URLの分類
注:
URL フィルタリング機能の URL 分類は、このリリースでは廃止されました。
URL の分類は、特定の Web サイトおよび Web サイトのカテゴリへのユーザーアクセスを制限します。NetSTAR
と連携したサブスクライブサービスであるこの機能により、企業のお客様は、市販の分類データベースを使用して Web トラフィックをフィルタリングできます。NetSTAR
データベースには、ソーシャルネットワーキング、ギャンブル、アダルトコンテンツ、ニューメディア、ショッピングなど、さまざまなカテゴリに分類された膨大な数(数十億)のURLがあります。分類に加えて、各 URL には、サイトの履歴リスクプロファイルに基づいて最新のレピュテーションスコアが保持されます。カテゴリ、カテゴリグループ(テロ、違法薬物など)、またはサイトレピュテーションスコアに基づいて高度なポリシーを設定することで、NetSTAR
データを使用してトラフィックをフィルタリングできます。
たとえば、マルウェアに感染したサイトなどの危険なサイトへのアクセスをブロックしたり、アダルトコンテンツやエンターテイメントストリーミングメディアへのアクセスを選択的に制限したりできます。
URL 分類の仕組み
次の図は、NetScaler URL Filteringサービスを商用URL分類データベースおよびクラウドサービスと統合して頻繁に更新する方法を示しています。
コンポーネントは次のように相互作用します。
- クライアントはインターネットにバインドされた URL リクエストを送信します。
- NetScalerポリシーは、URL分類データベースから取得した分類の詳細(カテゴリ、カテゴリグループ、サイトレピュテーションスコアなど)に基づいてリクエストを評価しようとします。データベースがカテゴリの詳細を返す場合、プロセスは手順 5 にジャンプします。
- データベースが分類の詳細を返さない場合、リクエストは URL 分類ベンダーが管理するクラウドベースの検索サービスに送信されます。ただし、アプライアンスは応答を待たない。代わりに、URL を未分類としてマークし、手順 5 に進みます。ただし、クラウドクエリのフィードバックを引き続き監視し、それを使用してキャッシュを更新し、将来のリクエストでクラウドルックアップのメリットを得られるようにします。
- NetScalerアプライアンスは、クラウドベースのサービスからURLカテゴリの詳細(カテゴリ、カテゴリグループ、およびレピュテーションスコア)を受け取り、クラウドキャッシュに保存します。
- ポリシーで URL が許可されている場合、リクエストはオリジンサーバーに送信されます。そうしないと、アプライアンスは要求をドロップまたはリダイレクトするか、カスタム HTML ページで応答します。
- オリジンサーバーは、要求されたデータでNetScalerアプライアンスに応答します。
- アプライアンスは応答をクライアントに送信します。
URL フィルタリング機能を使用すると、政府が発行した安全なインターネット使用規則に違反するサイトを検出し、それらのサイトをブロックするポリシーを実装できます。成人向けコンテンツ、ストリーミングメディア、ソーシャルネットワーキングをホストするサイト。子供にとって安全でないと特定された、または違法として禁止されているサイト。
前提条件
この機能は、基本的なCBMライセンスとCBM Premiumライセンスを購入すればTelcoプラットフォームで動作し、他のNetScalerプラットフォームではCNS Premiumライセンスを購入すれば機能します。
注:ベーシック CBM ライセンスと CBM Premium ライセンスに加えて、アプライアンスには URL Threat Intelligence ライセンスと 1 年または 3 年間のサブスクリプションサービスが必要です。この機能を有効にして設定する前に、次のライセンスをインストールする必要があります。
Telco プラットフォームのライセンスサポート:
- CBM_TXXX_SERVER_Retail.lic
- CBM_TPRE_SERVER_Retail.lic
- CNS_WEBF_SSERVER_Retail.lic
ここで、XXXはスループットです。たとえば、NetScaler T1000のようになります。
他のNetScalerプラットフォームのライセンスサポート:
- CNS_XXX_SERVER_PLT_Retail.lic
ここで、XXX はスループットです。
URL 分類ポリシー表現
次の表は、受信URLを識別し、設定されたアクションを適用するためのさまざまなURL分類ポリシー表現を示しています。
式 | 操作 |
---|---|
<text>. URL_CATEGORIZE (<min_reputation>, <max_reputation>) |
URL_CATEGORY オブジェクトを返します。レピュテーションスコアは1から4までの数字です。オブジェクトを取得するには、すべてのレピュテーションスコアは<min reputation> に 0.0 を使用します。 |
|
このオブジェクトのカテゴリ文字列を返します。URL にカテゴリがない場合、または URL の形式が正しくない場合、戻り値は「未分類」です。 |
|
オブジェクトのカテゴリグループを識別する文字列を返します。これは、カテゴリのより高いレベルのグループです。これは、URL カテゴリに関する詳細情報を必要としない操作に役立ちます。URL にカテゴリがない場合、または URL の形式が正しくない場合、戻り値は「未分類」です。 |
|
レピュテーションスコアを 1 ~ 4 の数値で返します。4 は最もリスクの高いレピュテーションを示します。カテゴリが「未分類」の場合、レピュテーション値は 2 です。 |
ポリシー表現の例
ポリシー | ポリシー表現 |
---|---|
検索エンジンカテゴリに含まれる URL のリクエストを選択するポリシー | add responder policy p1 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY.EQ(“Search Engine”) |
アダルトカテゴリグループに属する URL のリクエストを選択するポリシー | add responder policy p1 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). GROUP.EQ(“Adult”)’ |
レピュテーションスコアが 4 の検索エンジン URL のリクエストを選択するポリシー。 | add responder policy p2 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(4,0). CATEGORY.EQ(“Search Engine”)’ |
検索エンジンとショッピング URL のリクエストを選択するポリシー | add policy patset good_categories; bind policy good_categories “Search Engine”; bind policy good_categories “Shopping”; add responder policy p3 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY .EQUALS_ANY(“good_categories”) |
レピュテーションスコアが 4 の検索エンジン URL のリクエストを選択するポリシー。 | add responder policy p5 ‘CLIENT.SSL.DETECTED_DOMAIN.URL_CATEGORIZE(4,0). CATEGORY.EQ(“Search Engine”) |
URL 分類ポリシーアクション
URL フィルタリングポリシーは、トラフィックを評価して、特定のカテゴリに属するリクエストを識別します。次の表は、URL フィルタリングポリシーに割り当てることができるアクションの一覧です。
ポリシーアクション | ポリシーグループ | 説明 |
---|---|---|
ALLOW | レスポンダー | 受信リクエストにターゲット URL へのアクセスを許可する |
リダイレクト | レスポンダー | 受信リクエストをターゲットとして指定された URL にリダイレクトします。 |
DENY | レスポンダー | 受信リクエストを拒否します。 |
RESET | レスポンダー、ビデオ最適化 | 接続をリセットします。 |
DROP | レスポンダー、ビデオ最適化 | 接続をドロップします。 |
注
暗号化されたトラフィックの場合、動画最適化ポリシーには URL フィルタリングアクションを実装するアクションが含まれます。
URL 分類の設定
URL 分類を設定するには、まず URL フィルタリング機能を有効にします。次に、HTTP および HTTPS トラフィックのキャッシュメモリ制限、分類ポリシー、および仮想サーバーを設定する必要があります。CLI を使用して URL 分類を設定します。
CLIを使用してNetScalerアプライアンスでURL分類を構成するには、次の手順を実行します。
- URL 分類を設定します。
- URL フィルタリング機能を有効にします。
- 共有メモリを設定してキャッシュメモリを制限します。
- URL 分類パラメータを設定します。
- HTTP トラフィックの URL 分類を設定します。
- URL 分類アクションを追加します。
- URL 分類ポリシーを追加します。
- HTTP トラフィック用の負荷分散仮想サーバーを追加します。
- URL 分類ポリシーを負荷分散仮想サーバーにバインドします。
- HTTPS トラフィックの URL 分類を設定します。
- URL 分類ポリシーを追加します。
- SSL ブリッジ負荷分散仮想サーバーを追加します。
- URL 分類ポリシーを負荷分散仮想サーバーにバインドします。
URL 分類の設定
この機能を設定するには、URL 分類機能を有効にし、フィルタリングパラメータを設定し、共有メモリ制限を設定する必要があります。
URL フィルタリング機能を有効にするには
コマンドプロンプトで入力します。
enable ns feature URLFiltering VideoOptimization Responder IC SSL AppFlow
共有メモリ制限を設定するには
コマンドプロンプトで入力します。
set cache parameter [-memLimit <megaBytes>]
<!--NeedCopy-->
ここで、MemLimit はキャッシュのメモリ制限です。
例:
set cache parameter -memLimit 10
URL 分類パラメータを設定するには
コマンドプロンプトで入力します。
set urlfiltering parameter [-HoursBetweenDBUpdates <positive_integer>] [-TimeOfDayToUpdateDB <HH:MM>]
<!--NeedCopy-->
*例:
set urlfiltering parameter -HoursBetweenDBUpdates 3 -TimeOfDayToUpdateDB 03:00
HTTP トラフィックの URL 分類の設定
HTTP トラフィックの URL 分類機能を設定するには、負荷分散仮想サーバーを構成し、URL 分類ポリシーを追加して、ポリシーを仮想サーバーにバインドする必要があります。これにより、仮想サーバーは HTTP トラフィックを受信し、ポリシー評価に基づいてフィルタリングアクションを割り当てます。
HTTP トラフィックに URL 分類アクションを追加するには
コマンドプロンプトで入力します。
add responder action <name> <type> (<target> | <htmlpage>) [-comment <string>] [-responseStatusCode <positive_integer>] [-reasonPhrase <string>]
例:
add responder action act_url_categorize respondwith "\"HTTP/1.1 200 OK\r\n\r\n\" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY + \"\n\""
HTTP トラフィックの URL 分類ポリシーを追加するには
コマンドプロンプトで入力します。
add responder policy <name> <rule> <action> [<undefAction>] [-comment <string>] [-logAction <string>] [-appflowAction <string>]
例:
add responder policy pol_url_categorize_http "HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).GROUP.EQ(\"Adult\") || HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).GROUP.EQ(\"Gambling\")" RESET
HTTP 負荷分散仮想サーバーを追加するには
HTTP トラフィック用の仮想サーバーがまだ構成されていない場合は、コマンドプロンプトで次のように入力します。
add lb vserver <name> [-td <positive_integer>] <serviceType> [-clt Timeout <secs>]
例:
add lb vserver vsrv-HTTP HTTP * 80 -persistenceType NONE -cltTimeout 120
URL 分類ポリシーを負荷分散仮想サーバーにバインドするには
コマンドプロンプトで入力します。
bind lb vserver <name> -policyName <string> [-priority <positive_integer>]
例:
bind lb vserver vsrv-HTTP -policyName pol_url_categorize_http -priority 10 -gotoPriorityExpression END -type REQUEST
HTTPS トラフィックの URL 分類の設定
HTTPS トラフィックの URL 分類機能を設定するには、SSL ブリッジ負荷分散仮想サーバーを設定し、URL 分類ポリシーを追加して、ポリシーを SSL ブリッジ仮想サーバーにバインドする必要があります。これにより、サーバーは HTTPS トラフィックを受信し、ポリシー評価に基づいてフィルタリングアクションを割り当てます。
HTTPS トラフィックの URL 分類ポリシーを追加するには
コマンドプロンプトで入力します。
add videooptimization detectionpolicy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]
例:
add videooptimization detectionpolicy pol_url_categorize_https_block_adult –rule "CLIENT.SSL.DETECTED_DOMAIN.URL_CATEGORIZE(0,0).CATEGORY.EQ("Adult")' –action RESET
SSL ブリッジ負荷分散仮想サーバーを追加するには
コマンドプロンプトで入力します。
add lb vserver <name> [-td <positive_integer>] <serviceType> [-cltT imeout <secs>]
例:
add lb vserver vsrv-HTTPS SSL_BRIDGE * 443 -persistenceType NONE -cltTimeout 180
分類ポリシーを SSL ブリッジ仮想サーバーにバインドするには
コマンドプロンプトで入力します。
bind lb vserver <name> -policyName <string> [-priority <positive_integer>]
例:
bind lb vserver vsrv-HTTPS -policyName pol_url_categorize_https_block_adult -priority 20 -type REQUEST
GUI を使用した URL 分類の設定
GUI を使用すると、次のことが可能になります。
- URL 分類機能を有効にします。
- HTTP トラフィックの URL 分類アクションを追加します。
- HTTP トラフィックの URL 分類ポリシーを追加します。
- HTTPS トラフィックの URL 分類ポリシーを追加します。
- HTTP トラフィック用の負荷分散仮想サーバーを追加します。
- HTTPS トラフィック用の SSL ブリッジ負荷分散仮想サーバーを追加します。
- URL 分類ポリシーを負荷分散仮想サーバーにバインドします。
- URL 分類ポリシーを SSL ブリッジ負荷分散仮想サーバーにバインドします。
- 共有メモリ制限を設定します。
- URL 分類パラメータを設定します。
URL 分類を有効にするには
- ナビゲーションペインで [ システム ] を展開し、[ 設定] をクリックします。
- 「 設定 」ページで、「 拡張機能の設定 」リンクをクリックします。
- 「 拡張機能の設定 」ページで、「 URL フィルタリング 」チェックボックスを選択します。
- 「 OK」をクリックして「閉じる」をクリックします。
URL 分類アクションを追加するには
- ナビゲーションペインで、AppExpert>レスポンダー > アクションを展開します。
- 詳細ペインで、[ 追加] をクリックします。
- 「 レスポンダーアクションの作成 」ページで、次のパラメーターを設定します。
- Name:URL 分類ポリシーアクションの名前。
- 種類。アクションタイプを選択します。
- Expression:エクスプレッションエディタを使用してポリシーエクスプレッションを作成します。
- [コメント]。ポリシーアクションの簡単な説明。
- [作成]して[閉じる] をクリックします。
HTTP トラフィックの URL 分類ポリシーを追加するには
- ナビゲーションペインで、AppExpert>レスポンダー > ポリシーを展開します。
- 詳細ウィンドウで、[ 追加] をクリックします。
-
[レスポンダーポリシーの作成 ] ページで、次のパラメータを設定します。
1.Name:URL 分類ポリシーアクションの名前。
1.操作。ポリシーに関連付けたい URL 分類アクションを選択します。
1.ログアクション。ログアクションを選択します。
1.AppFlow。AppFlow アクションを選択します。
1.Expression:エクスプレッションエディタを使用してポリシーエクスプレッションを作成します。
- [コメント]。ポリシーアクションに関する簡単な説明。
- [作成]して[閉じる] をクリックします。
HTTPS トラフィックの分類ポリシーを追加するには
- NetScalerアプライアンスにログオンし、[ **構成 ] > [最適化] > [ **ビデオ最適化** ] > [検出] に移動します。**
- 検出ページで 、「 ビデオ最適化検出ポリシー 」リンクをクリックします。
- 「ビデオ最適化検出ポリシー」ページで、「 追加」をクリックします。
-
ビデオ最適化検出ポリシーの作成ページで 、次のパラメータを設定します。
- Name:最適化ポリシーの名前
- Expression:カスタム表現を使用してポリシーを設定します。
- アクション。着信ビデオトラフィックを処理するポリシーに関連付けられた最適化アクション。
- UNDEF アクション。着信要求が最適化ポリシーと一致しない場合の未定義のイベント。
- [コメント]。ポリシーに関する簡単な説明。
- ログアクション。ログメッセージに対して実行するアクションを指定する監査ログアクションを選択します。
- [作成]して[閉じる] をクリックします。
HTTP トラフィック用の負荷分散仮想サーバーを追加するには
- [ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー ] ページに移動します。
- 詳細ペインで、[ 追加] をクリックします。
- 「 仮想サーバーの負荷分散 」ページで、次のパラメーターを設定します。
- Name:負荷分散仮想サーバーの名前。
- プロトコル。プロトコルタイプを HTTP として選択します。
- IP アドレスタイプ。IPv4 または IPv6。
- IP アドレス。IPv4またはIPv6、仮想サーバーに割り当てられた VIP アドレス。
- ポート。仮想サーバーのポート番号。
- 「OK」 をクリックして、その他のオプションのパラメータの設定を続行します。
- [作成]して[閉じる] をクリックします。
SSL ブリッジ負荷分散仮想サーバーを追加するには
- [ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー ] ページに移動します。
- 詳細ウィンドウで、[ 追加] をクリックします。
-
負荷分散仮想サーバーページで 、次のパラメーターを設定します。
- Name:負荷分散仮想サーバーの名前。
- プロトコル。プロトコルタイプとして [SSL ブリッジ] を選択します。
- IPアドレスタイプ。IP アドレス指定可能なタイプ。
- IPアドレス。仮想サーバーに割り当てられた IP 4 または IP6 IP アドレス。
- ポート。仮想サーバーのポート番号。
- OK を選択して他のオプションパラメータの設定を続行します。
- [作成] をクリックし、[閉じる] をクリックします。
URL 分類ポリシーを HTTP 負荷分散仮想サーバーにバインドするには
- [ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー ] ページに移動します。
- 詳細ペインで、負荷分散仮想サーバーを選択し、[ 編集] をクリックします。
- [ 詳細設定 ] セクションで、[ ポリシー] をクリックします。
- [ ポリシー ] セクションで、[ + ] アイコンをクリックして [ ポリシー ] スライダにアクセスします。
- 次のパラメータを設定します。
- 「ポリシー」を選択します。ドロップダウンリストから URL 分類ポリシーを選択します。
- 「タイプ」を選択します。ポリシータイプとして [要求] を選択します。
- [続行] をクリックします。
- リストから URL 分類ポリシーを選択し、「 閉じる」をクリックします。
分類ポリシーを SSL ブリッジ負荷分散仮想サーバーにバインドするには
- [ トラフィック管理 ] > [ 負荷分散 ] > [ 仮想サーバー ] 画面に移動します。
- 詳細ウィンドウで、SSL ブリッジ負荷分散仮想サーバーを選択し、[ 編集] をクリックします。
- [ 詳細設定 ] セクションで、[ ポリシー] をクリックします。
- 「 ポリシー 」セクションで、「 + 」アイコンをクリックして「 ポリシー 」スライダーにアクセスします。
- [ Policies ] セクションで、次のパラメータを設定します。
- 「ポリシー」を選択します。ドロップダウンリストからビデオ検出ポリシーを選択します。
- 「タイプ」を選択します。ポリシータイプとして [要求] を選択します。
- [続行] をクリックします。
- リストからビデオ検出ポリシーを選択し、[ 閉じる] をクリックします。
共有メモリ制限を設定するには
- アプライアンスにサインオンし、[ 最適化 ] > [ 統合キャッシュ] に移動します。
- 詳細ペインで、「 キャッシュ設定の変更 」リンクをクリックします。
-
キャッシュグローバル設定ページで 、次のパラメータを設定します。
- メモリ使用量の上限 (MB)。
- アクティブメモリ使用量の上限。
- ヘッダー経由。
- キャッシュされる投稿本文の最大長
- グローバル未定義結果アクション
- HA オブジェクト永続化を有効にする
- キャッシュされたオブジェクトが存続することを確認
- プリフェッチ
- 「 OK」をクリックして「閉じる」をクリックします。
URL 分類パラメータを設定するには
- アプライアンスにサインインし、 セキュリティに移動します。
- 詳細ウィンドウで、[ URL フィルタリング設定の変更 ] リンクをクリックします。
-
URL フィルタリングパラメータの設定ページで 、次のパラメータを設定します。
- DB更新間隔の時間。URL データベース更新の間隔をフィルタリングする時間。最小値:0、最大値:720。
- DB を更新する時刻。URL フィルタリングによるデータベース更新の時間帯。
- 「 OK」をクリックし、「閉じる」をクリックします。
監査ログメッセージの設定
NetScalerアプライアンスが受信URLを受信すると、レスポンダーポリシーにURLフィルタリング式がある場合、監査ログ機能は分類情報を収集し、構成されている任意のターゲット監査ログサーバーにログメッセージとして表示します。情報がログに記録されます。
- 送信元 IP アドレス (要求を行ったクライアントの IP アドレス)。
- 宛先 IP アドレス(要求されたサーバの IP アドレス)。
- スキーマ、ホスト、およびドメイン名 (
http://www.example.com
) を含むリクエストされた URL。 - URL フィルタリングフレームワークが返す URL カテゴリ。
- URL フィルタリングフレームワークが返した URL カテゴリグループ。
- URL フィルタリングフレームワークが返した URL レピュテーション番号。
- URL 分類ポリシーによって実行された監査ログアクション。
URL リスト機能の監査ログを設定するには、次の作業を完了する必要があります。
- 監査ログを有効化。
- 「監査ログの作成」メッセージアクション。
- [監査ログメッセージ] アクションで URL リストレスポンダポリシーを設定します。
詳細については、「 監査ログ 」トピックを参照してください。
SYSLOG メッセージを使用した障害エラーの保存
URLフィルタリングプロセスのどの段階でも、システムレベルの障害が発生した場合、NetScalerアプライアンスは監査ログメカニズムを使用して ns.log ファイルにログを保存します。エラーは SYSLOG 形式でテキストメッセージとして保存されるため、管理者は後でイベント発生の時系列順に表示できます。これらのログは、アーカイブのために外部 SYSLOG サーバにも送信されます。詳細については、 CTX229399 を参照してください。
たとえば、URL フィルタリング SDK を初期化するときにエラーが発生した場合、エラーメッセージは次のメッセージ形式で格納されます。
Oct 3 15:43:40 <local0.err>
ns URLFiltering[1349]: Error initializing NetStar SDK (SDK error=-1). (status=1).
NetScaler ADCアプライアンスは、4つの異なる障害カテゴリにエラーメッセージを格納します。
- ダウンロードに失敗しました。分類データベースをダウンロードしようとしたときにエラーが発生した場合。
- 統合に失敗しました。更新を既存の分類データベースに統合するときにエラーが発生した場合。
- 初期化に失敗しました。URL 分類機能の初期化時にエラーが発生した場合は、分類パラメータを設定するか、分類サービスを終了してください。
- 検索に失敗しました。アプライアンスがリクエストの分類の詳細を取得するときにエラーが発生した場合。
URL レピュテーションスコア
URL 分類機能は、ブラックリストに登録された URL を制限するポリシーベースの制御を提供します。URL カテゴリ、レピュテーションスコア、または URL カテゴリとレピュテーションスコアに基づいて、Web サイトへのアクセスを制御できます。ネットワーク管理者がリスクの高いウェブサイトにアクセスするユーザーを監視する場合、URL レピュテーションスコアにバインドされたレスポンダーポリシーを使用して、そのようなリスクのある Web サイトをブロックできます。
着信 URL 要求を受信すると、アプライアンスは URL 分類データベースからカテゴリおよびレピュテーションスコアを取得します。データベースから返されたレピュテーションスコアに基づいて、アプライアンスは Web サイトにレピュテーションレーティングを割り当てます。値の範囲は 1 ~ 4 です。次の表に示すように、4 は最もリスクのある Web サイトのタイプです。
URL レピュテーション評価 | レピュテーションコメント |
---|---|
1 | クリーンサイト。 |
2 | 未知のサイト。 |
3 | 潜在的に危険または危険なサイトに関連している。 |
4 | 悪質なサイト。 |