$Date: 2016/07/27 02:23:27 $
外部データベース参照型URLフィルター機能は、外部のURLフィルタリングサービス事業者のデータベースに問い合わせて、通知された当該URLの評価結果を元にアクセスを制限します。
外部データベースによるURLの評価には以下の2つの機能があります。これらの評価機能は併用することができ、各評価機能毎に異なるデータベース(サービス事業者)を利用することも可能です。
また、外部データベース参照型URLフィルター機能は、キーワードと始点IPアドレスで制限を行うURLフィルター(内部データベース参照型URLフィルター)と併用することができます。この場合、先に内部データベース参照型URLフィルターでチェックを行い、その後で外部データベースを参照してチェックを行います。
外部データベース参照型URLフィルター
┌───────────────────────┐
[内部データベース参照型URLフィルター] → [Webレピュテーション] → [カテゴリーチェック] →
└───────────────────────┘
外部データベース参照型URLフィルター機能の主な仕様は以下の通りです。
| 機種 | ファームウェア |
|---|---|
| RTX1100 RT107e |
Rev.8.03.87以降 |
ヤマハRTシリーズでは以下の機種およびファームウェアで、外部データベース参照型URLフィルター機能をサポートしています。
| 機種 | ファームウェア |
|---|---|
| RTX5000 | Rev.14.00.08以降 |
| RTX3500 | Rev.14.00.08以降 |
| FWX120 | Rev.11.03.02以降 |
| RTX1200 | Rev.10.01.07以降 |
| SRT100 | Rev.10.00.08以降 |
| RTX3000 | Rev.9.00.31以降 |
| RTX1100 | Rev.8.03.60以降 |
| RT107e | Rev.8.03.60以降 |
また、各機種の外部DB参照型URLフィルターの対応状況は以下をご覧ください。
対応済み、かつリビジョンが記載されていない場合は、上記のリビジョンから対応しています。
| 機種 | 外部データベース | |||||||
|---|---|---|---|---|---|---|---|---|
| ネットスター | デジタルアーツ | トレンドマイクロ | ヤマハ | |||||
| CUI | GUI | CUI | GUI | CUI | GUI | CUI | GUI | |
| RTX5000 | ○ | × | × | × | × | |||
| RTX3500 | ||||||||
| FWX120 | ○ | ○ | ○ ※Rev.11.03.04以降 |
○ ※Rev.11.03.18以降 |
||||
| RTX1200 | ○ ※Rev.10.01.22以降 |
× | ||||||
| SRT100 | ○ ※Rev.10.00.52以降 |
|||||||
| RTX3000 | ○ | × | ○ | × | × | × | ||
| RTX1100 | ||||||||
| RT107e | ||||||||
下図のPCからHTTPサーバーへアクセスする場合、URLフィルターの処理の流れは以下のようになっています。
RT
+----+ +--------------------------+ +--------+
| | |+------------------------+| | |
| |------------>| 内部データベース参照型 || | |
| PC |<------------| URLフィルター (1) |-------->| HTTP |
| | (2)' |+------------------------+| (2)' |サーバー|
| | | |(2) | | |
| | | v | | |
| | (6)' |+------------------------+| (6) | |
| |<------------| 外部データベース参照型 |-------->| |
| | || URLフィルター || | |
| | |+------------------------+| | |
+----+ +-------(3)|-----^(5)------+ +--------+
| |
v |
+--------------------------+
| 外部サーバー (4) |
| [データベース] |
+--------------------------+
カテゴリーの種類、名称についてはURLフィルタリングサービス事業者毎に異なりますので、それぞれの設定例をご覧ください。
データベース上のいずれのカテゴリーにも該当しないURLへのアクセスは、url filter external-database category コマンドでカテゴリーリストに*(アスタリスク)を指定した設定に従います。また、url filter external-database category コマンドでカテゴリーリストに*(アスタリスク)を指定した設定がない場合は、無条件に遮断されます。
Webレピュテーションによるフィルタリングで設定するセキュリティーレベルの定義はURLフィルタリングサービス事業者毎に異なりますので、それぞれの設定例をご覧ください。
以下のMIB変数で、URLフィルターが適用された統計情報を取得することができます。
外部データベース参照型URLフィルターの各評価機能で利用するデータベースを選択する。
データベースを利用するためには、URLフィルタリングサービス事業者と契約を行う必要がある。
SRT100 Rev.10.00.52以降、RTX1200 Rev.10.01.22以降、FWX120 Rev.11.03.04以降でトレンドマイクロ株式会社のデータベースが選択可能となる。また、同リビジョンより本コマンドの書式が変更され、旧書式での入力は受理されなくなる。ただし、それ以前のファームウェアからリビジョンアップした場合のみ、旧書式で保存されたコマンドは新書式に変換して継承される。
FWX120 Rev.11.03.18以降でヤマハ株式会社のデータベースが選択可能となる。
REPUTATION_NAME = off
CATEGORY_NAME = off
| NUM ... | Webレピュテーションフィルター番号(1..21474836) |
| KIND | |
|
|
| LEVEL_LIST | |
|
|
| PHARMING_STATUS | |
|
|
| SRC_ADDR ... IPパケットの始点IPアドレス | |
|
|
| MASK | |
|
|
URLフィルターのWebレピュテーション機能を使用したフィルターを定義する。本コマンドで設定されたフィルターは、url INTERFACE filterコマンドで用いられる。
指定できるセキュリティーレベル番号とその定義については、URLフィルタリングサービス事業者によって異なる。
PHARMING_STATUSパラメータはWebレピュテーションの評価と共にファーミングの検出結果を利用したい場合に指定し、トレンドマイクロ株式会社のデータベースを使用する場合に評価される。
本コマンドは SRT100 Rev.10.00.52以降、RTX1200 Rev.10.01.22以降、FWX120 Rev.11.03.04以降で使用可能。
FWX120 Rev.11.03.18以降でヤマハ株式会社のデータベースが選択可能となる。
LEVEL_LISTとPHARMING_STATUSは、どちらか一方にマッチすればマッチしたものと見なされる。
| NUM ... | カテゴリーリスト番号(1..21474836) |
| KIND | |
|
|
| CATEGORY_LIST | |
|
|
| SRC_ADDR ... IPパケットの始点IPアドレス | |
|
|
| MASK | |
|
|
URLフィルターでチェックするデータベースのカテゴリーを設定する。本コマンドで設定されたフィルター は、url INTERFACE filterコマンドで用いられる。
どのカテゴリーにも該当しないURLは、CATEGORY_LISTで * を指定した場合の設定が適用される。
指定できるカテゴリー番号は、使用するURLフィルタリングサービス事業者により異なる。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで、SRC_ADDRをコンマ(,)で区切って複数指定することができる。
FWX120 Rev.11.03.18以降でヤマハ株式会社のデータベースが選択可能となる。
| INTERFACE ... | LANインターフェース名 |
| DIR | |
|
|
| LIST ... | 空白で区切られたURLフィルター番号の並び |
| REPUTATION_LIST ... | 空白で区切られたWebレピュテーションフィルター番号の並び |
| CATEGORY_LIST ... | 空白で区切られたカテゴリーリスト番号の並び |
url filterコマンドで設定したフィルターを組み合わせて、インターフェースで送受信するHTTPパケットのURLによって制限を行う。
設定できる各フィルターの数は以下の通りとなる。
ただし、これらはコマンドライン文字列長(4095文字)で入力できる範囲内でなければならない。
本コマンドにより、適用対象のインターフェースでは以下のように各フィルターが評価される。
SRT100 Rev.10.00.52以降、RTX1200 Rev.10.01.22以降、FWX120 Rev.11.03.04以降で、Webレピュテーションフィルター番号のリストが指定可能となる。また、同リビジョンよりカテゴリーリストを列挙するための書式が変更されており、旧書式による入力は受理されなくなる。ただし、それ以前のファームウェアからリビジョンアップした場合のみ、旧書式で保存されたコマンドは新書式に変換して継承される。
フィルターは設定されていない。
| LIST ... | 空白で区切られたポート番号の並び(4個以内) |
URLフィルターでチェックを行うHTTPのポート番号を設定する。
80
| redirect ... | HTTPリダイレクトのHTTPレスポンスを返し、ブロック画面へ転送する |
| off ... | HTTPレスポンスは返さずに、TCP RSTによってTCPセッションを終了する |
| URL ... | リダイレクトするURL(http:// または https:// で始まる文字列で、半角255文字以内) |
URLフィルターで破棄するパケットの送信元にHTTPレスポンスを返す動作を設定する。
URLを指定した場合、実際にリダイレクトするときには指定したURLの後ろに"?"に続けて以下の内容のクエリを付加する。
URLに http:// または https:// で始まる文字列以外を設定することはできない。
HTTPサーバー機能に対応した機種では、redirectを設定してWebブラウザにブロック画面を表示する場合、httpd service onの設定が必要である。
HTTPサーバー機能に対応していない機種でredirectを指定する場合、URLを省略することはできない。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで、URL を指定できる。
| off | ... RTX5000、RTX3500、RTX3000 |
| redirect | ... 上記以外の機種 |
外部データベースへのアクセスに失敗したとき、パケットを破棄するか否かを設定する。
設定誤りによりデータベースを持つサーバーへアクセスできない、またはサーバーから応答がないなどの理由でサーバーから正常な応答が得られなかった場合に、本コマンドの設定にしたがってパケットが処理される。
pass
| DATABASE | |
|
url filter external-database use コマンドの設定に従い、URLフィルタリングサービス事業者にシリアルIDを登録する。
DATABASEパラメータを指定することで、特定のデータベースのサービス事業者との契約状況のみを確認する。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定し、 url filter external-database idコマンドで、シリアルIDを設定する必要がある。
トレンドマイクロ株式会社のデータベースを使用する場合にのみ有効である。
| DATABASE | |
|
url filter external-database use コマンドの設定に従い、URLフィルタリングサービス事業者との契約状況を確認する。
DATABASEパラメータを指定することで、特定のデータベースのサービス事業者との契約状況のみを確認する。また、DATABASEパラメータを省略し、且つ複数のサービス事業者のデータベースを使用している場合は、それぞれの契約状況を確認する。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定する必要がある。
| OPERATION | |
|
|
| DATABASE | |
|
|
| prompt ..... | コマンド実行後、すぐにプロンプトを表示させ、他のコマンドを実行できるようにする |
url filter external-database use コマンドの設定に従い、データベースの更新情報の確認および取得を行う。
DATABASE パラメータを指定することで、特定のデータベースの更新情報を確認する。また、DATABASE パラメータを省略し、かつ複数のサービス事業者のデータベースを使用している場合は、それぞれの更新情報を確認する。
特定のデータベースとサービス事業者の組合せで発生する固有の動作については以下の通り。
カテゴリーチェックの追加モジュールの更新確認、ダウンロード、および保存を行う。追加モジュールは無名ユーザのカスタムGUIとして使用するため、ダウンロードした追加モジュール群の保存先は、無名ユーザとして設定された httpd custom-gui user コマンドの PATH パラメータのディレクトリとなる。従って、本コマンドにより追加モジュール群を保存するには無名ユーザの httpd custom-gui user コマンドを事前に設定しておく必要がある。
カテゴリーチェックの追加モジュールの更新確認、ダウンロード、および保存を行う。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定する必要がある。
SRT100 Rev.10.00.60以降、RTX1200 Rev.10.01.36以降、FWX120 Rev.11.03.02以降で使用可能。
http://<IPアドレス>/XXXX のように、IPアドレスを直接指定したURLへのアクセスを許可するか否かを設定する。
| ADDRESS ... Proxyサーバーのアドレス | |
|
|
| PORT ... | ポート番号(1..65535) |
|
|
外部データベースを持つサーバーにアクセスする時に使用するProxyサーバーのアドレス、ポート番号を設定する。
設定なし
| INTERFACE ... | LANインターフェース名 |
| PEER_NUM ... | 相手先情報番号 |
| TUNNEL_NUM ... | トンネルインターフェース番号 |
外部データベース参照型URLフィルターのWebレピュテーション統計情報、およびカテゴリーチェック統計情報を表示する。インターフェースが指定されない場合は、すべてのインターフェースの情報を表示する。
Webレピュテーション統計情報として表示される内容は以下の通り。
カテゴリーチェック統計情報として表示される内容は以下の通り。
| DATABASE | |
|
url filter external-database use コマンドの設定に従い、データベースのライセンス情報を表示する。
DATABASE パラメータを指定することで、特定のデータベースのライセンス情報を表示する。また、DATABASE パラメータを省略し、かつ複数のサービス事業者のデータベースを使用している場合は、それぞれのライセンス情報を表示する。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定する必要がある。
DATABASE パラメータは SRT100 Rev.10.00.60以降、RTX1200 Rev.10.01.36、FWX120 Rev.11.03.04 で使用可能。
| INTERFACE ... | LANインターフェース名 |
| PEER_NUM ... | 相手先情報番号 |
| TUNNEL_NUM ... | トンネルインターフェース番号 |
外部データベース参照型URLフィルターのWebレピュテーション統計情報、およびカテゴリーチェック統計情報を消去する。インターフェースが指定されない場合は、すべてのインターフェースの情報を消去する。
| NAME | |
|
|
| ID ..... | シリアルID(半角255文字以内) |
各サービス事業者のデータベースへアクセスするためのシリアルIDを設定する。
SRT100 Rev.10.00.52以降、RTX1200 Rev.10.01.22以降、FWX120 Rev.11.03.04以降はNAMEパラメータが新設され、指定が必須となる。ただし、それ以前のファームウェアからリビジョンアップした場合のみ、旧書式で保存されたコマンドは新書式に変換して継承される。ここで継承したコマンドはデジタルアーツ株式会社向けの設定と見なされる。
| ADDRESS ... サーバーのアドレス | |
|
|
| PORT ... | ポート番号(1..65535) |
外部データベースを持つサーバーのアドレス、およびデータベースにアクセスするためのポート番号を設定する。
デジタルアーツ株式会社のデータベースを使用する場合にのみ有効である。
| URL ... | シリアルIDを登録するURL(半角255文字以内) |
シリアルIDを登録するURLを設定する。
デジタルアーツ株式会社のデータベースを使用する場合にのみ有効である。
https://ars2s.daj.co.jp/register/add.php
フィルターにマッチした際にログを出力するか否かを設定する。
onを設定した場合でも、url filter external-database categoryコマンドでKINDにpass、pass-nolog、またはreject-nologを指定したフィルターにマッチした場合は、ログを出力しない。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで使用可能。
on
| INTERVAL ... | 再送間隔 |
|
|
| RETRY ... | 再送回数(1..50) |
外部データベース参照型URLフィルターでユーザ認証の自動実行に失敗した場合に、再度ユーザ認証を実行する間隔と回数を設定する。
INTERVALにautoを設定した時に、ユーザ認証に失敗した場合には30秒から90秒の時間をおいて再度ユーザ認証を行う。それにも失敗した場合には、その後60秒間隔でユーザ認証を試みる。
INTERVALにoffを設定した時には、ユーザ認証に失敗した場合でも再送は行わない。
RETRYはINTERVALにoff以外を設定した場合に指定できる。
url filter external-database id check goコマンドで、手動でユーザ認証を実行した場合には、本コマンドでの設定にかかわらずユーザ認証の再送は行われない。
ユーザ認証に失敗してから指定した時間までの間にユーザ認証を手動実行した場合には、その後のINTERVALで指定した再送間隔でのユーザ認証は行わない。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで使用可能。
| INTERVAL = | auto |
| RETRY = | 10 |
内部データベース参照型URLフィルターおよび、外部データベース参照型URLフィルターを使用するか否かを設定する。
RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで使用可能。
on
指定した拡張子のURLについて評価するか否かを設定する。
評価を行わない場合、そのURLへのリクエストを通過させる。
初期設定として、以下の拡張子が登録されている。
jpg, gif, ico, png, bmp, jpeg, tif, tiff, swf, wav, wmv wma, mp3, mpg, mpeg, mp4, asx, asf, wax, wvx, mov
url filter external-database lookup specified extension listコマンドで上記拡張子のリストに拡張子を追加または削除することができる。
使用する外部データベースによって対応するリビジョンが異なり、次のようになる。
| EXTENSION ... | 拡張子(半角4文字以内、64個以内) |
url filter external-database lookup specified extensionコマンドがoffの設定の場合に、評価せずリクエストを通過させるURLの拡張子を設定する。
初期設定として、以下の拡張子が登録されており、このリストへの追加、削除する形で拡張子を設定する。
jpg, gif, ico, png, bmp, jpeg, tif, tiff, swf, wav, wmv, wma, mp3, mpg, mpeg, mp4, asx, asf, wax, wvx, mov
EXTENSIONの前に+を置くか、あるいは何も置かない場合には上記初期設定のリストにEXTENSIONを追加する。
EXTENSIONの前に-を置く場合には上記初期設定のリストからEXTENSIONを削除する。
使用する外部データベースによって対応するリビジョンが異なり、次のようになる。
本機能において出力されるSYSLOGメッセージの一覧を以下に示します。なお、実際に出力される各メッセージの先頭には"[URL FILTER] "というプレフィックスが付与されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| NOTICE(*1) | Passed at INTERFACE DIR category[NUM]: IP_ADDRESS : URL | INTERFACEのDIR方向に適用したカテゴリー番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを通過させた。 |
| Rejected at INTERFACE DIR category[NUM]: IP_ADDRESS : URL | INTERFACEのDIR方向に適用したカテゴリー番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを破棄した。 | |
| Passed at INTERFACE DIR reputation[LEVEL]: IP_ADDRESS : URL Passed at INTERFACE DIR reputation[LEVEL] STATUS: IP_ADDRESS : URL |
INTERFACEのDIR方向に適用したセキュリティーレベル番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを通過させた。 ファーミング検出を行った場合はその結果(STATUS)も出力される。 |
|
| Rejected at INTERFACE DIR reputation[LEVEL]: IP_ADDRESS : URL Rejected at INTERFACE DIR reputation[LEVEL] STATUS: IP_ADDRESS : URL |
INTERFACEのDIR方向に適用したセキュリティーレベル番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを破棄した。 ファーミング検出を行った場合はその結果(STATUS)も出力される。 |
|
| INFO | Execute "COMMAND" command | バックグラウンドでコマンドを実行した。 |
| Fail to execute command(REASON) | REASONにより、バックグラウンドでのコマンド実行に失敗した。 | |
| DEBUG | Can't connect to server (*2) | サーバーへの接続に失敗した |
| Can't create socket | ソケットが生成できなかった | |
| Can't resolve name | 名前解決ができなかった | |
| received illegal packet (*2) | 外部データベースを持つサーバーから不正なパケットを受信した | |
| read error (*2) | 受信エラー | |
| Received error message (*2) | 外部データベースを持つサーバーからエラーを受信した | |
| queue overflow | 外部データベースによるチェック待ちのキューが溢れた | |
| Can't connect to server (Connection timeout) (*2) | 外部データベースを持つサーバーへの接続待ちタイムアウト | |
| Retransmit a request to the external database, N times (*2) | 外部データベースを持つサーバーへのN回目の再送を行う | |
| Abort by User Operation. | データベース情報の更新処理をユーザ操作により中断した。 | |
| Abort by Timeout. | データベース情報の更新処理を通信タイムアウトにより中断した。 |
| (*1) | RTX1100/RT107e Rev.8.03.75以降、RTX3000 Rev.9.00.31以降、SRT100 Rev.10.00.38以降、および、Rev.10.01系以降のファームウェアで NOTICE レベルで出力され、他のファームウェアでは DEBUG レベルで出力される。 |
| (*2) | トレンドマイクロ株式会社およびヤマハ株式会社のデータベースを利用する場合は複数のサーバーと通信が発生するため、接続先が区別できるようにメッセージが一部変化する。 |
デジタルアーツ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| DEBUG | Authentication failed. Network error | サーバーとの通信が正常にできず、認証に失敗した。 |
| ARS status error ERROR_CODE | サーバー側でシリアルIDが無効と判定され、認証に失敗した。 | |
| Authentication failed. Invalid Serial ID |
ネットスター株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| DEBUG | Load policy [FILE_PATH] | カテゴリー・ルール定義ファイルの内容をロードした。 |
| Cannot load policy Cannot load policy [FILE_PATH] |
カテゴリー・ルール定義ファイルの内容がロードできなかった。 | |
| Check module index [FILE_PATH] | 追加設定画面のインデックスファイルが読み出し可能。 | |
| Cannot check module index Cannot check module index [FILE_PATH] |
追加設定画面のインデックスファイルが読み出し不可。 |
トレンドマイクロ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| INFO | license status is STATUS. | シリアルIDの認証の結果、ライセンスの状態が変更された。 |
| DEBUG | activate status error STATUS_CODE | シリアルIDの登録処理で不正なSTATUS_CODEを受信した。 |
| license activate error(ERROR_CODE) | シリアルIDの登録処理でエラーコードを受信した。 | |
| license check error(ERROR_CODE) | シリアルIDの認証処理でエラーコードを受信した。ERROR_CODEが212の場合のみINFOレベルで出力される。 |
ヤマハ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| DEBUG | Load policy [FILE_PATH] | カテゴリー・ルール定義ファイルの内容をロードした。 |
| Cannot load policy Cannot load policy [FILE_PATH] |
カテゴリー・ルール定義ファイルの内容がロードできなかった。 |