UTM / Webコントロール
Webコントロール(URLフィルタリング)機能は、クライアントがアクセスしようとしているWebサイトをカテゴリーに分類し、カテゴリーごとにアクセスの禁止・許可を制御する機能です。Webコントロール(URLフィルタリング)機能では、OpenText社が提供する最新のURLカテゴリーデータベースにもとづいて、アクセス先のURL(Webサイト)をカテゴリーに分類します。
初期設定ではデフォルト拒否(ホワイトリスト方式:指定したサイトのみ許可)の動作をするため、すべてのWebアクセスが遮断されますが、ルールを設定することで、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにpermit(許可)、deny(拒否)の選択が可能です。また、デフォルト許可(ブラックリスト方式:指定したサイトのみ禁止)に設定を変更することもできます。
基本動作
Webコントロール(URLフィルタリング)機能の処理フローは次のとおりです。
基本設定
Webコントロール(URLフィルタリング)の設定は、Webコントロールモード(web-controlコマンド)で行います。providerコマンドでURLカテゴリーデータベースの提供元を指定した後、actionコマンドでデフォルトアクションを、categoryコマンドとmatchコマンドでカスタムカテゴリーの定義を、ruleコマンドでURLカテゴリーごとのアクションを指定し、protectコマンドで有効化します。
ホワイトリスト方式(指定したサイトのみ許可)
ここでは、初期設定のデフォルトアクション「拒否」をそのまま使い、指定したカテゴリーのサイトだけを許可する「ホワイトリスト方式」の動作をさせる場合の基本的な設定手順を示します。- Webコントロール(URLフィルタリング)機能の設定を行うため、Webコントロールモードに移行します。これにはweb-controlコマンドを使います。
awplus(config)# web-control
- URLカテゴリーデータベースの提供元を指定します。これにはproviderコマンドを使います。
このデータベースに含まれるURLカテゴリーをプロバイダーカテゴリー(一覧)と呼びます。
一方、ユーザーが定義するカテゴリーはカスタムカテゴリーと呼びます。
awplus(config-web-control)# provider opentext
- カスタムカテゴリーを定義します。これには、categoryコマンドとmatchコマンドを使います。
ここでは、URLのホスト名かパス部分に、「tech-news」か「play-scala」という文字列が含まれているWebサイトを「Technical」(技術系)というカテゴリーに分類するよう設定しています。
また、同様に「xxxx」、「zzzzzz」という文字列が含まれているWebサイトを「TimeWasting」(時間の無駄)というカテゴリーに分類するよう設定しています。
awplus(config-web-control)# category Technical awplus(config-category)# match tech-news awplus(config-category)# match play-scala awplus(config-category)# exit awplus(config-web-control)# category TimeWasting awplus(config-category)# match xxxx awplus(config-category)# match zzzzzz awplus(config-category)# exit
- Webコントロールルールを作成します。これにはruleコマンドを使います。
Webコントロールルールは、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにアクションを指定するものです。
アクセス元クライアントは、「エンティティー(通信主体)定義」によって指定します。詳細は「UTM」/「エンティティー定義」をご覧ください。
アクセス先Webサイトのカテゴリーとしては、プロバイダーカテゴリー(一覧)かカスタムカテゴリーを指定します。
アクションには次の2つがあります。
- permit(アクセスを許可)
- deny(アクセスを拒否し、エラーページを返す)
本例では初期設定のデフォルトアクション「拒否」をそのまま使っているため、どのカテゴリーにも分類されなかったサイト、および、どのルールにもマッチしなかったカテゴリーのサイトへのアクセスは拒否されます。そのため、許可ルールを追加しないままWebコントロール機能を有効化すると、すべてのWebアクセスが遮断されることとなります。
なお、ruleコマンドで指定するカテゴリー名は、show web-control categoriesコマンドで確認できます。
awplus(config-web-control)# do show web-control categories Category Category Hits Custom Custom Matches -------------------------------------------------------------------------------- abortion 0 alcohol-tobacco 0 auctions 0 botnets 0 business-economy 3023 cheating 0 computer-internet-info 2469 computer-security 705 ... Technical 0 yes play-scala tech-news "Terrorism, Extremism" 0 TimeWasting 0 yes xxxx zzzzzz "Town Pages" 0 ...
ここでは、ゾーン「private」(内部ネットワーク)から「government」(政府)、「computer-internet-info」(コンピューター/インターネット)、「internet-portals」(ポータル)カテゴリーに分類されたWebサイトへのアクセスを許可しています。
ただし、これら許可カテゴリーのサイトでも、手順3で定義したカスタムカテゴリー「TimeWasting」(時間の無駄)にマッチするURLであれば例外的に禁止するよう設定しています。
また、上記の許可カテゴリー以外であっても、同じく手順3で定義したカスタムカテゴリー「Technical」(技術系)にマッチするURLであれば例外的にアクセスを認めるよう設定しています。
デフォルトアクションが「拒否」であるため、ルールで明示的に許可していないカテゴリーのサイトや、どのカテゴリーにも分類されなかったサイトへのアクセスはすべて禁止されます。
awplus(config-web-control)# rule permit Technical from private awplus(config-web-control)# rule deny TimeWasting from private awplus(config-web-control)# rule permit government from private awplus(config-web-control)# rule permit computer-internet-info from private awplus(config-web-control)# rule permit internet-portals from private
5.Webコントロール(URLフィルタリング)機能を有効化します。これにはprotectコマンドを使います。
awplus(config-web-control)# protect - permit(アクセスを許可)
設定は以上です。
ブラックリスト方式(指定したサイトのみ禁止)
Webコントロール機能の初期設定ではデフォルトアクションが「拒否」のため、指定したカテゴリーのサイトだけを許可する「ホワイトリスト方式」の動作をしますが、デフォルトアクションを「許可」に変更することで、指定したカテゴリーのサイトだけを禁止する「ブラックリスト方式」の動作をさせることも可能です。以下、Webコントロール(URLフィルタリング)機能を「ブラックリスト」方式で動作させる場合の基本的な設定手順を示します。
- Webコントロール(URLフィルタリング)機能の設定を行うため、Webコントロールモードに移行します。これにはweb-controlコマンドを使います。
awplus(config)# web-control
- URLカテゴリーデータベースの提供元を指定します。これにはproviderコマンドを使います。
このデータベースに含まれるURLカテゴリーをプロバイダーカテゴリーと呼びます。
一方、ユーザーが定義するカテゴリーはカスタムカテゴリーと呼びます。
awplus(config-web-control)# provider opentext
- Webコントロール(URLフィルタリング)機能のデフォルトアクションを拒否から許可に変更します。これには、actionコマンドを使います。
awplus(config-web-control)# action permit
- カスタムカテゴリーを定義します。これには、categoryコマンドとmatchコマンドを使います。
ここでは、URLのホスト名かパス部分に、「chat-for-work」か「work-blog」という文字列が含まれているWebサイトを「Work」(仕事)というカテゴリーに分類するよう設定しています。
awplus(config-web-control)# category Work awplus(config-category)# match chat-for-work awplus(config-category)# match work-blog awplus(config-category)# exit
- Webコントロールルールを作成します。これにはruleコマンドを使います。
Webコントロールルールは、「アクセス元クライアント」と「アクセス先Webサイトのカテゴリー」の組み合わせごとにアクションを指定するものです。
アクセス元クライアントは、「エンティティー(通信主体)定義」によって指定します。詳細は「UTM」/「エンティティー定義」をご覧ください。
アクションには次の2つがあります。
- permit(アクセスを許可)
- deny(アクセスを拒否し、エラーページを返す)
本例では手順3でデフォルトアクションを許可に設定しているため、どのカテゴリーにも分類されなかったサイト、および、どのルールにもマッチしなかったカテゴリーのサイトへのアクセスは許可されます。
なお、ruleコマンドで指定するカテゴリー名は、show web-control categoriesコマンドで確認できます。
awplus(config-web-control)# do show web-control categories Category Category Hits Custom Custom Matches -------------------------------------------------------------------------------- abortion 0 alcohol-tobacco 0 auctions 0 botnets 0 business-economy 3023 cheating 0 computer-internet-info 2469 computer-security 705 ... Work 0 yes chat-for-work work-blog
ここでは、ゾーン「private」(内部ネットワーク)から「personal-sites-blogs」(個人サイト・ブログ)、「weapons」(武器)カテゴリーに分類されたWebサイトへのアクセスを禁止しています。
ただし、これらのサイトでも、手順4で定義したカスタムカテゴリー「Work」(仕事)にマッチするURLであれば例外的に許可するよう設定しています。
デフォルトアクションが「許可」であるため、ここで指定していないカテゴリーのサイトや、どのカテゴリーにも分類されなかったサイトへのアクセスはすべて許可されます。
awplus(config-web-control)# rule permit Work from private awplus(config-web-control)# rule deny personal-sites-blogs from private awplus(config-web-control)# rule deny weapons from private
6.Webコントロール(URLフィルタリング)機能を有効化します。これにはprotectコマンドを使います。
awplus(config-web-control)# protect - permit(アクセスを許可)
設定は以上です。
設定や状態の確認
Webコントロール(URLフィルタリング)機能の有効・無効、デフォルトアクション、URLカテゴリーデータベースの提供元、および、各種統計情報は、show web-controlコマンドで確認できます。awplus# show web-control
Web Control protection is enabled
Web Control default action is permit
Categorization provider is OpenText
Categorization provider is licensed
Statistics:
Categorization hits: 42488/43283 (98.2%)
Rule hits: 6/43283 (0.0%)
Cache hits: 40019/43283 (92.5%)
Cache size: 128
Webコントロール(URLフィルタリング)ルールの情報は、show web-control rulesコマンドで確認できます。
awplus# show web-control rules
ID Action Category From Hits
--------------------------------------------------------------------------
10 deny questionable r&d.test.qa 0
20 permit stock-advice market.sales 1
25 permit suspicious_sites r&d 2
特定のURLがどのプロバイダーカテゴリーに分類されるかを調べるには、web-control categorizeコマンドを使います。
awplus# web-control categorize www.google.com https://www.facebook.com
http://www.google.com: search-engines
https://www.facebook.com: social-media
ログ
Webコントロール(URLフィルタリング)のログを記録するには、以下のコマンド(log(filter))を実行してください。初期設定では本機能のログは記録されません。awplus(config)# log buffered level informational facility local5
プロバイダーカテゴリー一覧
OpenText社(provider opentext)
providerコマンドで opentext を指定した場合に使用可能なカテゴリーは下記のとおりです。| セキュリティー | |||
| システム、ネットワーク、ユーザーに害を及ぼす可能性があるコンテンツを含むサイト | |||
| マルウェアサイト | malware | ウイルス、トロイの木馬、スクリプト、ドライブバイダウンロードなど悪意のあるコンテンツを含むサイト | |
| フィッシング・詐欺 | phishing | 実在するサイトを装って不正に個人情報を入手しようとするサイト | |
| プロキシー回避・アノニマイザー | proxy-avoidance-anonymizers | URLフィルタリングをバイパスするためのプロキシーサーバーや、コンテンツフィルタリングの回避に利用可能なWeb翻訳サイト | |
| スパイウェア・アドウェア | spyware-adware | ユーザーの同意なしに情報収集やトラッキングを行うスパイウェア・アドウェアサイト、未承諾のポップアップ広告を使用するサイトなど | |
| ボットネット | botnets | ネットワーク攻撃の起点となるボットネットの一部と判定されたURLまたはIPアドレス | |
| 迷惑メールURL | spam-urls | 迷惑メールに含まれていたURL | |
| キーロガー・モニター | keyloggers-monitoring | ユーザーのキー入力を記録したり、Web閲覧履歴を監視したりするソフトウェアのダウンロードおよび情報サイト | |
| DNS over HTTPS | dns-over-https | 既知のDNS over HTTPS (DoH)プロバイダーおよびドメイン | |
| 一般カテゴリー | |||
| 各環境のニーズに合ったフィルタリングポリシーを設定するために分類した一般的なカテゴリー | |||
| 不動産 | real-estate | 不動産の賃貸・購入・販売、不動産関連情報を提供しているサイト | |
| コンピューター/インターネットセキュリティー | computer-security | コンピューターやインターネットのセキュリティーに関するサイト | |
| ビジネス・経済 | business-economy | 企業サイト、企業情報、経済学、マーケティング、経営、起業などに関するサイト | |
| コンピューター/インターネット | computer-internet-info | コンピューターやインターネット技術に関する全般的な情報サイト。SaaSなどインターネット上でサービスを提供する各種サイトを含む | |
| オークション | auctions | 個人間の物品売買をサポートしているオークションサイト。クラシファイド広告サイトは除く | |
| ショッピング | shopping | 百貨店、小売店、カタログサイト、オンラインショップなど | |
| 旅行 | travel | 旅行会社、航空会社、レンタカー、ホテル、リゾート、旅行情報サイトなど | |
| ホーム・ガーデン | home-garden | 家のメンテナンス・安全対策・装飾、ガーデニング、家電製品などに関するサイト | |
| 軍事 | military | 軍隊、軍事史などに関するサイト | |
| ソーシャルネットワーキング | social-media | SNS(ソーシャルネットワーキングサービス)サイト | |
| 証券投資 | stock-advice | 証券投資に関する情報。株価、市場ニュースサイトなど | |
| 教育・訓練 | training-tools | オンライン教育、職業訓練、ソフトウェア教育、スキル訓練などに関するサイト | |
| エンターテインメント・アート | entertainment-arts | 映画、ビデオ、テレビ、音楽、書籍、漫画、映画館、ギャラリー、アーティスト、評論、演劇、舞台、公演、美術館、芸術作品などに関するサイト | |
| 個人サイト・ブログ | personal-sites-blogs | 個人やグループによるサイトおよびブログ | |
| 地域情報 | local-information | シティーガイド、レストラン・ホテル・観光情報など特定の地域に関する情報サイト | |
| 求人情報 | job-search | 求人サイト | |
| 参考・調査 | reference-research | オンライン辞書、地図、センサス、年鑑、図書目録、系図など | |
| ゲーム | games | オンラインゲーミング、ダウンロード、コンピューターゲーム・ボードゲームなどの情報、ゲーム雑誌サイト。オンライン宝くじや懸賞サイトを含む | |
| 哲学・政治 | philosophy-political | 特定の哲学的、政治的思想の議論、推進を目的とするサイト | |
| ペイ・ツー・サーフ | pay-to-surf | 特定のリンクをクリックしたり、特定のメールやWebページを読むことでユーザーに報酬が支払われる「ペイ・ツー・サーフ」サイト | |
| 狩猟・釣り | hunting-fishing | スポーツハンティング、狩猟クラブ、釣りに関するサイト | |
| クラブ・サークル | society | 特定の興味・分野に関する各種団体、協会、クラブ、サークル、同好会、グループなどのサイト | |
| 教育機関 | educational-institutions | 保育園、幼稚園、小学校、中学校、高等学校、大学、専門学校などのサイト | |
| スポーツ | sports | スポーツチーム、スポーツに関するサイト | |
| こども | kids | こども向けサイト、ティーンエイジャー向けサイト | |
| 検索エンジン | search-engines | 検索エンジンサイト | |
| ポータル | internet-portals | 多様なコンテンツを集約したポータルサイト | |
| 音楽 | music | 楽曲の販売・ストリーミング、楽曲・歌詞・音楽グループ・ライブ・音楽ビジネスの情報サイト | |
| ニュース・メディア | news-media | オンラインニュースサイト、天気予報サイト、テレビ、ラジオ、新聞、雑誌などのマスメディアサイト | |
| 動的生成コンテンツ | dynamically-generated | URLパラメーターやブラウザーの位置情報などに応じて動的にコンテンツを生成するサイト | |
| ファッション・美容 | fashion-beauty | ファッション誌、美容、服、化粧品などの情報サイト | |
| レクリエーション・趣味 | recreation-hobbies | ハイキング、キャンプ、コレクション、アート、工作、ペットなどレクリエーションや趣味に関する情報サイト | |
| 自動車・バイクなど | motor-vehicles | エンジン付きの乗り物。乗用車、トラック、バイク、モーターボートなどのレビュー、ディスカッション、カタログ、売買などに関するサイト | |
| 生成AI | generative-ai | 文章、画像、動画、音声、コードなどを出力する生成AIツールのサイト | |
| ITリソース | |||
| ネットワーク帯域に負荷を与えるコンテンツを含む可能性があるサイト | |||
| ストリーミングメディア | streaming-media | 音声・映像のストリーミングサイト | |
| シェアウェア・フリーウェア | shareware-freeware | ソフトウェア、スクリーンセーバー、アイコン、壁紙、ユーティリティー、着信音などのダウンロードサイト。寄付を求めるサイト、オープンソースプロジェクトのサイトを含む | |
| P2Pファイル共有 | p2p-software | P2P型ファイル共有クライアントの配布サイト、ファイル共有サイトなど | |
| オンライングリーティングカード | online-greeting-cards | オンライングリーティングカードサイト | |
| オンラインストレージ | personal-storage | ファイル、音楽、写真などのオンラインストレージサイト | |
| Web広告 | web-advertisements | Web広告・バナーサイト | |
| CDN | content-delivery-networks | 広告、メディア、画像、動画などを配信するためのコンテンツデリバリーネットワーク(CDN) | |
| インターネット通信 | internet-communication | インターネット電話、VoIPサービス、メッセージングサービスなど | |
| Webホスティング | web-hosting | Webページのホスティングサービス | |
| プライバシー | |||
| 個人情報のやりとりが発生する可能性が高いサイト | |||
| 金融サービス | financial-services | 銀行、保険、ローンなどに関わるサイト。市場ニュースや証券会社などは除く | |
| 法律 | legal | 法律に関するサイト、法律事務所、弁護士事務所、法律問題に関するディスカッションサイトなど | |
| Webメール | webmail | Webメールサービス | |
| 政府 | government | 政府、自治体サイト | |
| 健康・医療 | health-medicine | 健康や医療に関する情報。各種医療機関、医療保険などのサイト | |
| センシティブ | |||
| 職場や特定のグループにとって不適切なコンテンツを含む可能性があるサイト | |||
| カルト・オカルト | cult-occult | 占星術、呪術、魔術、悪魔崇拝、超常現象などに関するサイト | |
| 薬物乱用 | drug-abuse | 違法・合法を問わず薬物の乱用およびその治療に関する情報 | |
| アダルト・ポルノ | pornography | アダルトグッズ・ビデオ販売、性風俗店情報、露骨な性的描写を含むサイトなど | |
| 出会い | dating | 出会い系サイト | |
| 性教育 | sex-education | 性教育に関するサイト | |
| 宗教 | religion | 宗教に関するサイト | |
| ギャンブル | gambling | ギャンブル、宝くじ・ナンバーズ、オンラインカジノ、射幸性の高いゲーム、その他の賭博行為に関するサイト | |
| Web翻訳 | translation | 指定したURLのページを別の言語に翻訳して表示するサイト。一種のプロキシーとして機能するためフィルタリング回避に使われることもある | |
| マリファナ | marijuana | マリファナに関するサイト | |
| ハッキング | hacking | 不正アクセスなどのハッキングに関するサイト | |
| 武器 | weapons | 銃・ナイフなどの武器や武術用具の販売、レビュー、情報などを提供するサイト | |
| 水着・下着 | swimsuits-intimate-apparel | 水着や下着などに関するサイト | |
| 疑問符付きサイト | questionable | 下品なユーモアや「すぐに稼ぐ方法」などを紹介するサイト、Webブラウザーの挙動をおかしくするサイトなど | |
| ヘイト・レイシズム | hate-racism | ヘイトクライムや人種差別などに関わるサイト | |
| 暴力 | violence | 暴力を肯定するコンテンツ、過激な暴力描写を含むサイトなど | |
| 不正行為 | cheating | 不正行為を助長するコンテンツ(フリー論文、試験問題のコピー、盗作など)を含むサイト | |
| 悪趣味 | gross | 吐瀉物、血まみれの服など嫌悪感を催させるコンテンツを含むサイト | |
| ヌード | nudity | 全裸または半裸の人物画や写真(芸術作品など、必ずしも性的な意味合いを含まない)を含むサイト | |
| 違法・非合法 | illegal | 犯罪行為、著作権・知的財産権侵害などに関わるサイト | |
| 中絶 | abortion | 人工妊娠中絶に関するトピックを扱うサイト | |
| パークドメイン | parked-domains | 有用なコンテンツを持たないサイト。工事中サイトやWebサーバーのデフォルトホームページが表示されるようなサイトを含む | |
| アルコール・タバコ | alcohol-tobacco | アルコール、タバコに関するサイト | |
| 画像・動画検索 | image-video-search | 画像・動画検索サイト、オンラインアルバム、写真共有サイト、画像ホスティングサイトなど | |
| 自傷行為 | self-harm | 拒食症、過食症などを含む自傷行為を助長するサイト | |
| 低THC大麻製品 | low-thc-cannabis-products | 精神作用のない低THC製品(CBDオイル、レジン、エキス、ハーブ、サプリメント、食品、洗面/スキンケア用品など)を扱っているサイト | |
| その他(Misc.) | |||
| デッドサイト | dead-sites | 応答しないWebサイト | |