外部データベース参照型 URLフィルター 設定例(ヤマハ)

$Date: 2020/03/25 04:55:41 $

  1. 概要
  2. 用語の定義
  3. 注意事項
  4. 設定例
  5. セキュリティーレベル一覧
  6. カテゴリーの一覧
  7. 関連文書

1.概要

ヤマハが設置するセキュリティークラウド(以下、「YSC:Yamaha Security Cloud」と呼ぶ)を使用した外部データベース参照型URLフィルター機能を提供します。 YSCではマカフィー社が提供するGTI(Global Threat Intelligence)サーバーに通知された当該URLの評価結果を元にアクセスを制限します。

キーワードと始点IPアドレスで制限を行うURLフィルター(内部データベース参照型URLフィルター)と併用することもできます。この場合、先に内部データベース参照型URLフィルターでチェックを行い、その後でYSCを参照してチェックを行います。

YSCによるURLの評価機能は2種類あります。

これら評価機能は以下の順序で適用されます。

                                                   外部データベース参照型URLフィルター
                                            ┌───────────────────────┐
     [内部データベース参照型URLフィルター] → [Webレピュテーション] → [カテゴリーチェック] →
                                            └───────────────────────┘

ライセンス認証についてはこちらを参照してください。

システム構成は以下になります。

structure

2.用語の定義


3.注意事項

YSCを使用する外部データベース参照型URLフィルターには以下の使用制限がありますので注意してください。

利用規約

当機能をご利用いただくには以下の利用規約への同意が必要となります。

ライセンス認証

当機能は有償サービスにより提供される機能になります。ご利用いただくには、以下のライセンス製品のいずれかを購入していただく必要があります。

推奨端末数

25端末程度

※ 弊社の検証用環境で「複数の端末からHTTP GETを送信し、1秒以内に約300KBのデータを受信できること」という条件を満たすことができる台数を想定しています。この台数は使用されるネットワークの負荷や環境によって変わりますので、参考値としてお考えください。

HTTPプロキシ非対応

LMSとのライセンス認証やYSCとの通信にはHTTPSを使用していますが、HTTPプロキシ機能には対応していません。


4.設定例

使用するデータベースの設定とライセンス情報の登録・確認

url filter external-database useコマンドで、ヤマハ株式会社のデータベースを使用する設定にします。

url filter external-database use reputation ysl-mc category ysl-mc  (*)

url filter external-database id check goコマンドを実行し、ライセンスが有効であることを確認します。

# url filter external-database id check go
Webレピュテーションデータベースのライセンス:
カテゴリーデータベースのライセンス:
  ライセンス情報をLMSに問い合わせています...
  有効期限:2019/08/01
#

LAN2インターフェースへの設定例

# Webレピュテーション結果に対するフィルタリングの設定をする

url filter external-database reputation 1 pass * 192.168.0.1                 #... (1)
url filter external-database reputation 2 pass 3 192.168.0.5                 #... (2)
url filter external-database reputation 3 pass 2 192.168.0.7                 #... (3)
url filter external-database reputation 4 pass *                             #... (4)
url lan2 filter out external-database reputation 1 2 3 4                     #... (5)

# カテゴリー毎にフィルタリングの設定をする

url filter external-database category 1 pass 122 192.168.0.2                       # ...(6)
url filter external-database category 2 pass 158,185 192.168.0.10-192.168.0.15     # ...(7)
url filter external-database category 3 pass 191 *                                 # ...(8)
url filter external-database category 100 reject * *                               # ...(9)
url lan2 filter out external-database category 1 2 3 100                           # ...(10)

# 内部URLフィルター、Webレピュテーション、カテゴリーチェックを併用する

上記に加え、更に以下のフィルターを追加。

url filter 1 pass rtpro *                                                       # ...(11)
url filter 2 pass netvolante *                                                  # ...(12)
url filter 3 reject www.yamaha.co.jp *                                          # ...(13)
url lan2 filter out 1 2 3 external-database reputation 1 3 category 2 3 100     # ...(14)

※ (11)、(12)のように、内部URLフィルターで pass を設定したキーワードを含むURLについては、外部データベース参照型URLフィルターのチェック結果に関らず、常にアクセスを許可することができます。
※ (13)のように、内部URLフィルターで reject を設定したキーワードを含むURLについては、外部データベース参照型URLフィルターのチェック結果に関らず、常にアクセスを遮断することができます。
※ (11)〜(13)の内部URLフィルターに該当しないパケットを、外部データベース参照型URLフィルターでチェックします。

# IPアドレスを直接指定したURL(http://<IPアドレス>/xxx)へのアクセスについて

外部データベースでは、ホストをドメイン名で登録しているため、ドメイン名を名前解決したIPアドレスを直接入力したURLをフィルタリングすることができません。
以下のコマンドを設定すると、IPアドレスを直接指定したURLへのアクセスを禁止することができます。

url filter external-database ipaddress access reject

show url filter external-databaseコマンドの表示例

# show url filter external-database lan2
lan2 [out]:
セキュリティレベル番号   始点IPアドレス       回数
--------------------------------------------------
     3                     192.168.0.10         47
     2                     192.168.0.10         21
     2                     192.168.0.18         11
     1                     192.168.0.27          9

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   51          192.168.0.10           29
   59          192.168.0.27           10
   64          192.168.0.74          917
   66          192.168.0.18           83


(インターフェースを指定しない場合)
# show url filter external-database
LAN2 [out]:
セキュリティーレベル番号   始点IPアドレス       回数
--------------------------------------------------
     3                     192.168.0.10         47
     2                     192.168.0.10         21
     2                     192.168.0.18         11
     1                     192.168.0.27          9

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   33          192.168.0.27           10
   38          192.168.0.74          917
   42          192.168.0.18           83
   51          192.168.0.10           29

PP[01] [out]:
セキュリティレベル番号   始点IPアドレス       回数
--------------------------------------------------
     3                     192.168.0.74         31
     2                     192.168.0.10         11

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   33          192.168.0.10           29
   59          192.168.0.27           10
   66          192.168.0.74          917

PP[02] [in]:
セキュリティレベル番号   始点IPアドレス       回数
--------------------------------------------------

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   69          10.129.83.98         1238
   87          172.16.38.137           9
   88          10.211.49.176         328

ブロック画面 表示例

GUIからの設定

GUIから設定すると、以下のコマンドが設定されます(PP[01]に対する設定例)。カテゴリー番号は、「カテゴリーの一覧」をご覧ください。

url filter external-database use reputation ysl-mc category ysl-mc
url filter external-database reputation 20250 reject 0,1,2 *
url filter external-database category 20250 reject 110,192,153,155,160,163,132,137,149,162,180,109,118,121,130,150,161,169,171,176,200,204,205 *
url filter external-database category 20327 pass * *
pp select 1
 url pp filter out external-database reputation 20250 category 20250 20327

詳細は「FWX120のGUI設定手順」をご覧ください。

5.セキュリティーレベル一覧

url filter external-database reputation コマンドで設定可能なセキュリティーレベル番号とその定義の一覧です。

セキュリティーレベル安全性評価詳細
3安全安全なWebサーバー上にある
2疑わしい安全なWebサーバー上にあるが継続調査が必要
1極めて疑わしい悪意あるWebサーバーに関連した特性を示している
0危険悪意のある内容を含んでいる、または安全なサーバー上にない

6.カテゴリーの一覧

url filter external-database category コマンドで設定可能なカテゴリーの一覧です。

大項目小項目
番号カテゴリー
ビジネス/サービス105ビジネス
114金融財務/銀行
123オンライントレード
125求職
薬物101アルコール飲料
110麻薬/薬物
151タバコ
娯楽/文化100芸術/文化/遺産
112エンターテイメント
120ユーモア/漫画
124インターネットラジオ/テレビ
129メディアダウンロード
147ストリーミング
179動画・画像共有サイト
187レクリエーション/趣味
ゲーム/賭博115ギャンブル
116ゲーム
166ギャンブル関連
情報技術126情報セキュリティ
142リモートアクセス
144分散型コンピューティング
148シェアウェア/フリーウェア
154Web広告サービス
170オンラインストレージ
172インタラクティブWebアプリ
175ソフトウェア/ハードウェア
177コンテンツサーバー
178インターネットサービス
191技術情報
196テキスト翻訳
情報技術106チャット
108公共情報
122インスタントメッセンジャー
128携帯/モバイル
131ユーズネット
134一般ニュース
141ポータルサイト
145検索サイト
156Webメール
157インターネット電話
159フォーラム/掲示板
164イメージ検索
165技術/ビジネス関連掲示板
167メッセージサービス
188ブログ/ウィキ
189グリーティングカード
194プロフェッショナル・ネットワーキング
197Web会議
602モデレータ
603言語表現のみ
ライフスタイル140個人サイト
146スポーツ
152旅行
185レストラン
192出会い系サイト
195ソーシャルネットワーキング
198社会的な論争
成人向け/暴力113極端なサイト
153暴力
155武器関連
160冒涜的言語
163残虐サイト
168暴力的なゲーム/漫画
アダルト132ヌード
137水着・グラビア
149ポルノ
162性的内容
180ヌードの掲載
ショッピング136オンラインショッピング
158オークション/広告
174ファッション/美容
181商品/サービス情報
184処方箋/医薬品
186不動産
193自動車
不正行為/犯罪102匿名サイト
104HP翻訳/匿名サービス
109違法行為の可能性
118ハッキング/コンピューター犯罪の可能性
121差別
130悪質サイト
138P2P/ファイル共有
150スパイウェア/アドウェア/キーロガー
161学校内不正行為
169フィッシング詐欺
171スパムメールのURL
176違法ソフトの可能性
183パークドメイン
190歴史修正主義
199ホームIPアドレス
200ブラウザクラッシャー
201消費者保護
202英国で違法の内容
204悪意のあるソフトのダウンロード
205不審なプログラム
社会/教育/宗教111教育/参照文献
117政府/軍隊
119健康
133非営利/支援活動/NGO
139政治/意見
143宗教/イデオロギー
203主要な国際的宗教
600子供向け
601歴史
その他501情報なし

7.関連文書