$Date: 2011/09/08 04:42:27 $
外部データベース参照型URLフィルタ機能は、外部のURLフィルタリングサービス事業者のデータベースに問い合わせて、通知された当該URLの評価結果を元にアクセスを制限します。
また、キーワードと始点IPアドレスで制限を行うURLフィルタ(内部データベース参照型URLフィルタ)と併用することができます。この場合、先に内部データベース参照型URLフィルタでチェックを行い、その後で、外部データベースを参照してチェックを行います。
外部データベースによるURLの評価機能は2種類あります。
上記の評価機能は併用することができます。また各評価機能毎に異なるデータベース(サービス事業者)を利用することも可能です。
なお、これら評価機能は以下の順序で適用されます。
外部データベース参照型URLフィルタ
┌──────────────────────┐
[内部データベース参照型URLフィルタ] → [Webレピュテーション] → [カテゴリチェック] →
└──────────────────────┘
主な仕様は以下の通りです。
| 機種 | ファームウェア |
|---|---|
| RTX1100/RT107e | Rev.8.03.87以降 |
ヤマハRTシリーズでは以下の機種およびファームウェアで、外部データベース参照型URLフィルタ機能をサポートしています。
| 機種 | ファームウェア |
|---|---|
| RTX1200 | Rev.10.01.07以降 |
| SRT100 | Rev.10.00.08以降 |
| RTX3000 | Rev.9.00.31以降 |
| RTX1100/RT107e | Rev.8.03.60以降 |
下図のPCからHTTPサーバへアクセスする場合、URLフィルタの処理の流れは以下のようになっています。
RT
+----+ +--------------------------+ +--------+
| | |+------------------------+| | |
| |------------>| 内部データベース参照型 || | |
| PC |<------------| URLフィルタ (1) |-------->| HTTP |
| | (2)' |+------------------------+| (2)' | サーバ |
| | | |(2) | | |
| | | v | | |
| | (6)' |+------------------------+| (6) | |
| |<------------| 外部データベース参照型 |-------->| |
| | || URLフィルタ || | |
| | |+------------------------+| | |
+----+ +-------(3)|-----^(5)------+ +--------+
| |
v |
+--------------------------+
| 外部サーバ (4) |
| [データベース] |
+--------------------------+
カテゴリの種類、名称についてはURLフィルタリングサービス事業者毎に異なりますので、それぞれの設定例をご覧ください。
データベース上のいずれのカテゴリにも該当しないURLへのアクセスは、url filter external-database categoryコマンドでカテゴリリストに*(アスタリスク)を指定した設定に従います。
url filter external-database categoryコマンドでカテゴリリストに*(アスタリスク)を指定した設定がない場合は、無条件に遮断されます。
Webレピュテーションによるフィルタリングで設定するセキュリティレベルの定義はURLフィルタリングサービス事業者毎に異なりますので、それぞれの設定例をご覧ください。
以下のMIB変数で、URLフィルタが適用された統計情報を取得することができます。
外部データベース参照型URLフィルタの各評価機能で利用するデータベースを選択する。
データベースを利用するためには、URLフィルタリングサービス事業者と契約を行う必要がある。
Rev.10.00.52以降、Rev.10.01.22以降で、トレンドマイクロ株式会社のデータベースが選択可能となる。また、同リビジョンより本コマンドの書式が変更され、旧書式での入力は受理されなくなる。ただし、それ以前のファームウェアからリビジョンアップした場合のみ、旧書式で保存されたコマンドは新書式に変換して継承される。
REPUTATION_NAME = off
CATEGORY_NAME = off
| NUM ... | Webレピュテーションフィルタ番号(1..65535) |
| KIND | |
|
|
| LEVEL_LIST | |
|
|
| PHARMING_STATUS | |
|
|
| SRC_ADDR ... IPパケットの始点IPアドレス | |
|
|
| MASK | |
|
|
URLフィルタのWebレピュテーション機能を使用したフィルタを定義する。本コマンドで設定されたフィルタは、url INTERFACE filterコマンドで用いられる。
指定できるセキュリティレベル番号とその定義については、URLフィルタリングサービス事業者によって異なる。
PHARMING_STATUSパラメータはWebレピュテーションの評価と共にファーミングの検出結果を利用したい場合に指定する。
本コマンドはRev.10.00.52以降、Rev.10.01.22以降で使用可能。
LEVEL_LISTとPHARMING_STATUSは、どちらか一方にマッチすればマッチしたものと見なされる。
| NUM ... | カテゴリリスト番号(1..65535) |
| KIND | |
|
|
| CATEGORY_LIST | |
|
|
| SRC_ADDR ... IPパケットの始点IPアドレス | |
|
|
| MASK | |
|
|
URLフィルタでチェックするデータベースのカテゴリを設定する。本コマンドで設定されたフィルタ は、url INTERFACE filterコマンドで用いられる。
どのカテゴリにも該当しないURLは、CATEGORY_LISTで * を指定した場合の設定が適用される。
指定できるカテゴリ番号は、使用するURLフィルタリングサービス事業者により異なる。
Rev.10.00.38以降、Rev.9.00.31以降、Rev.8.03.75以降で、SRC_ADDRをコンマ(,)で区切って複数指定することができる。
| INTERFACE ... | LANインタフェース名 |
| DIR | |
|
|
| LIST ... | 空白で区切られたURLフィルタ番号の並び |
| REPUTATION_LIST ... | 空白で区切られたWebレピュテーションフィルタ番号の並び |
| CATEGORY_LIST ... | 空白で区切られたカテゴリリスト番号の並び |
url filterコマンドで設定したフィルタを組み合わせて、インタフェースで送受信するHTTPパケットのURLによって制限を行う。
設定できる各フィルタの数は以下の通りとなる。
ただし、これらはコマンドライン文字列長(4095文字)で入力できる範囲内でなければならない。
本コマンドにより、適用対象のインタフェースでは以下のように各フィルタが評価される。
Rev.10.00.52以降、Rev.10.01.22以降で、Webレピュテーションフィルタ番号のリストが指定可能となる。また、同リビジョンよりカテゴリリストを列挙するための書式が変更されており、旧書式による入力は受理されなくなる。ただし、それ以前のファームウェアからリビジョンアップした場合のみ、旧書式で保存されたコマンドは新書式に変換して継承される。
フィルタは設定されていない。
| LIST ... | 空白で区切られたポート番号の並び(4個以内) |
URLフィルタでチェックを行うHTTPのポート番号を設定する。
80
| redirect ... | HTTPリダイレクトのHTTPレスポンスを返し、ブロック画面へ転送する |
| off ... | HTTPレスポンスは返さずに、TCP RSTによってTCPセッションを終了する |
| URL ... | リダイレクトするURL(http:// または https:// で始まる文字列で、半角255文字以内) |
URLフィルタで破棄するパケットの送信元にHTTPレスポンスを返す動作を設定する。
URLを指定した場合、実際にリダイレクトするときには指定したURLの後ろに"?"に続けて以下の内容のクエリを付加する。
URLに http:// または https:// で始まる文字列以外を設定することはできない。
HTTPサーバ機能に対応した機種では、redirectを設定してWebブラウザにブロック画面を表示する場合、httpd service onの設定が必要である。
HTTPサーバ機能に対応していない機種でredirectを指定する場合、URLを省略することはできない。
URLはRev.10.00.38以降、Rev.9.00.31以降、Rev.8.03.75以降で指定できる。
| off | ... RTX3000 |
| redirect | ... 上記以外の機種 |
外部データベースへのアクセスに失敗したとき、パケットを破棄するか否かを設定する。
設定誤りによりデータベースを持つサーバへアクセスできない、またはサーバから応答がないなどの理由でサーバから正常な応答が得られなかった場合に、本コマンドの設定にしたがってパケットが処理される。
pass
| DATABASE | |
|
url filter external-database use コマンドの設定に従い、URLフィルタリングサービス事業者にシリアルIDを登録する。
DATABASEパラメータを指定することで、特定のデータベースのサービス事業者との契約状況のみを確認する。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定し、 url filter external-database idコマンドで、シリアルIDを設定する必要がある。
トレンドマイクロ株式会社のデータベースを使用する場合にのみ有効である。
| DATABASE | |
|
url filter external-database use コマンドの設定に従い、URLフィルタリングサービス事業者との契約状況を確認する。
DATABASEパラメータを指定することで、特定のデータベースのサービス事業者との契約状況のみを確認する。また、DATABASEパラメータを省略し、且つ複数のサービス事業者のデータベースを使用している場合は、それぞれの契約状況を確認する。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定する必要がある。
| OPERATION | |
|
|
| DATABASE | |
|
|
| prompt ..... | コマンド実行後、すぐにプロンプトを表示させ、他のコマンドを実行できるようにする |
url filter external-database use コマンドの設定に従い、データベースの更新情報の確認および取得を行う。
DATABASE パラメータを指定することで、特定のデータベースの更新情報を確認する。また、DATABASE パラメータを省略し、かつ複数のサービス事業者のデータベースを使用している場合は、それぞれの更新情報を確認する。
特定のデータベースとサービス事業者の組合せで発生する固有の動作については以下の通り。
カテゴリチェックの追加モジュールの更新確認、ダウンロード、および保存を行う。追加モジュールは無名ユーザのカスタムGUIとして使用するため、ダウンロードした追加モジュール群の保存先は、無名ユーザとして設定された httpd custom-gui user コマンドの PATH パラメータのディレクトリとなる。従って、本コマンドにより追加モジュール群を保存するには無名ユーザの httpd custom-gui user コマンドを事前に設定しておく必要がある。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定する必要がある。
Rev.10.00.60以降で使用可能。
http://<IPアドレス>/XXXX のように、IPアドレスを直接指定したURLへのアクセスを許可するか否かを設定する。
| ADDRESS ... Proxyサーバのアドレス | |
|
|
| PORT ... | ポート番号(1..65535) |
|
|
外部データベースを持つサーバにアクセスする時に使用するProxyサーバのアドレス、ポート番号を設定する。
設定なし
| INTERFACE ... | LANインタフェース名 |
| PEER_NUM ... | 相手先情報番号 |
| TUNNEL_NUM ... | トンネルインタフェース番号 |
外部データベース参照型URLフィルタのWebレピュテーション統計情報、およびカテゴリチェック統計情報を表示する。インタフェースが指定されない場合は、すべてのインタフェースの情報を表示する。
Webレピュテーション統計情報として表示される内容は以下の通り。
カテゴリチェック統計情報として表示される内容は以下の通り。
| DATABASE | |
|
url filter external-database use コマンドの設定に従い、データベースのライセンス情報を表示する。
DATABASE パラメータを指定することで、特定のデータベースのライセンス情報を表示する。また、DATABASE パラメータを省略し、かつ複数のサービス事業者のデータベースを使用している場合は、それぞれのライセンス情報を表示する。
本コマンドを実行する前に、url filter external-database useコマンドで、使用するデータベースを設定する必要がある。
Rev.10.00.60以降で使用可能。
| INTERFACE ... | LANインタフェース名 |
| PEER_NUM ... | 相手先情報番号 |
| TUNNEL_NUM ... | トンネルインタフェース番号 |
外部データベース参照型URLフィルタのWebレピュテーション統計情報、およびカテゴリチェック統計情報を消去する。インタフェースが指定されない場合は、すべてのインタフェースの情報を消去する。
| NAME | |
|
|
| ID ..... | シリアルID(半角255文字以内) |
各サービス事業者のデータベースへアクセスするためのシリアルIDを設定する。
Rev.10.00.52以降、Rev.10.01.22以降はNAMEパラメータが新設され、指定が必須となる。ただし、それ以前のファームウェアからリビジョンアップした場合のみ、旧書式で保存されたコマンドは新書式に変換して継承される。ここで継承したコマンドはデジタルアーツ株式会社向けの設定と見なされる。
| ADDRESS ... サーバのアドレス | |
|
|
| PORT ... | ポート番号(1..65535) |
外部データベースを持つサーバのアドレス、およびデータベースにアクセスするためのポート番号を設定する。
デジタルアーツ株式会社のデータベースを使用する場合にのみ有効である。
| URL ... | シリアルIDを登録するURL(半角255文字以内) |
シリアルIDを登録するURLを設定する。
デジタルアーツ株式会社のデータベースを使用する場合にのみ有効である。
https://ars2s.daj.co.jp/register/add.php
フィルタにマッチした際にログを出力するか否かを設定する。
onを設定した場合でも、url filter external-database categoryコマンドでKINDにpass、pass-nolog、またはreject-nologを指定したフィルタにマッチした場合は、ログを出力しない。
Rev.10.00.38以降、Rev.9.00.31以降、Rev.8.03.75以降で使用可能。
on
| INTERVAL ... | 再送間隔 |
|
|
| RETRY ... | 再送回数(1..50) |
外部データベース参照型URLフィルタでユーザ認証の自動実行に失敗した場合に、再度ユーザ認証を実行する間隔と回数を設定する。
INTERVALにautoを設定した時に、ユーザ認証に失敗した場合には30秒から90秒の時間をおいて再度ユーザ認証を行う。それにも失敗した場合には、その後60秒間隔でユーザ認証を試みる。
INTERVALにoffを設定した時には、ユーザ認証に失敗した場合でも再送は行わない。
RETRYはINTERVALにoff以外を設定した場合に指定できる。
url filter external-database id check goコマンドで、手動でユーザ認証を実行した場合には、本コマンドでの設定にかかわらずユーザ認証の再送は行われない。
ユーザ認証に失敗してから指定した時間までの間にユーザ認証を手動実行した場合には、その後のINTERVALで指定した再送間隔でのユーザ認証は行わない。
Rev.10.00.38以降、Rev.9.00.31以降、Rev.8.03.75以降で使用可能。
| INTERVAL = | auto |
| RETRY = | 10 |
内部データベース参照型URLフィルターおよび、外部データベース参照型URLフィルターを使用するか否かを設定する。
Rev.10.00.31以降、Rev.9.00.31以降、Rev.8.03.75以降で使用可能。
on
指定した拡張子のURLについて評価するか否かを設定する。
評価を行わない場合、そのURLへのリクエストを通過させる。
初期設定として、以下の拡張子が登録されている。
jpg, gif, ico, png, bmp, jpeg, tif, tiff, swf, wav, wmv wma, mp3, mpg, mpeg, mp4, asx, asf, wax, wvx, mov
url filter external-database lookup specified extension listコマンドで上記拡張子のリストに拡張子を追加または削除することができる。
使用する外部データベースによって対応するリビジョンが異なり、次のようになる。
| EXTENSION ... | 拡張子(半角4文字以内、64個以内) |
url filter external-database lookup specified extensionコマンドがoffの設定の場合に、評価せずリクエストを通過させるURLの拡張子を設定する。
初期設定として、以下の拡張子が登録されており、このリストへの追加、削除する形で拡張子を設定する。
jpg, gif, ico, png, bmp, jpeg, tif, tiff, swf, wav, wmv, wma, mp3, mpg, mpeg, mp4, asx, asf, wax, wvx, mov
EXTENSIONの前に+を置くか、あるいは何も置かない場合には上記初期設定のリストにEXTENSIONを追加する。
EXTENSIONの前に-を置く場合には上記初期設定のリストからEXTENSIONを削除する。
使用する外部データベースによって対応するリビジョンが異なり、次のようになる。
本機能において出力されるSYSLOGメッセージの一覧を以下に示します。なお、実際に出力される各メッセージの先頭には"[URL FILTER] "というプレフィックスが付与されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| NOTICE(*1) | Passed at INTERFACE DIR category[NUM]: IP_ADDRESS : URL | INTERFACEのDIR方向に適用したカテゴリ番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを通過させた。 |
| Rejected at INTERFACE DIR category[NUM]: IP_ADDRESS : URL | INTERFACEのDIR方向に適用したカテゴリ番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを破棄した。 | |
| Passed at INTERFACE DIR reputation[LEVEL]: IP_ADDRESS : URL Passed at INTERFACE DIR reputation[LEVEL] STATUS: IP_ADDRESS : URL |
INTERFACEのDIR方向に適用したセキュリティレベル番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを通過させた。 ファーミング検出を行った場合はその結果(STATUS)も出力される。 |
|
| Rejected at INTERFACE DIR reputation[LEVEL]: IP_ADDRESS : URL Rejected at INTERFACE DIR reputation[LEVEL] STATUS: IP_ADDRESS : URL |
INTERFACEのDIR方向に適用したセキュリティレベル番号NUMに該当した、IP_ADDRESSからURLへアクセスするパケットを破棄した。 ファーミング検出を行った場合はその結果(STATUS)も出力される。 |
|
| INFO | Execute "COMMAND" command | バックグラウンドでコマンドを実行した。 |
| Fail to execute command(REASON) | RESSONにより、バックグラウンドでのコマンド実行に失敗した。 | |
| DEBUG | Can't connect to server (*2) | サーバへの接続に失敗した |
| Can't create socket | ソケットが生成できなかった | |
| Can't resolve name | 名前解決ができなかった | |
| received illegal packet (*2) | 外部データベースを持つサーバから不正なパケットを受信した | |
| read error (*2) | 受信エラー | |
| Received error message (*2) | 外部データベースを持つサーバからエラーを受信した | |
| queue overflow | 外部データベースによるチェック待ちのキューが溢れた | |
| Can't connect to server (Connection timeout) (*2) | 外部データベースを持つサーバへの接続待ちタイムアウト | |
| Retransmit a request to the external database, N times (*2) | 外部データベースを持つサーバへのN回目の再送を行う | |
| Abort by User Operation. | データベース情報の更新処理をユーザ操作により中断した。 | |
| Abort by Timeout. | データベース情報の更新処理を通信タイムアウトにより中断した。 |
| (*1) | RTX3000、RTX1200、SRT100のRev.10.00.38以降、RTX1100/RT107eのRev.8.03.75以降。これら以外はDEBUGレベルで出力される。 |
| (*2) | トレンドマイクロ株式会社のデータベースを利用する場合は複数のサーバと通信が発生するため、接続先が区別できるようにメッセージが一部変化する。 |
デジタルアーツ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| DEBUG | Authentication failed. Network error | サーバとの通信が正常にできず、認証に失敗した。 |
| ARS status error ERROR_CODE | サーバ側でシリアルIDが無効と判定され、認証に失敗した。 | |
| Authentication failed. Invalid Serial ID |
ネットスター株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| DEBUG | Load policy [FILE_PATH] | カテゴリ・ルール定義ファイルの内容をロードした。 |
| Cannot load policy Cannot load policy [FILE_PATH] |
カテゴリ・ルール定義ファイルの内容がロードできなかった。 | |
| Check module index [FILE_PATH] | 追加設定画面のインデックスファイルが読み出し可能。 | |
| Cannot check module index Cannot check module index [FILE_PATH] |
追加設定画面のインデックスファイルが読み出し不可。 |
トレンドマイクロ株式会社のデータベースを利用する場合は、以下のSYSLOGメッセージも出力されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| INFO | license status is STATUS. | シリアルIDの認証の結果、ライセンスの状態が変更された。 |
| DEBUG | activate status error STATUS_CODE | シリアルIDの登録処理で不正なSTATUS_CODEを受信した。 |
| license activate error(ERROR_CODE) | シリアルIDの登録処理でエラーコードを受信した。 | |
| license check error(ERROR_CODE) | シリアルIDの認証処理でエラーコードを受信した。ERROR_CODEが212の場合のみINFOレベルで出力される。 |