URLフィルタ機能
HTTPを中継する際に、クライアントが要求したURLについて の検査を行い、アクセスをブロックしたりログに記録する機能を提供します。
機能概要
URLフィルタ機能は、URLフィルタ機能が有効(url-filter on)と設定されたHTTPモードのサービス設定に適用される
URLフィルタ設定は、URLをカテゴリまたは文字列のパターンで選別し、該当する URL へのアクセスが発生した場合のアクションを設定する
- 最大512個設定可能
- URLフィルタ設定は評価の優先順序があり、優先順に評価される。あるURLに対するアクセスは、最初に一致したURLフィルタ設定が適用され、 以降のURLフィルタ設定には評価されない
- URLフィルタの優先順序の変更や優先順序の確認方法は、コマンドリファレンスに記載する
- いずれのURLフィルタ設定にも一致しないアクセスは、パスされる
- アクションは、パス(pass)、ブロック(block)、閲覧のみ(browse-only)から選択して設定できる
- 「閲覧のみ」とした場合は、要求されたHTTPメソッドが GET または HEADだった場合に限りパスされ、それ以外はブロックされる
- フィルタを適用するクライアントを、送信元IPネットワーク(IPv4アドレス とプレフィックス長または、IPv4アドレスの範囲) で指定して限定することが可能
- パターンはシェル表現を用いたワイルドカードを指定可能(最大128文字)
- カテゴリを用いて選別するにはURLフィルタリングサービスを使用する必要がある
- パターン及びカテゴリのその他の仕様は、コマンドリファレンスに記載する
- IPアドレスを指定したURLへのアクセスを禁止することが可能
リダイレクトメッセージのカスタマイズ
URLフィルタ機能でアクセスをブロックした場合のHTTPクライアントへの応答は、以下のいずれかを選択して設定可能
- クライアントに対するHTTPレスポンスとして、ステータスコード403及び、ブラウザの言語設定に従い、 本機に内蔵した日本語または英語のメッセージを選択して返却する
- クライアントに対するHTTPレスポンスとして、ステータスコード302を返却し、設定したURLにリダイレクトするようにLocationヘッダを指定する
本機に内蔵したメッセージを返却する場合、以下の情報がメッセージに含まれる
| 項目 | 備考 |
|---|---|
| ページタイトル(title要素) |
アクセスをブロックした旨を示す短い説明 |
| 見出し(h1要素) |
ページタイトルと同じ |
| 概要(冒頭のp要素) |
ブロック理由の説明
|
| アクセスしたWebサイトのURL | |
| アクセスした Webサイトのカテゴリ(*1) | |
| IPアドレス | アクセス元のIPアドレス |
| 現在の日時 | |
| ホスト名 | 本機に設定されたホスト名 |
| URLフィルタ製品名 | 本機の製品名 |
| URLフィルタサービス名(*1) | |
| URLカテゴリ識別子(*1) | |
| URLフィルタ設定名(*2) |
設定したURLにリダイレクトする場合には、以下のCGIパラメータが付加される
| 変数名 | 内容 | |
|---|---|---|
| url | ブロックしたURL | |
| filter_name | ブロックの根拠となったURLフィルタの設定名 | |
| cause | ブロックした理由。以下のいずれかの値で示します | |
| category | URLカテゴリによるフィルタが一致 | |
| pattern | パターンによるフィルタが一致 | |
| ip_address_access | IPアドレスを用いたアクセス | |
| category | URLカテゴリ識別子 | |
| is_browse_only | 「閲覧のみ」と設定されたフィルタでブロックした場合にtrue | |
| provider | URLフィルタサービス提供者。以下のいずれかの値で示します | |
| netstar | サイトアンパイアサービス | |
カテゴリデータベースサービスの利用
URLフィルタリングサービスとしてアルプスシステムインテグレーション株式会社のサイトアンパイアを使用可能
- サイトアンパイアを使用するには、アルプスシステムインテグレーション株式会社との契約が別途必要
- その他以下の要件を満たす必要がある
- サービスが指定した認証IDをあらかじめ設定すること
- 本機がインターネットのホスト名を解決できるようリゾルバ機能の設定を行うこと
- 本機がインターネット上のサイトアンパイアサービスを提供するホストへのTCP 80番ポートへの通信が行えること
- show status application-gateway url-filterにて、以下の項目についてライセンス状況を確認できる
- License Status (ライセンスが有効かどうか)
- License End Time (ライセンスの有効期限)
- サイトアンパイアを用いた場合のURLフィルタのURLカテゴリ識別子の仕様は https://www.alsi.co.jp/security/siteumpire/ の画面からリンクされている[71カテゴリ一覧]を参照のこと
- クライアントにより要求されるURIのパス部の末尾が、以下に列挙する文字列に一致する場合は、不明カテゴリ(unknown)に分類される
- .jpg .gif .ico .png .bmp .jpeg .tif .tiff .swf .wav .wmv .wma .mp3 .mpg .mpeg .mp4、 .asx .asf .wax .wvx .mov
- サイトアンパイアサービスにURLカテゴリを照会できない場合、不明カテゴリ(unknown)に分類される
URLフィルタリスト
URLで指定された場所から「URLフィルタリスト」ファイルを定期的に自動取得して URLフィルタを構成することができる