外部データベース参照型URLフィルター

$Date: 2024/02/06 10:39:20 $

  1. 概要
  2. 注意事項
  3. 対応機種とリビジョン
  4. 詳細
  5. コマンド
  6. SYSLOGメッセージ一覧
  7. 関連文書

1. 概要

外部データベース参照型URLフィルター機能は、外部のURLフィルタリングサービス事業者のデータベースに問い合わせて、通知された当該URLの評価結果を元にアクセスを制限します。

外部データベースによるURLの評価には以下の2つの機能があります。これらの評価機能は併用することができ、各評価機能毎に異なるデータベース(サービス事業者)を利用することも可能です。

また、外部データベース参照型URLフィルター機能は、キーワードと始点IPアドレスで制限を行うURLフィルター(内部データベース参照型URLフィルター)と併用することができます。この場合、先に内部データベース参照型URLフィルターでチェックを行い、その後で外部データベースを参照してチェックを行います。

                                                  外部データベース参照型URLフィルター
                                            ┌───────────────────────┐
     [内部データベース参照型URLフィルター] → [Webレピュテーション] → [カテゴリーチェック] →
                                            └───────────────────────┘

外部データベース参照型URLフィルター機能の主な仕様は以下の通りです。

2. 注意事項

3. 対応機種とリビジョン

ヤマハRTシリーズでは以下の機種およびファームウェアで、外部データベース参照型URLフィルター機能をサポートしています。

機種ファームウェア
RTX5000 Rev.14.00.08以降
RTX3500 Rev.14.00.08以降
FWX120 Rev.11.03.02以降
RTX1200 Rev.10.01.07以降
SRT100 Rev.10.00.08以降
RTX3000 Rev.9.00.31以降
RTX1100 Rev.8.03.60以降
RT107e Rev.8.03.60以降

また、各機種の外部DB参照型URLフィルターの対応状況は以下をご覧ください。
対応済み、かつリビジョンが記載されていない場合は、上記のリビジョンから対応しています。

機種外部データベース
ネットスター (※) デジタルアーツ トレンドマイクロ ヤマハ
CUI GUI CUI GUI CUI GUI CUI GUI
RTX5000 × × × ×
RTX3500
FWX120
※Rev.11.03.04以降

※Rev.11.03.18以降
RTX1200
※Rev.10.01.22以降
×
SRT100
※Rev.10.00.52以降
RTX3000 × × × ×
RTX1100
RT107e

(※) 2024年3月31日販売終了予定。詳しくはアルプスシステムインテグレーション株式会社にお問合せください。

4. 詳細

内部データベース参照型URLフィルターと外部データベース参照型URLフィルターの両方が設定されている場合

下図のPCからHTTPサーバーへアクセスする場合、URLフィルターの処理の流れは以下のようになっています。

                      RT
   +----+            +--------------------------+        +--------+
   |    |            |+------------------------+|        |        |
   |    |------------>| 内部データベース参照型 ||        |        |
   | PC |<------------| URLフィルター (1)      |-------->| HTTP   |
   |    |    (2)'    |+------------------------+|  (2)'  |サーバー|
   |    |            |             |(2)         |        |        |
   |    |            |             v            |        |        |
   |    |    (6)'    |+------------------------+|  (6)   |        |
   |    |<------------| 外部データベース参照型 |-------->|        |
   |    |            || URLフィルター          ||        |        |
   |    |            |+------------------------+|        |        |
   +----+            +-------(3)|-----^(5)------+        +--------+
                                |     |
                                v     |
                     +--------------------------+
                     |       外部サーバー (4)   |
                     |      [データベース]      |
                     +--------------------------+
  1. PCから受信したHTTPパケットからURLを取り出し、キーワードと始点IPアドレスによるチェックを行います。
  2. 内部データベース参照型URLフィルターに該当しなかったパケットを外部データベース参照型URLフィルターへ渡します。
    2', 内部のフィルターに該当したパケットを以下のように処理します。
  3. データベースを参照するため、外部サーバーへURLを送信します。
  4. 外部サーバーはデータベースを参照して、受信したURLについて評価を行い、ルーターへ評価結果を返信します。
  5. 外部サーバーからの評価結果を受信したルーターは、設定されたフィルターリストに該当しているか否かを判定します。
    5'. Webレピュテーションとカテゴリーチェックで利用するデータベース(サービス事業者)が異なる場合、外部サーバーとの通信は2回発生します。
  6. 5.のチェックをパスした場合、HTTPサーバーへPCからのパケットを送信します。
    6'. アクセスが遮断された場合、送信元PCにアクセスを遮断する理由となったカテゴリー番号、名称を表示するブロック画面を送信します。

カテゴリーについて

カテゴリーの種類、名称についてはURLフィルタリングサービス事業者毎に異なりますので、それぞれの設定例をご覧ください。

データベース上のいずれのカテゴリーにも該当しないURLへのアクセスは、url filter external-database category コマンドでカテゴリーリストに*(アスタリスク)を指定した設定に従います。また、url filter external-database category コマンドでカテゴリーリストに*(アスタリスク)を指定した設定がない場合は、無条件に遮断されます。

Webレピュテーションのセキュリティーレベルについて

Webレピュテーションによるフィルタリングで設定するセキュリティーレベルの定義はURLフィルタリングサービス事業者毎に異なりますので、それぞれの設定例をご覧ください。

SNMP

以下のMIB変数で、URLフィルターが適用された統計情報を取得することができます。

5. コマンド

6. SYSLOGメッセージ一覧

本機能において出力されるSYSLOGメッセージの一覧を以下に示します。なお、実際に出力される各メッセージの先頭には"[URL FILTER] "というプレフィックスが付与されます。

レベル 出力メッセージ 内容
NOTICE(*1) Passed at INTERFACE DIR category[NUM]: IP_ADDRESS : URL INTERFACEのDIR方向に適用したカテゴリー番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを通過させた。
Rejected at INTERFACE DIR category[NUM]: IP_ADDRESS : URL INTERFACEのDIR方向に適用したカテゴリー番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを破棄した。
Passed at INTERFACE DIR reputation[LEVEL]: IP_ADDRESS : URL
Passed at INTERFACE DIR reputation[LEVEL] STATUS: IP_ADDRESS : URL
INTERFACEのDIR方向に適用したセキュリティーレベル番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを通過させた。
ファーミング検出を行った場合はその結果(STATUS)も出力される。
Rejected at INTERFACE DIR reputation[LEVEL]: IP_ADDRESS : URL
Rejected at INTERFACE DIR reputation[LEVEL] STATUS: IP_ADDRESS : URL
INTERFACEのDIR方向に適用したセキュリティーレベル番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを破棄した。
ファーミング検出を行った場合はその結果(STATUS)も出力される。
INFO Execute "COMMAND" command バックグラウンドでコマンドを実行した。
Fail to execute command(REASON) REASONにより、バックグラウンドでのコマンド実行に失敗した。
DEBUG Can't connect to server    (*2) サーバーへの接続に失敗した
Can't create socket ソケットが生成できなかった
Can't resolve name 名前解決ができなかった
received illegal packet    (*2) 外部データベースを持つサーバーから不正なパケットを受信した
read error    (*2) 受信エラー
Received error message    (*2) 外部データベースを持つサーバーからエラーを受信した
queue overflow 外部データベースによるチェック待ちのキューが溢れた
Can't connect to server (Connection timeout)    (*2) 外部データベースを持つサーバーへの接続待ちタイムアウト
Retransmit a request to the external database, N times    (*2) 外部データベースを持つサーバーへのN回目の再送を行う
Abort by User Operation. データベース情報の更新処理をユーザ操作により中断した。
Abort by Timeout. データベース情報の更新処理を通信タイムアウトにより中断した。
(*1) RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで NOTICE レベルで出力され、他のファームウェアでは DEBUG レベルで出力される。
(*2) トレンドマイクロ株式会社およびヤマハ株式会社のデータベースを利用する場合は複数のサーバーと通信が発生するため、接続先が区別できるようにメッセージが一部変化する。

デジタルアーツ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。

レベル 出力メッセージ 内容
DEBUG Authentication failed. Network error サーバーとの通信が正常にできず、認証に失敗した。
ARS status error ERROR_CODE サーバー側でシリアルIDが無効と判定され、認証に失敗した。
Authentication failed. Invalid Serial ID

ネットスター株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。

レベル 出力メッセージ 内容
DEBUG Load policy [FILE_PATH] カテゴリー・ルール定義ファイルの内容をロードした。
Cannot load policy
Cannot load policy [FILE_PATH]
カテゴリー・ルール定義ファイルの内容がロードできなかった。
Check module index [FILE_PATH] 追加設定画面のインデックスファイルが読み出し可能。
Cannot check module index
Cannot check module index [FILE_PATH]
追加設定画面のインデックスファイルが読み出し不可。

トレンドマイクロ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。

レベル 出力メッセージ 内容
INFO license status is STATUS. シリアルIDの認証の結果、ライセンスの状態が変更された。
DEBUG activate status error STATUS_CODE シリアルIDの登録処理で不正なSTATUS_CODEを受信した。
license activate error(ERROR_CODE) シリアルIDの登録処理でエラーコードを受信した。
license check error(ERROR_CODE) シリアルIDの認証処理でエラーコードを受信した。ERROR_CODEが212の場合のみINFOレベルで出力される。

ヤマハ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。

レベル 出力メッセージ 内容
DEBUG Load policy [FILE_PATH] カテゴリー・ルール定義ファイルの内容をロードした。
Cannot load policy
Cannot load policy [FILE_PATH]
カテゴリー・ルール定義ファイルの内容がロードできなかった。

7. 関連文書