クライアントコンピュータのWebサイトへのアクセスを中継する際に、URLに含まれる文字列によりアクセスを制御する設定手順を説明します。
設定の前提として、クライアントコンピュータがWebサイトにアクセスする経路上にSEILが設置されており、
LAN0ポート側にクライアントコンピュータが接続されているものとします。
- 制御ポリシーの検討
- Webサイトへのアクセス制御を行うにあたり、どのようなポリシーで制限するか検討します。 ここでは、自社のドメインに属するWebサイトへのアクセスの中継はパスし、 特定の拡張子を持つファイル(例:zip, exe)へのアクセスの中継をブロック(block)します。また、それら以外の Webサイトへのアクセスの中継はbrowse-only(閲覧のみパス)とします。
- アクセスを制御するURLの検討
-
アクセスを制御するフィルタルールには、マッチングを行うURLパターンの文字列にワイルドカードなどを含むシェル表現が使用できます。
アクセスを制御するURLを選定した後、必要に応じてURLパターンをシェル表現に置き換えます。
- 設定パラメータを用意する
表 1. 用意する設定パラメータの例
| URLパターン |
処理 |
備考 |
| "*.example.jp/*", "example.jp/*" |
pass |
特定のドメインを含むURL |
| "*/*.zip", "*/*.exe" |
block |
アクセスをブロックするファイル(zip, exe)を含むURL |
| "*/*" |
browse-only |
上記以外の全てのURL |
- アプリケーションゲートウェイを設定する
# application-gateway input-interface add lan0
# application-gateway url-filter add FILTER1 url-pattern *.example.jp/* action pass
# application-gateway url-filter add FILTER2 url-pattern example.jp/* action pass
# application-gateway url-filter add FILTER3 url-pattern */*.zip action block
# application-gateway url-filter add FILTER4 url-pattern */*.exe action block
# application-gateway url-filter add FILTER5 url-pattern */* action browse-only
# application-gateway service add HTTP mode http url-filter on
#