトをカテゴリーに分類し、カテゴリーごとにアクセスの禁止・許可を制御する機能です。
Note
Webコントロール(URLフィルタリング)機能はAT-AR2050Vでは使用できません。
Note
Webコントロール(URLフィルタリング)機能を使用するにはアニュアルライセンスが必要です。
Note
Webコントロール(URLフィルタリング)またはアンチウイルス機能を有効にした本製品同士を接続する場合は、各製品に異なるホスト名(hostnameコマンド)を設定してください。
Note
Webコントロール(URLフィルタリング)機能の対象となるのは、本製品のルーティング用インターフェースを通過するTCP 80/443番ポート宛ての通信(HTTP/HTTPS通信)です。本機能はこれらの通信に対する透過型プロキシーとして動作します。
Note
HTTPSの通信では暗号化されたTLSセッション上でHTTPリクエストが送信されるため、アクセス先URLそのものを検査することはできません。ただし通常、TLSセッション開始時のClientHelloメッセージには接続先サーバーのドメイン名がSNIとして含まれるため、HTTPS通信に対してはこのドメイン名の情報を利用して処理を行います。
Note
Webコントロール(URLフィルタリング)とURLフィルター(URLブラックリスト)は別の機能です。Webコントロールでは、アクセス先のWebサイト(URL)をカテゴリーに分類し、カテゴリー単位でアクセスの拒否・許可を制御します。一方、URLフィルターは、個々のアクセス先URLを、ブラックリスト、ホワイトリストに記述されたパターンと照合して拒否・許可を制御します。また、もう一つの違いとして、Webコントロールではアクセス元クライアントごとの制御を行いますが、URLフィルターの制御はすべてのWebアクセスに適用されます。なお、両機能は併用が可能です。併用時は両機能で許可されたときだけWebアクセスが可能です。

Webコントロール(URLフィルタリング)機能では、デジタルアーツ社が提供する最新のURLカテゴリーデータベースにもとづいて、アクセス先のURL(Webサイト)を約100種類のカテゴリーに分類します。

初期設定ではデフォルト拒否(ホワイトリスト方式:指定したサイトのみ許可)の動作をするため、すべてのWebアクセスが遮断されますが、ルールを設定することで、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにpermit(許可)、deny(拒否)の選択が可能です。また、デフォルト許可(ブラックリスト方式:指定したサイトのみ禁止)に設定を変更することもできます。

Note
Webコントロール機能が使用するURLカテゴリーデータベースは、本製品にダウンロードするのではなく、必要に応じて本製品がインターネット上のサーバーに問い合わせる形で使用するため、データベースの更新は不要です。


基本動作

Webコントロール(URLフィルタリング)機能の処理フローは次のとおりです。


基本設定

Webコントロール(URLフィルタリング)の設定は、Webコントロールモード(web-controlコマンド)で行います。
provider digitalartsコマンドでURLカテゴリーデータベースの提供元を指定した後、actionコマンドでデフォルトアクションを、categoryコマンドとmatchコマンドでカスタムカテゴリーの定義を、ruleコマンドでURLカテゴリーごとのアクションを指定し、protectコマンドで有効化します。

ホワイトリスト方式(指定したサイトのみ許可)

ここでは、初期設定のデフォルトアクション「拒否」をそのまま使い、指定したカテゴリーのサイトだけを許可する「ホワイトリスト方式」の動作をさせる場合の基本的な設定手順を示します。
  1. Webコントロール(URLフィルタリング)機能の設定を行うため、Webコントロールモードに移行します。これにはweb-controlコマンドを使います。
    awplus(config)# web-control
    

  2. URLカテゴリーデータベースの提供元を指定します。これにはprovider digitalartsコマンドを使います。
    このデータベースに含まれるURLカテゴリーをプロバイダーカテゴリー(一覧)と呼びます。
    一方、ユーザーが定義するカテゴリーはカスタムカテゴリーと呼びます。
    awplus(config-web-control)# provider digitalarts
    
    Note
    Webコントロール(URLフィルタリング)機能とファイアウォール機能を併用する場合は、URLカテゴリーデータベースに問い合わせるため、本製品からインターネットへのDNS通信とHTTP通信を許可する必要があります。

  3. カスタムカテゴリーを定義します。これには、categoryコマンドとmatchコマンドを使います。
    ここでは、URLのホスト名かパス部分に、「tech-news」か「play-scala」という文字列が含まれているWebサイトを「Technical」(技術系)というカテゴリーに分類するよう設定しています。
    また、同様に「xxxx」、「zzzzzz」という文字列が含まれているWebサイトを「TimeWasting」(時間の無駄)というカテゴリーに分類するよう設定しています。
    awplus(config-web-control)# category Technical
    awplus(config-category)# match tech-news
    awplus(config-category)# match play-scala
    awplus(config-category)# exit
    awplus(config-web-control)# category TimeWasting
    awplus(config-category)# match xxxx
    awplus(config-category)# match zzzzzz
    awplus(config-category)# exit
    

  4. Webコントロールルールを作成します。これにはruleコマンドを使います。
    Webコントロールルールは、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにアクションを指定するものです。

    アクセス元クライアントは、「エンティティー(通信主体)定義」によって指定します。詳細は「UTM」/「エンティティー定義」をご覧ください。

    アクセス先Webサイトのカテゴリーとしては、プロバイダーカテゴリー(一覧)かカスタムカテゴリーを指定します。

    アクションには次の2つがあります。

    本例では初期設定のデフォルトアクション「拒否」をそのまま使っているため、どのカテゴリーにも分類されなかったサイト、および、どのルールにもマッチしなかったカテゴリーのサイトへのアクセスは拒否されます。そのため、許可ルールを追加しないままWebコントロール機能を有効化すると、すべてのWebアクセスが遮断されることとなります。

    なお、ruleコマンドで指定するカテゴリー名は、show web-control categoriesコマンドで確認できます。
    awplus(config-web-control)# do show web-control categories
    Category                                                  Category Hits  Custom
        Custom Matches
    --------------------------------------------------------------------------------
    Advocacy                                                              0
    "Alcohol, Tobacco"                                                    0
    "Amusement Facilities"                                                0
    "Audio Streaming"                                                     0
    Blogs                                                                 0
    "Browser Crashing Sites"                                              0
    "Celebrities, Entertainment"                                          0
    Chat                                                                  0
    "Comics, Animation"                                                   0
    "Consumer Lending"                                                    0
    "Coupon Sites"                                                        0
    "Credit Cards, Online Payment, E-Money"                               0
    "Crime, Weapons"                                                      0
    ...
    Technical                                                             0     yes
        play-scala
        tech-news
    "Terrorism, Extremism"                                                0
    TimeWasting                                                           0     yes
        xxxx
        zzzzzz
    "Town Pages"                                                          0
    ...
    

    ここでは、ゾーン「private」(内部ネットワーク)から「Government」(政府)、「IT Forum」(ITフォーラム)、「Portals」(ポータル)、「Providers」(プロバイダー)カテゴリーに分類されたWebサイトへのアクセスを許可しています。

    ただし、これら許可カテゴリーのサイトでも、手順3で定義したカスタムカテゴリー「TimeWasting」(時間の無駄)にマッチするURLであれば例外的に禁止するよう設定しています。

    また、上記の許可カテゴリー以外であっても、同じく手順3で定義したカスタムカテゴリー「Technical」(技術系)にマッチするURLであれば例外的にアクセスを認めるよう設定しています。

    デフォルトアクションが「拒否」であるため、ルールで明示的に許可していないカテゴリーのサイトや、どのカテゴリーにも分類されなかったサイトへのアクセスはすべて禁止されます。
    awplus(config-web-control)# rule permit Technical from private
    awplus(config-web-control)# rule deny TimeWasting from private
    awplus(config-web-control)# rule permit Government from private
    awplus(config-web-control)# rule permit "IT Forum" from private
    awplus(config-web-control)# rule permit Portals from private
    awplus(config-web-control)# rule permit Providers from private
    

    5.Webコントロール(URLフィルタリング)機能を有効化します。これにはprotectコマンドを使います。
    awplus(config-web-control)# protect
    

設定は以上です。

ブラックリスト方式(指定したサイトのみ禁止)

Webコントロール機能の初期設定ではデフォルトアクションが「拒否」のため、指定したカテゴリーのサイトだけを許可する「ホワイトリスト方式」の動作をしますが、デフォルトアクションを「許可」に変更することで、指定したカテゴリーのサイトだけを禁止する「ブラックリスト方式」の動作をさせることも可能です。

以下、Webコントロール(URLフィルタリング)機能を「ブラックリスト」方式で動作させる場合の基本的な設定手順を示します。
  1. Webコントロール(URLフィルタリング)機能の設定を行うため、Webコントロールモードに移行します。これにはweb-controlコマンドを使います。
    awplus(config)# web-control
    

  2. URLカテゴリーデータベースの提供元を指定します。これにはprovider digitalartsコマンドを使います。
    このデータベースに含まれるURLカテゴリーをプロバイダーカテゴリーと呼びます。
    一方、ユーザーが定義するカテゴリーはカスタムカテゴリーと呼びます。
    awplus(config-web-control)# provider digitalarts
    
    Note
    Webコントロール(URLフィルタリング)機能とファイアウォール機能を併用する場合は、URLカテゴリーデータベースに問い合わせるため、本製品からインターネットへのDNS通信とHTTP通信を許可する必要があります。

  3. Webコントロール(URLフィルタリング)機能のデフォルトアクションを拒否から許可に変更します。これには、actionコマンドを使います。
    awplus(config-web-control)# action permit
    

  4. カスタムカテゴリーを定義します。これには、categoryコマンドとmatchコマンドを使います。
    ここでは、URLのホスト名かパス部分に、「chat-for-work」か「work-blog」という文字列が含まれているWebサイトを「Work」(仕事)というカテゴリーに分類するよう設定しています。
    awplus(config-web-control)# category Work
    awplus(config-category)# match chat-for-work
    awplus(config-category)# match work-blog
    awplus(config-category)# exit
    

  5. Webコントロールルールを作成します。これにはruleコマンドを使います。
    Webコントロールルールは、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにアクションを指定するものです。

    アクセス元クライアントは、「エンティティー(通信主体)定義」によって指定します。詳細は「UTM」/「エンティティー定義」をご覧ください。

    アクションには次の2つがあります。

    本例では手順3でデフォルトアクションを許可に設定しているため、どのカテゴリーにも分類されなかったサイト、および、どのルールにもマッチしなかったカテゴリーのサイトへのアクセスは許可されます。

    なお、ruleコマンドで指定するカテゴリー名は、show web-control categoriesコマンドで確認できます。
    awplus(config-web-control)# do show web-control categories
    Category                                                  Category Hits  Custom
        Custom Matches
    --------------------------------------------------------------------------------
    Advocacy                                                              0
    "Alcohol, Tobacco"                                                    0
    "Amusement Facilities"                                                0
    "Audio Streaming"                                                     0
    Blogs                                                                 0
    "Browser Crashing Sites"                                              0
    "Celebrities, Entertainment"                                          0
    Chat                                                                  0
    "Comics, Animation"                                                   0
    "Consumer Lending"                                                    0
    "Coupon Sites"                                                        0
    "Credit Cards, Online Payment, E-Money"                               0
    "Crime, Weapons"                                                      0
    
    ...
    
    Work                                                                  0     yes
        chat-for-work
        work-blog
    

    ここでは、ゾーン「private」(内部ネットワーク)から「Blogs」(ブログ)、「Chat」(チャット)、「Crimes, Weapons」(犯罪、武器)カテゴリーに分類されたWebサイトへのアクセスを禁止しています。

    ただし、ブログサイトやチャットサイトでも、手順4で定義したカスタムカテゴリー「Work」(仕事)にマッチするURLであれば例外的に許可するよう設定しています。

    デフォルトアクションが「許可」であるため、ここで指定していないカテゴリーのサイトや、どのカテゴリーにも分類されなかったサイトへのアクセスはすべて許可されます。
    awplus(config-web-control)# rule permit Work from private
    awplus(config-web-control)# rule deny Blogs from private
    awplus(config-web-control)# rule deny Chat from private
    awplus(config-web-control)# rule deny "Crime, Weapons" from private
    

    6.Webコントロール(URLフィルタリング)機能を有効化します。これにはprotectコマンドを使います。
    awplus(config-web-control)# protect
    

設定は以上です。

設定や状態の確認

■ Webコントロール(URLフィルタリング)機能の有効・無効、デフォルトアクション、URLカテゴリーデータベースの提供元、および、各種統計情報は、show web-controlコマンドで確認できます。
awplus# show web-control
Web Control protection is enabled
Web Control default action is deny
Categorization provider is Digital Arts
 Server URL:  www.mydigital_arts_server_url.com
 Username:    my_user_name
 Password:    my_password
Statistics:
 Categorization hits: 40/40  (100.0%)
 Rule hits:   20/40  (50.0%)
 Cache hits:  30/40  (75.0%)
 Cache size:  40

■ Webコントロール(URLフィルタリング)ルールの情報は、show web-control rulesコマンドで確認できます。
awplus# show web-control rules
ID     Action  Category                  From                         Hits
--------------------------------------------------------------------------
10     deny    "Online Trading"          r&d.test.qa                  0
20     permit  "Browser Crashing Sites"  market.sales                 1
25     permit  suspicious_sites          r&d                          2

■ 特定のURLがどのプロバイダーカテゴリーに分類されるかを調べるには、web-control categorizeコマンドを使います。
awplus# web-control categorize http://www.facebook.com http://www.ebay.com
http://www.facebook.com ==>  64 (Social Networking)
http://www.ebay.com ==>  54 (Online Auctions)

ログ

■ Webコントロール(URLフィルタリング)のログを記録するには、以下のコマンド(log(filter))を実行してください。初期設定では本機能のログは記録されません。
awplus(config)# log buffered level informational facility local5

プロバイダーカテゴリー一覧

ruleコマンドのCATEGORYパラメーターに指定可能なプロバイダーカテゴリーは下記のとおりです。
大分類
中分類
カテゴリー名(CATEGORYパラメーター)
アダルトマテリアル
  ポルノ・アダルトサイト Pornography, Adult Content
ヌード・アダルトグッズ Nudity, Adult Products
グラビア・写真集 Undergarments, Swimwear
性教育・性の話題 Sex Education
犯罪・暴力
  暴力・猟奇描写 Disturbing Imagery
犯罪・武器凶器 Crime, Weapons
麻薬・薬品薬物 Drug Abuse
カルト・テロリズム Terrorism, Extremism
自殺・家出
  自殺 Suicide
家出 Runaways
不正IT技術
  ハッキング・クラッキング Hacking, Cracking
不正プログラム配布・リンク集 Malware, Virus Technology
違法ソフト・反社会行為 Piracy
フィッシング詐欺 ※1 Phishing Scams
クラッシャーサイト Browser Crashing Sites
迷惑メールリンク Spam Mail Links
ショッピング
  コンピュータサプライ PC Manufacturers
オフィスサプライ Office Supplies
オークション Online Auctions
オンラインショッピング Online Shopping
ポイントサービス Point Service
クーポン総合サイト Coupon Sites
コミュニケーション
  出会い Online Dating
Web メール Web Mail
チャット Chat
メールマガジン Newsletters
会員向け掲示板 Q&A Forums
ソーシャルブックマーク Social Bookmarks
IT 情報掲示板 IT Forums
掲示板 Forums
SNS Social Networking
ブログ Blogs
情報サービス
  ニュース News
画像・動画検索エンジン Specialized Search Engines
ポータル Portals
地図・位置情報 Maps, GPS
検索エンジン Search Engines
プロバイダー Providers
ホスティング Hosting
ギャンブル
  ギャンブル Gambling
懸賞・くじ Lotteries, Giveaways
アルコール・タバコ
  アルコール・タバコ Alcohol, Tobacco
主張
  誹謗・中傷 Libel, Slander
主張 Advocacy
いたずら Mischief
宗教
  宗教 Religion
求人情報
  求人情報 Employment Services
結婚相談・斡旋
  結婚相談・斡旋 Marriage Arrangement
金融・経済
  消費者金融・個人ローン Consumer Lending
不動産 Real Estate
オンライントレード Online Trading
インターネットバンキング Internet Banking
金融・投資情報 Finance, Investment Information
保険商品 Insurance Products
クレジットカード・オンライン決済・電子マネー Credit Cards, Online Payment, E-Money
エンターテイメント
  芸能 Celebrities, Entertainment
映画・演劇 Movies, Theater
音楽 Music
TV・ラジオ TV, Radio
漫画・アニメ Comics, Animation
ゲーム Games
スポーツ Sports
占い・超常現象 Fortune-telling, Paranormal
ライブカメラ Live Cameras
動画配信 Video Streaming
音楽配信 Audio Streaming
電子書籍・小説投稿サイト E-Books
趣味・同好 Hobbies
地域情報
  旅行・観光 Travel
アミューズメント施設 Amusement Facilities
旅客鉄道 Public Transportation
グルメ Dining
タウン情報 Town Pages
ツール・Webアプリケーション
  オンラインストレージ Online Storage
メッセンジャー Instant Messengers
P2P ファイル共有 P2P Software
スケジューラ Schedulers
グループウェア Groupware
RSS リーダー RSS Readers
Web アプリケーション Web Applications
総合ソフトウェアダウンロード General Software Downloads
アップローダー File Uploads
製品サポート・修正プログラム Support, Patches
Web 翻訳・URL変換 Page Translators, URL Shorteners
プロキシ情報 Proxies
行政・政治・教育
  政府・自治体 Government
軍事・防衛関連 Military, National Defense
学校・教育施設 Schools, Education Facilities
企業
  上場企業 Publicly Traded Companies (in Japan)
脅威情報サイト
  脅威情報サイト ※2 Reported Threat
その他
  緊急 Emergencies
特殊 Special
※1 フィッシング詐欺に対する取り組みとして、デジタルアーツ株式会社は、フィッシング対策協議会およびその運営事務局である一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)の2団体と連携しています。本カテゴリには、同団体より情報提供を受けたフィッシングサイトのURL情報が含まれています。

※2 本カテゴリに含まれるデータは、株式会社FFRIをはじめとしたデジタルアーツ株式会社の提携先により収集および分析された情報により構成されています。最新情報は以下をご参照ください。
http://www.daj.jp/bs/i-filter/function/filtering/ildp/


(C) 2015 - 2019 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.AA