7.4. URLフィルタリング¶
注釈
- Enterprise Cloud サービスのVPN接続からインターネット接続する通信に対して、URLフィルタリングを適用したい場合は、 Enterprise Cloud サービスのサーバーセグメント上にプロキシサーバーを構築する必要があります。
- URLフィルタリングは、サービス相互接続を経由して利用します。別途、サービス相互接続を申し込む必要があります。
7.4.1. 利用できる機能¶
| 機能 | 概要 |
| URLフィルタリング | URLフィルタリングが提供するWebサイトのカテゴリーごとに許可、検知、警告、遮断のいずれかを指定して、Webサイトへのアクセスを制御する機能。 |
7.4.2. URLフィルタリング機能¶
注釈
- HTTPS通信については、サーバー証明書のCommon Nameに記載されているURLを基に判定します。
| 項目 | 処理内容 | ログに記録される情報 |
| 許可(Allow) | 通信を許可します。 | なし |
| 検知(Alert) | 通信を許可します。 | アクセス制限されたWebサイトのURL |
| 警告(Continue) | カテゴリーに登録されているWebサイトにアクセスした利用者に対して、制限されたWebサイトにアクセスしたことを警告する画面が表示されます。
利用者は、表示された警告画面の「Continue」ボタンをクリックすると、当該Webサイトにアクセスできます。
|
アクセス制限されたWebサイトのURL |
| 遮断(Block) | カテゴリーに登録されているWebサイトにアクセスした利用者に対して、制限されたWebサイトにアクセスしたこと、および通信が遮断されたことを通知するブロック画面が表示されます。
利用者は、当該Webサイトにアクセスすることはできません。
|
アクセス制限されたWebサイトのURL |
| 機能 | 概要 |
許可するURL
(ホワイトリスト)
|
警告または遮断に設定されているカテゴリーに登録されているWebサイトから、例外的にアクセスを許可するURLを指定できます。
アクセスを許可するURLは、最大100個まで登録できます。
|
禁止するURL
(ブラックリスト)
|
許可または検知に設定されているカテゴリーに登録されているWebサイトから、例外的にアクセスを禁止(遮断)するURLを指定できます。
どのカテゴリーにも登録されていないURLを登録して、アクセスを禁止(遮断)することもできます。
アクセスを禁止するURLは、最大100個まで登録できます。
|
- vファイアウォール/INAで、検査対象サーバーセグメント宛の通信が、URLフィルタリングで利用するサービス相互接続GWにルーティングされるように設定が必要です。
- 検査対象サーバーセグメント上にある仮想サーバーで、仮想サーバーからの通信がURLフィルタリングで利用するサービス相互接続GWにルーティングされるように設定が必要です。
- 仮想サーバーのPing監視を実施する場合、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。
注釈
- 検査対象サーバーセグメントは、vファイアウォール/INAと直接接続しないでください。
| 項目 | 性能 | 備考 | |
|---|---|---|---|
| 1サービスあたり | 最大(5サービス利用時) | ||
| トラフィック処理能力 | 200 Mbps | 1 Gbps | 上り/下りの合計値です。 |
| 同時セッション数 | 40,000 | 200,000 | 同時接続可能なセッション数です。 |
注釈
- ご利用サービス数を追加することで、最大1 Gbps/200,000セッション(5サービス利用)まで対応可能です。2サービス以上をご利用される場合は、事前にご相談ください。
7.4.3. 注意事項¶
利用するIPアドレス- サービス相互接続GWとURLフィルタリングを接続するために、プレフィックス長が/29~/24のIPアドレスブロックが2つ必要です。IPアドレスブロックが既に利用されている場合は、変更をお願いする場合があります。
- 割り振られたIPアドレスブロックは弊社にて管理し、必要な機器にIPアドレスを割り当てます。
実際の通信量がお申し込みいただいた解析処理量の上限を超えた場合、通信が破棄される場合があります。
HTTPS通信において、Common Nameに記載されているURLが、遮断(Block)または警告(Continue)のカテゴリーに該当するURLであった場合、ブロック画面または警告画面は表示されません(ブラウザのエラーとして表示されます。)
Webサイトのカテゴリーごとの処理として警告 (Continue)を選択される場合、以下の制約があります。
- プロキシサーバーをご利用されている場合、VPN接続からプロキシサーバーへの通信に対してのみ警告(Continue)動作を適用します。(セキュリティの観点から、プロキシサーバーからインターネット接続への通信では適用されません)
- クライアントのブラウザで、プロキシサーバーの例外設定(プロキシサーバーを利用しないアドレス設定)に検査対象サーバーセグメントのアドレス帯を設定してください。検査対象サーバーセグメント宛の通信を例外設定されない場合、警告画面がクライアントに表示されません。
- vファイアウォール/統合ネットワークアプライアンスで、プロキシサーバーの6080ポート宛の通信を通過させる設定が必要となります。
- 6080ポートは警告画面を表示させるために使用するため、URLフィルタリングを経由する通信において、6080ポートを利用したサービス通信は利用できません。
TCP/UDP/IPプロトコルに違反するパケットや異常なパケットは、お客様個々の設定内容に関わらず、標準機能として破棄します。
(例)
- IPヘッダが途中で切れている場合
- ポート番号が0の場合
- TCPフラグの組み合わせ異常の場合 等
本機能を構成する機器が故障などの原因で交換された場合、交換前の機器のログおよびイベントレポートについては、セキュリティWebポータルから確認することはできません。また、冗長構成機器で正常系サーバーと待機系サーバーが切り替わり、機器交換を実施せずに切り戻しを実施した場合、切り替わりが発生していた期間のログおよびイベントレポートについては、セキュリティWebポータルから確認することはできません。
URLフィルタリングは、URLフィルタリング機能が、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。また、URLフィルタリング機能を構成する機器の開発元または販売元より提供されるURL識別アルゴリズムの妥当性を保証するものではありません。
URLフィルタリング機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
- URLフィルタリングの提供を通じて得られた設定情報
- URLフィルタリングの制御などに関する情報
URLフィルタリング機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。