設定例集#55: インターネットアクセスログ(閲覧履歴)の取得

設定例集#55: [ 設定例集目次 ] ページ内目次

PPPoEによるインターネット接続環境において、URLフィルター機能を使用して特定サイトへのアクセスを遮断しつつ、配下の端末からインターネットへのアクセスログ(閲覧履歴)を取得するための設定を行います。

本設定例では、URLフィルター機能、ファイアウォール機能の通常ログに加え、下記のアクセスログを有効化して、これらをSyslogサーバーに送信します。
また、アプリケーションコントロール(DPI)を有効にすることで、DPIによって判別されたアプリケーションの情報がファイアウォールのログに含まれるよう設定します。

この例では、アプリケーションコントロール(DPI)機能において、サンドバイン社が提供するアプリケーションシグネチャデータベースを用いていますが、製品内蔵のアプリケーションシグネチャデータベースを使う場合の設定については、備考をご覧ください。

構成

設定例集#55: [ 設定例集目次 ] ページ内目次

ISPから提供された情報
ISP接続用ユーザー名 user@isp
ISP接続用パスワード isppasswd
PPPoEサービス名 指定なし
WAN側IPアドレス 動的割り当て(IPCP)
DNSサーバー 自動取得(IPCP)
ルーターの基本設定
WAN側物理インターフェース eth1
WAN側(ppp0)IPアドレス 接続時にISPから取得
LAN側(eth0)IPアドレス 192.168.10.1/24
Syslogサーバー 192.168.10.2
DHCPサーバー機能 有効
DHCPサーバーの設定
DHCPプール名 pool10
リース時間 2時間
対象サブネット 192.168.10.0/24
デフォルトゲートウェイ 192.168.10.1
DNSサーバー 192.168.10.1
提供するIPアドレスの範囲 192.168.10.100~192.168.10.131(32個)

AT-NFV-APLの事前設定

設定例集#55: [ 設定例集目次 ] ページ内目次
本設定例は、あらかじめ AT-NFV-APL側で以下のような設定を行っていることを前提としています。
使用するインターフェースの番号や数は適宜変更してかまいません。
事前設定の流れについては「AT-NFV-APL」/「準備」をご覧ください。


管理IPアドレス

詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
インターフェース
IPアドレス
br0 192.168.10.254/24

ブリッジ

詳細は「AT-NFV-APL」/「ネットワーク基本設定」をご覧ください。
ポート
所属VLAN
ネイティブVLAN
eth1~eth9 1 1
eth10
未所属

仮想インターフェース割り当て

vFirewallアプリケーションインスタンスの初期設定時には、下記のように仮想インターフェースを割り当てます。
詳細は「AT-NFV-APL」/「AW+ vFirewall」をご覧ください。
vFirewallの
インターフェース名
インターフェース
タイプ
外部ネットワーク
VLAN ID
ホスト
インターフェース
IPv4アドレス
eth0 Virtual 1 - 192.168.10.1/24
eth1 Physical - eth10 未指定

ルーターの設定

設定例集#55: [ 設定例集目次 ] ページ内目次
  1. WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface eth1
 encapsulation ppp 0
  2. PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

    ・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns
    ・LCP EchoによるPPP接続状態の確認(keepalive
    ・IPCPによるIPアドレスの取得要求(ip address negotiated
    ・ユーザー名(ppp username
    ・パスワード(ppp password
    ・MSS書き換え(ip tcp adjust-mss

    PPPの詳細は「PPP」/「一般設定」をご覧ください。
    interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp
 ppp password isppasswd
 ip tcp adjust-mss pmtu
  3. LAN側インターフェースeth0のIPアドレスは、AT-NFV-APLの事前設定時に設定済みのため、次のコマンドを手で入力する必要はありません。
    interface eth0
 ip address 192.168.10.1/24
  4. URLフィルター機能の設定を行います。
    これには、url-filterblacklistprotectの各コマンドを使います。
    また、デフォルトでは拒否したURLのログしか記録されないため、log url-requestsコマンドですべてのURLリクエストを記録するよう設定します。

    URLフィルターの詳細は「UTM」/「URLフィルター」をご覧ください。
    url-filter
 blacklist blacklist.txt
 log url-requests
 protect
  5. ファイアウォールのログにアプリケーションの情報を含めるため、アプリケーションコントロール(DPI)機能の設定を行います。
    これには、dpiproviderenableの各コマンドを使います。
    アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
    dpi
 provider procera
 enable
  6. アクセスログをSyslogサーバーに送信するため、hostログ(syslog送信先)を定義します。
    これには、loglog(filter)の各コマンドを使います。

    ログフィルター(log(filter)コマンド)では、各機能が出力する local5ファシリティー、informationalレベルのログをsyslogで送信するよう設定します。
    log host 192.168.10.2
log host 192.168.10.2 level informational facility local5
  7. ファイアウォール/NATセッションの開始・終了ログを有効にします。
    connection-log events new end
  8. ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
    エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

    内部ネットワークを表すゾーン「private」を作成します。
    これには、zonenetworkip subnetの各コマンドを使います。
    zone private
 network lan
  ip subnet 192.168.10.0/24
  9. 外部ネットワークを表すゾーン「public」を作成します。
    前記コマンドに加え、ここではhostip addressの各コマンドも使います。
    zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
  10. 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
    これには、firewallruleprotectの各コマンドを使います。

    ・rule 10 - 内部から内部への通信を許可します(ここでは本製品・端末間の通信)
    ・rule 20 - 内部から外部への通信を許可します
    ・rule 30 - 本製品のWAN側インターフェースから外部へのDNS通信を許可します
    ・rule 40, 50, 60 - アプリケーションシグネチャデータベースのダウンロード用に、本製品のWAN側インターフェースから外部へのHTTPS、SSL、TCP通信を許可します
    ・rule 70 - 本製品のWAN側インターフェースから外部への通信について、DPIによる判別が完了していないトラフィックを許可します
    (DPI機能の有効時には事前定義アプリケーション「dns」よりもDPIアプリケーション「dns」が優先されるため、ルール「30」を機能させるためにこのルールが必要です)

    ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public log
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 rule 50 permit ssl from public.wan.ppp0 to public.wan
 rule 60 permit TCP from public.wan.ppp0 to public.wan
 rule 70 permit undecided from public.wan.ppp0 to public.wan
 protect
  11. LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
    これには、natruleenableの各コマンドを使います。
    NATの詳細は「UTM」/「NAT」をご覧ください。
    nat
 rule 10 masq any from private to public
 enable
  12. LAN側ネットワークに接続されているコンピューターのためにDHCPサーバー機能の設定を行います。
    DHCPサーバー機能の詳細は「IP付加機能」/「DHCPサーバー」をご覧ください。

    これには、ip dhcp poolコマンドでDHCPプールを作成し、以下の情報を設定します。

    ・サブネット(network
    ・リースするIPアドレス(range
    ・DNSサーバーアドレス(dns-server
    ・デフォルトゲートウェイ(default-router
    ・リース時間(lease
    ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 dns-server 192.168.10.1
 default-router 192.168.10.1
 lease 0 2 0
  13. DHCPサーバーを有効化します。これには、service dhcp-serverコマンドを使います。
    service dhcp-server
  14. DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
    DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
    ip dns forwarding
  15. デフォルト経路をPPPインターフェースppp0に向けます。これにはip routeコマンドを使います。
    IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
    ip route 0.0.0.0/0 ppp0
  16. 以上で設定は完了です。
    end

備考:製品内蔵のアプリケーションシグネチャデータベースを使う場合

設定例集#55: [ 設定例集目次 ] ページ内目次
サンドバイン社が提供するアプリケーションシグネチャデータベースではなく、製品内蔵のデータベースを使用する場合は一部の設定を変更する必要があります。

以下、変更点だけを示します。
  1. アプリケーションシグネチャデータベースの提供元を製品内蔵のもの(built-in)に変更します。
    dpi
 provider built-in
 enable
  2. ファイアウォールの設定を変更します。
    rule 30以降をまとめて1つのルールにします。
    firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public log
 rule 30 permit any from public.wan.ppp0 to public
 protect

設定の保存

設定例集#55: [ 設定例集目次 ] ページ内目次
設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ルーターのコンフィグ

設定例集#55: [ 設定例集目次 ] ページ内目次
!
interface eth1
 encapsulation ppp 0
!
interface ppp0
 ppp ipcp dns request
 keepalive
 ip address negotiated
 ppp username user@isp
 ppp password isppasswd
 ip tcp adjust-mss pmtu
!
interface eth0
 ip address 192.168.10.1/24
!
url-filter
 blacklist blacklist.txt
 log url-requests
 protect
!
dpi
 provider procera
 enable
!
log host 192.168.10.2
log host 192.168.10.2 level informational facility local5
!
connection-log events new end
!
zone private
 network lan
  ip subnet 192.168.10.0/24
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address dynamic interface ppp0
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public log
 rule 30 permit dns from public.wan.ppp0 to public.wan
 rule 40 permit https from public.wan.ppp0 to public.wan
 rule 50 permit ssl from public.wan.ppp0 to public.wan
 rule 60 permit TCP from public.wan.ppp0 to public.wan
 rule 70 permit undecided from public.wan.ppp0 to public.wan
 protect
!
nat
 rule 10 masq any from private to public
 enable
!
ip dhcp pool pool10
 network 192.168.10.0 255.255.255.0
 range 192.168.10.100 192.168.10.131
 dns-server 192.168.10.1
 default-router 192.168.10.1
 lease 0 2 0
!
service dhcp-server
!
ip dns forwarding
!
ip route 0.0.0.0/0 ppp0
!
end

ブラックリストファイル

設定例集#55: [ 設定例集目次 ] ページ内目次
blacklist.txt
example.com
example.net


設定例集#55: [ 設定例集目次 ] ページ内目次