外部データベース参照型 URLフィルター 設定例(ヤマハ)

$Date: 2024/04/24 11:40:39 $

1. 概要
2. 用語の定義
3. 注意事項
4. 設定例
   • 使用するデータベースの設定とライセンス情報の確認
   • LAN2インターフェースへの設定例
   • show url filter external-databaseコマンドの表示例
   • ブロック画面
   • GUIからの設定
5. セキュリティーレベル一覧
6. カテゴリーの一覧
7. 関連文書

1.概要

ヤマハが設置するセキュリティークラウド（以下、「YSC：Yamaha Security Cloud」と呼ぶ）を使用した外部データベース参照型URLフィルター機能を提供します。 YSCではマカフィー社が提供するGTI（Global Threat Intelligence）サーバーに通知された当該URLの評価結果を元にアクセスを制限します。

キーワードと始点IPアドレスで制限を行うURLフィルター(内部データベース参照型URLフィルター)と併用することもできます。この場合、先に内部データベース参照型URLフィルターでチェックを行い、その後でYSCを参照してチェックを行います。

YSCによるURLの評価機能は2種類あります。

• カテゴリーチェック
  • データベースに問い合わせることで、当該URLはそのコンテンツに応じた特定のカテゴリーに分類されます。
  • ルーターは、問い合わせた結果得られたURLのカテゴリー情報によってフィルタリングを行います。
• Webレピュテーション
  • データベースに問い合わせることで、当該URLは安全なサイトであるか否かを評価されます。
  • ルーターは、問い合わせた結果得られたURLの安全度(セキュリティーレベル)によってフィルタリングを行います。

これら評価機能は以下の順序で適用されます。

                                                   外部データベース参照型URLフィルター
                                            ┌───────────────────────┐
     [内部データベース参照型URLフィルター] → [Webレピュテーション] → [カテゴリーチェック] →
                                            └───────────────────────┘

ライセンス認証についてはこちらを参照してください。

システム構成は以下になります。

2.用語の定義

• GTI（Global Thread Intelligence）
  • マカフィー社が提供しているWeb レピュテーション及び Web カテゴライゼーションサービスです（https://www.mcafee.com/enterprise/ja-jp/threat-center/global-threat-intelligence-technology.html）
  • クラウドベースでURLをリアルタイムに検査します
  • 当機能ではURLの検査を行います
• YSC（Yamaha Security Cloud）
  • ヤマハが設置するクラウドサーバーです
  • アクセスしようとしたURLをGTIサーバーに転送し、URLの安全性の判定結果を取得します
• LMS（License Management System）
  • ヤマハが設置するライセンス管理サーバーです
  • ファイアウォールはこのサーバーとライセンス認証を行います
  • LMSについてはこちらを参照してください。

3.注意事項

YSCを使用する外部データベース参照型URLフィルターには以下の使用制限がありますので注意してください。

利用規約

当機能をご利用いただくには以下の利用規約への同意が必要となります。

ライセンス認証

当機能は有償サービスにより提供される機能になります。ご利用いただくには、以下のライセンス製品のいずれかを購入していただく必要があります。

• YSL-MC120-1Y (2025年3月31日 販売終了予定)
• YSL-MC120-3Y (2018年12月20日 販売終了)
• YSL-MC120-5Y (2018年12月20日 販売終了)

推奨端末数

25端末程度

※ 弊社の検証用環境で「複数の端末からHTTP GETを送信し、1秒以内に約300KBのデータを受信できること」という条件を満たすことができる台数を想定しています。この台数は使用されるネットワークの負荷や環境によって変わりますので、参考値としてお考えください。

HTTPプロキシ非対応

LMSとのライセンス認証やYSCとの通信にはHTTPSを使用していますが、HTTPプロキシ機能には対応していません。

4.設定例

使用するデータベースの設定とライセンス情報の登録・確認

url filter external-database useコマンドで、ヤマハ株式会社のデータベースを使用する設定にします。

url filter external-database use reputation ysl-mc category ysl-mc  (*)

url filter external-database id check goコマンドを実行し、ライセンスが有効であることを確認します。

# url filter external-database id check go
Webレピュテーションデータベースのライセンス:
カテゴリーデータベースのライセンス:
  ライセンス情報をLMSに問い合わせています...
  有効期限：2019/08/01
#

LAN2インターフェースへの設定例

＃ Webレピュテーション結果に対するフィルタリングの設定をする

• 始点IPアドレス 192.168.0.1 のホストからの、すべてのURLへのアクセスを許可する ... (1)
• 始点IPアドレス 192.168.0.5 のホストからの、安全性評価が「安全 (3)」に該当したURLへのアクセスを許可する ... (2)
• 始点IPアドレス 192.168.0.7 のホストからの、安全性評価が「疑わしい (2)」に該当するURLへのアクセスを許可する ... (3)
• すべてのURLへのアクセスを許可する ...(4)
• LAN2から送出するパケットについて、(1)〜(4)を適用する ...(5)

url filter external-database reputation 1 pass * 192.168.0.1                 #... (1)
url filter external-database reputation 2 pass 3 192.168.0.5                 #... (2)
url filter external-database reputation 3 pass 2 192.168.0.7                 #... (3)
url filter external-database reputation 4 pass *                             #... (4)
url lan2 filter out external-database reputation 1 2 3 4                     #... (5)

＃ カテゴリー毎にフィルタリングの設定をする

• 始点IPアドレス 192.168.0.2 のホストからのカテゴリー「インスタントメッセンジャー(122)」に該当するURLへのアクセスだけを許可する ...(6)
• 始点IPアドレス 192.168.0.10〜192.168.0.15 のホストからのカテゴリー「オークション/広告(158)」と「レストラン(185)」に該当するURLへのアクセスだけを許可する ...(7)
• カテゴリーデータベースで「技術情報(191)」となっているURLへのアクセスを許可する ...(8)
• その他、任意のホストからの、任意のカテゴリーに登録されているURLへのアクセスを遮断する ...(9)
• LAN2から送出するパケットについて、(6)〜(9)を適用する ...(10)

url filter external-database category 1 pass 122 192.168.0.2                       # ...(6)
url filter external-database category 2 pass 158,185 192.168.0.10-192.168.0.15     # ...(7)
url filter external-database category 3 pass 191 *                                 # ...(8)
url filter external-database category 100 reject * *                               # ...(9)
url lan2 filter out external-database category 1 2 3 100                           # ...(10)

＃ 内部URLフィルター、Webレピュテーション、カテゴリーチェックを併用する

上記に加え、更に以下のフィルターを追加。

• rtpro を含むURLへのアクセスを許可する ...(11)
• netvolante を含むURLへのアクセスを許可する ...(12)
• www.yamaha.co.jp を含むURLへのアクセスを遮断する ...(13)
• LAN2から送出するパケットについて、(11)〜(13)、(1)、(3)、(7)〜(9)を適用する ...(14)

url filter 1 pass rtpro *                                                       # ...(11)
url filter 2 pass netvolante *                                                  # ...(12)
url filter 3 reject www.yamaha.co.jp *                                          # ...(13)
url lan2 filter out 1 2 3 external-database reputation 1 3 category 2 3 100     # ...(14)

※ (11)、(12)のように、内部URLフィルターで pass を設定したキーワードを含むURLについては、外部データベース参照型URLフィルターのチェック結果に関らず、常にアクセスを許可することができます。
※ (13)のように、内部URLフィルターで reject を設定したキーワードを含むURLについては、外部データベース参照型URLフィルターのチェック結果に関らず、常にアクセスを遮断することができます。
※ (11)〜(13)の内部URLフィルターに該当しないパケットを、外部データベース参照型URLフィルターでチェックします。

＃ IPアドレスを直接指定したURL(http://<IPアドレス>/xxx)へのアクセスについて

外部データベースでは、ホストをドメイン名で登録しているため、ドメイン名を名前解決したIPアドレスを直接入力したURLをフィルタリングすることができません。
以下のコマンドを設定すると、IPアドレスを直接指定したURLへのアクセスを禁止することができます。

url filter external-database ipaddress access reject

show url filter external-databaseコマンドの表示例

# show url filter external-database lan2
lan2 [out]:
セキュリティレベル番号   始点IPアドレス       回数
--------------------------------------------------
     3                     192.168.0.10         47
     2                     192.168.0.10         21
     2                     192.168.0.18         11
     1                     192.168.0.27          9

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   51          192.168.0.10           29
   59          192.168.0.27           10
   64          192.168.0.74          917
   66          192.168.0.18           83


(インターフェースを指定しない場合)
# show url filter external-database
LAN2 [out]:
セキュリティーレベル番号   始点IPアドレス       回数
--------------------------------------------------
     3                     192.168.0.10         47
     2                     192.168.0.10         21
     2                     192.168.0.18         11
     1                     192.168.0.27          9

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   33          192.168.0.27           10
   38          192.168.0.74          917
   42          192.168.0.18           83
   51          192.168.0.10           29

PP[01] [out]:
セキュリティレベル番号   始点IPアドレス       回数
--------------------------------------------------
     3                     192.168.0.74         31
     2                     192.168.0.10         11

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   33          192.168.0.10           29
   59          192.168.0.27           10
   66          192.168.0.74          917

PP[02] [in]:
セキュリティレベル番号   始点IPアドレス       回数
--------------------------------------------------

カテゴリ番号   始点IPアドレス       回数
----------------------------------------
   69          10.129.83.98         1238
   87          172.16.38.137           9
   88          10.211.49.176         328

ブロック画面 表示例

• Webレピュテーションによりブロックした場合

  

• カテゴリーチェックによりブロックした場合

  

GUIからの設定

GUIから設定すると、以下のコマンドが設定されます（PP[01]に対する設定例）。カテゴリー番号は、「カテゴリーの一覧」をご覧ください。

url filter external-database use reputation ysl-mc category ysl-mc
url filter external-database reputation 20250 reject 0,1,2 *
url filter external-database category 20250 reject 110,192,153,155,160,163,132,137,149,162,180,109,118,121,130,150,161,169,171,176,200,204,205 *
url filter external-database category 20327 pass * *
pp select 1
 url pp filter out external-database reputation 20250 category 20250 20327

詳細は「FWX120のGUI設定手順」をご覧ください。

5.セキュリティーレベル一覧

url filter external-database reputation コマンドで設定可能なセキュリティーレベル番号とその定義の一覧です。

6.カテゴリーの一覧

url filter external-database category コマンドで設定可能なカテゴリーの一覧です。

7.関連文書

• 概要、コマンド
• デジタルアーツ
  • 設定例
  • [SRT100] GUI設定手順
• ネットスター
  • 設定例
  • [FWX120] GUI設定手順
  • [SRT100] GUI設定手順
• トレンドマイクロ
  • 設定例
  • [FWX120] GUI設定手順
  • [SRT100] GUI設定手順
• ヤマハ
  • 設定例
  • [FWX120] GUI設定手順
• 特定拡張子を持つURLの評価
• 内部データベース参照型URLフィルター機能
• URLフィルターブロック画面のカスタマイズ機能