拠点/支社向けSRXシリーズおよびJシリーズのWebフィルタリング

ブランチ向けSRXシリーズ

およびJシリーズの

WEB

フィルタリング

ブランチ向けSRXシリーズ サービス・ゲートウェイおよび

目次

はじめに . . . 3 本書の目的 . . . 3 設計上の考慮事項 . . . 3 ハードウェア要件 . . . 3 ソフトウェア要件 . . . 3 説明と導入シナリオ . . . 3 SurfControl統合型Webフィルタリング . . . 3 Websenseリダイレクト型Webフィルタリング. . . .4 ホワイトリストとブラックリスト . . . .5 ライセンス . . . .5 設定 . . . .6 設定例 . . . .8 SurfControl統合型 . . . .8 カスタムブロックリスト . . . .9 カスタムブロックメッセージの追加 . . . .11 スケジューリングポリシー . . . 12 Websenseリダイレクト型 . . . 13 モニタリング . . . 15 拡張性 . . . 15 まとめ . . . 15 ジュニパーネットワークスについて . . . 15

図目次

図1：SurfControl統合型ソリューション . . . 3 図2：Websenseリダイレクト型ソリューション . . . .4 図3：UTMポリシー . . . .6 図4：ネットワークの例 . . . .8

はじめに

Webフィルタリング/URLフィルタリングはUTM（Unified Threat Management）スイートの機能として広く定着しており、ファイアウォール上 で長年にわたる利用実績があります。Web 2.0の導入に伴い、新しいセキュリティ要件が策定されましたが、URLフィルタリングは従来と同様 に、あらゆるセキュリティ戦略に欠かせない要素であると位置付けられます。実際に、Webフィルタリングは防御の最前線で真価を発揮します。 たとえば、あるWebサイトがマルウェアの感染源であると判明している場合、そのサイトへのアクセスをそのままブロックすることが最も簡単な 対策であると言えるでしょう。さらに、URLフィルタリングを導入すれば、企業独自のビジネスポリシーを適用することも容易になります。

本書の目的

ジュニパーネットワークスJunos® _{OSリリース9.5では、ジュニパーネットワークスJシリーズ サービスルーターおよび特定のジュニパーネット} ワークスSRXシリーズ サービス・ゲートウェイのUTMサポートが追加されました。Webフィルタリングは、アンチウィルス、アンチスパム、コンテ ンツフィルタリングなどと同様に、ジュニパーネットワークスのUTMスイートを構成する機能の1つです。特定のURLへのアクセスを個別に、また はそのURLの所属カテゴリに基づいて許可または拒否する機能を提供します。最初に、SurfControl統合型オプションとWebsenseリダイレク ト機能という2つの動作モードについて説明してから、設定の例をいくつか紹介します。

設計上の考慮事項

Webフィルタリングの導入を決定する際に、ネットワーク設計者はセキュリティの向上によるパフォーマンスの影響範囲を考慮する必要があり ます。個別の製品ガイドラインについては、Jシリーズ サービスルーターおよびSRXシリーズ サービス・ゲートウェイのデータシートを参照してく ださい。 ハードウェア要件 • ブランチ向けジュニパーネットワークスSRXシリーズ サービス・ゲートウェイ（SRX100、SRX210、SRX240、およびSRX650を含む） • J2320、J2350、J4350、およびJ6350を含む、ジュニパーネットワークスJシリーズ サービスルーター ソフトウェア要件 • Junos OSリリース9.5以降

説明と導入シナリオ

ジュニパーネットワークスWebフィルタリングソリューションは、クラウド型SurfControlデータベースに対してクエリを実行する統合型ソリュー ションと、ローカル管理のWebsenseサーバーを必要とするリダイレクト型ソリューションという2種類からご利用いただけます。本書をお読み いただくことで、実際のニーズに見合う最適な方式を選択して、SRXシリーズ サービス・ゲートウェイまたはJシリーズ サービスルーターでWeb フィルタリングを簡単に設定できるようになります。

SurfControl

_{統合型Webフィルタリング}

最初に紹介するのは、最も一般的なWebフィルタリング方式です。この方式では、カテゴリと関連URLのデータベースを保持しているクラウド 型SurfControlサーバーを使用します。SurfControl統合型オプションのご利用には、ジュニパーネットワークスWebフィルタリングライセンス をご購入いただく必要があります。ユーザーがサイトへのアクセスを試みるたびに、ジュニパーネットワークスのゲートウェイ（Jシリーズまたは SRXシリーズ）は要求されたURLをキャプチャして、SurfControlデータベースに対してクエリを実行します。サーバーは、サイトのカテゴリを応 答として返します。この情報はゲートウェイのWebフィルタリングポリシーによって使用され、アクセスを許可または拒否する判定が下されます。 SurfControlサーバー URLルックアップ カテゴリ

SurfControlデータベースの機能： • 対応可能なURL数は2600万超 • 対応可能なカテゴリ数は約40（カテゴリ数はリリース間で異なる可能性があります） • 対応可能な言語数は70超 現在のSurfControlサーバーでは、以下のカテゴリを使用しています。 表1：SurfControl統合カテゴリ カテゴリ 成人向け性的表現 広告 芸術・芸能 チャット コンピューティング・インターネット 犯罪スキル ドラッグ・アルコール・タバコ 教育 金融・投資 食品・飲料 ギャンブル 流行・ファッション 行政・政治 ハッキング 憎悪表現（ヘイトスピーチ） 健康・医療 趣味・娯楽 ホスティングサイト 仕事検索・キャリア開発 子供向けサイト ライフスタイル・カルチャー 自動車・バイク ニュース 出会い系 写真検索 不動産 リファレンス 宗教 リモートプロキシ 検索エンジン 性教育 ショッピング スポーツ ストリーミングメディア 旅行 ネットニュース・ニュース 暴力 武器・凶器 Webベースの電子メール 要求がカテゴリを返して、ゲートウェイポリシーが評価されると、ブランチ向けSRXシリーズ デバイスまたは Jシリーズ ルーターはログメッセージを生成します。このログメッセージには、返されたカテゴリと設定済みのポリシーに基づいて実行された処 理が示されます。このメッセージはローカル環境で保存することも、遠隔地のシステムログサーバーまたはログコレクタ（ジュニパーネットワーク スSTRMシリーズ Security Threat Response Managerなど）に送信することも可能です。

サイトがカテゴリと関連付けられた時点で、その結果はローカル環境でキャッシュされます。これ以降、同じURLの要求については、集中型デー タベースに対して新しいクエリを実行する必要がありません。このソリューションの主なメリットは、ユーザー側でデータベースをホスティングす る必要がないという点です。ユーザー側でデータベースをホスティングする場合、多くの事例で冗長構成のサーバーインフラストラクチャが必要 になります。ただし、クラウド型SurfControlソリューションを使用する場合には、トレードオフがいくつかあります。具体例を以下に示します。 • 集中管理サーバーへのクエリ実行に関連して、ある程度の遅延が発生します。ローカルキャッシュにより遅延は軽減されますが、初回の要求 （または、タイムアウトになったエントリに対する要求）時には常に余分な遅延が発生します。 • リダイレクト型ソリューションの使用時に利用できる付加的な機能（IPSが有効な場合に、ピアツーピアのトラフィックを検出してブロックする 機能など）は、統合化ソリューションの使用時には利用できません。

Websense

リダイレクト型Webフィルタリング

もう1つのアプローチは、Websenseリダイレクト機能を使用する方式です。リダイレクトオプションでは、個別のジュニパーネットワークスライセ ンスは不要ですが、Websenseとは別にご購入いただく必要があるローカルデータベースを利用します。SurfControlのホスティングサーバー に対してクエリを実行する方式とは異なり、サービスルーターはURLをローカルのWebsenseサーバーにリダイレクトします。Websenseサー バーには、カテゴリデータベースとWebフィルタリングポリシーの両方が用意されています。WebsenseサーバーはURLをデータベースと比較 し、設定済みポリシーに従って、その結果を返します。さらに、この応答は、SRXシリーズ デバイスまたはJシリーズ ルーターに転送され、URLの 処置（許可または拒否）を通知します。 図2：Websenseリダイレクト型ソリューション インターネット Webサーバー Websenseサーバー HTTP要求 SRX210 トラフィック リダイレクト

Websenseリダイレクトサーバーの特長は、以下のとおりです。 • 対応可能なカテゴリ数は95 • サポートするプロトコルは100種類超 • ローカルポリシー評価 • ロギングおよびレポート作成のサポート このソリューションには、（データベースがローカル環境に存在するので）処理の遅延を最小限に抑えられるというメリットがあります。ただし、以 下の対応が必要になります。 データベースを最新の状態に維持するためのWebsenseソフトウェアおよびサブスクリプションライセンスの購入 • 各サイト（またはセントラルサイト。この場合、統合型ソリューションと同様に処理の遅延が増加）での単一または複数のサーバーによる冗長 構成 • 管理者によるカテゴリデータベースの更新 さらに、HTTPS URLについては、URLを展開できないのでフィルタリングできません。

ホワイトリストとブラックリスト

管理者は、カスタムURLカテゴリも設定できます。このカテゴリは、ゲートウェイで評価されるブラックリストやホワイトリストに含めることができ ます。ブラックリストに含まれている各カテゴリのURLはすべて拒否されるのに対して、ホワイトリストに含まれている各カテゴリのURLはすべ て許可されます。処理の順序は、以下のとおりです。 • 新しいURLが最初にブラックリストのURLと比較されます。一致するURLが見つかった場合は、トラフィックはそのまま処理されずにドロップ されます。 • 一致するURLが見つからなかった場合は、そのURLはホワイトリストのURLと比較されます。この比較で一致するURLが見つかった場合は、 トラフィックの処理が許可されます。 • ユーザー定義のカテゴリで一致がまったく見つからなかった場合、処理はSurfControl統合型方式またはWebsenseリダイレクト方式で通 常どおりに続行されます。 カスタムカテゴリは、SurfControl統合型ソリューションの一部として使用することもできます。この場合、事前定義のカテゴリが追加される場合 と同様に、カスタムカテゴリはゲートウェイポリシーに追加されます。

ライセンス

前述のように、SurfControl統合型ソリューションのご利用には、ライセンスが必要ですが、Websenseリダイレクト型ソリューションのご利用に は、ライセンスは不要です。デバイスにインストール済みのライセンスは、"show system license"コマンドで表示できます。

pato@SRX210-1# run show system license

License usage:

Licenses Licenses Licenses Expiry

Feature name used installed needed

av_key_kaspersky_engine 1 1 0 2009-11-20

00:00:00 UTC

anti_spam_key_symantec_sbl 0 1 0 2009-11-20

00:00:00 UTC

wf_key_surfcontrol_cpa 0 1 0 2009-11-20

00:00:00 UTC

idp-sig 0 1 0 2009-11-20

00:00:00 UTC

設定

Webフィルタリングは、UTM機能セットに含まれる機能の1つです。セキュリティポリシーは、ゲートウェイによって転送されるあらゆるトラフィッ クの基準として機能します。セキュリティポリシーは、UTMポリシーを特定のトラフィックと関連付ける目的で使用されます。UTMポリシーでは、 ユーザーのHTTP要求をフィルタリングするため、ゲートウェイで使用されるWebフィルタリングポリシーを指定します。 図3：UTMポリシー 言い換えると、セキュリティポリシーではUTMポリシーを指定して、UTMポリシーではWebフィルタリングプロファイルを指定することになりま す。このように遠回りになる二段階の方式を採用している理由として、UTMポリシーでは、Webフィルタリングで使用するプロファイルだけでな く、アンチウィルス、コンテンツフィルタリング、アンチスパムなど、他のUTMプロファイルもコントロールしていることが挙げられます。 以下の例は、UTMポリシーの設定階層を示しています。 順序付けされた ルックアップ （送信元/宛先 ゾーン毎に インデックス 付加） UTMポリシーを 指定して トラフィックを アプリケーション サービスに送信 ポリシールックアップ ポリシーのマッチング WFプロファイル ポリシー1 ... UTMポリシー ポリシーN セキュリティポリシー

security {

utm {

utm-policy <policy name> {

anti-spam

{…}

anti-virus

{…}

content-filtering {…}

web-filtering {

http-profile <web-filtering profile name>;

}

}

}

}

Webフィルタリングプロファイルは、以下の例に示すように、[security utm feature-profiles]階層下で設定されます。

security {

utm {

feature-profile {

web-filtering {

url-blacklist

<black-list user defined category>;

url-whitelist

<white-list user defined category>;

type surf-control-integrated|websense-redirect;

surf-control-integrated

{

cache

{

size

<max number of entries in the cache>;

timeout

<time, in seconds, after which an

entry is declared invalid>;

}

profile <profile name> {

category

<category name>

{

#One or more categories are allowed

action block|log-and-permit|permit;

}

custom-block-message

<block-message>;

default block|log-and-permit|permit;

fallback-settings {…};

}

}

websense-redirect profile <profile-name>{

account <account-name>;

custom-block-message

<block-message>;

fallback-settings

{…}

server

{

host

<host-name or IP address>;

port

<server port>;

}

sockets

<number of open sockets used to redirect

traffic>;

timeout

<redirect timeout in seconds>;

}

}

}

}

}

カスタムカテゴリは、以下の例に示すように、[security utm custom-objects]階層下で設定されます。ユーザー定義のカテゴリに属している 要求によって、SurfControlサーバーに対するクエリがトリガされることはありません。

security {

utm {

custom-objects {

utl-pattern

<url pattern name> {

value

[<list of URLs>];

}

custom-url-category

<category name> {

value

[<list of url-paterns>];

}

}

}

}

URLパターンは、文字列比較によって、要求されたURLと比較されます。たとえば、www.juniper.netというURLは、www.juniper.net/ supportやwww.juniper.net/productsというURLへの要求と一致します。URLは、さらに具体的に指定できます。たとえば、www.juniper. net/techpubsというURLパターンは、www.juniper.net/techpubs/softwareへの要求とは一致しますが、www.juniper.netへの要求と は一致しません。

設定例

以下の例は、これまでに説明した機能のいくつかを設定する方法を示しています。この例では、インタフェース（IPアドレスを含む）、ゾーン、およ びルーティングがすでに設定済みであると想定しています。初期設定について疑問があれば、ジュニパーネットワークスの標準マニュアルを参照 してください。 SurfControl_統合型 図4に示すネットワークでは、統合型SurfControl方式が採用されており、以下のカテゴリがブロック対象になっていると想定しています。 • 犯罪スキル • リモートプロキシ • 暴力 • 武器・凶器 図4：ネットワークの例 上記のカテゴリをブロックするというデフォルトの許可動作を含む、Webフィルタリングプロファイルを作成することで、SurfControl統合型機 能は有効になります。

Trust Zone Untrust Zone

SRX210

インターネット

security {

policies {

from-zone trust to-zone untrust {

policy utm {

match {

source-address any;

destination-address any;

application any;

}

then {

permit {

application-services {

utm-policy wf-block-specfic-categories;

}

}

}

}

}

}

utm {

feature-profile {

web-filtering {

type surf-control-integrated; #This causes the device to use

# the surfcontrol integrated

solution

surf-control-integrated {

profile block-selected-sites {

category {

action block;

}

Remote_Proxies {

action block;

}

Violence {

action block;

}

Weapons {

action block;

}

}

default permit;

}

}

}

}

utm-policy wf-block-specfic-categories {

web-filtering {

http-profile block-selected-sites;

}

}

}

}

カスタムブロックリスト 今度は、カスタムブロックリストを設定の例に追加します。企業のIT部門は調査の結果、従業員がwww.badsite.comおよびwww. addictivesite.comというサイトに長時間アクセスしており、この両サイトへのアクセスをブロックしたいと考えています。 まず、この両サイトのURLを含む、bad-sitesというカスタムURLカテゴリを作成します。

custom-objects {

url-pattern {

badsite {

value www.badsite.com;

}

addictivesite {

value www.addictivesite.com;

}

}

custom-url-category {

bad-sites {

value [ addictivesite badsite ];

}

}

}

このカテゴリは、Webフィルタリングポリシー（この場合、前の例で作成したポリシー）でブラックリストとして使用されます。

policies {

from-zone trust to-zone untrust {

policy utm {

match {

source-address any;

destination-address any;

application any;

}

then {

permit {

application-services {

utm-policy wf-block-specfic-categories;

}

}

}

}

}

}

utm {

feature-profile {

web-filtering {

url-blacklist bad-sites; #This causes sites in the bad-sites

category

#to be blocked

type surf-control-integrated;

surf-control-integrated {

profile block-selected-sites {

category {

Criminal_Skills {

action block;

}

Remote_Proxies {

action block;

}

Violence {

action block;

}

Weapons {

action block;

}

}

default permit;

}

}

}

}

utm-policy wf-block-specfic-categories {

web-filtering {

http-profile block-selected-sites;

}

}

}

カスタムブロックメッセージの追加

管理者は、サイトがブロックされたときに表示するカスタムメッセージも設定できます。前の例を利用し、Webフィルタリングプロファイルを変更 して、サイトがブロックされたときに、"The site requested is not a work-related site.Go back to work!（要求されたサイトは、業務内容と 無関係です。仕事に戻ってください）"というメッセージをユーザーに送信します。

policies {

from-zone trust to-zone untrust {

policy utm {

match {

source-address any;

destination-address any;

application any;

}

then {

permit {

application-services {

utm-policy wf-block-specfic-categories;

}

}

}

}

}

}

utm {

feature-profile {

web-filtering {

url-blacklist bad-sites;

type surf-control-integrated;

surf-control-integrated {

profile block-selected-sites {

category {

Criminal_Skills {

action block;

}

Remote_Proxies {

action block;

}

Violence {

action block;

}

Weapons {

action block;

}

}

default permit;

custom-block-message “The site requested is not a

work-related site!Go back to work!”;

}

}

}

スケジューリングポリシー 今度は、前の手順で設定したポリシーを使用し、業務時間中に限定して、特定のサイトへのトラフィックをブロックします。このようなスケジュール を作成するには、2つのセキュリティポリシーを設定し、一方ではWebフィルタリングを有効にして、もう一方では無効にします。ブロック用のポリ シーは、アクティブになると、許可用のポリシーよりも優先されます（リストで先頭に配置）。ただし、アクティブになるのは、業務時間中に限定さ れます。

security {

policies {

from-zone trust to-zone management {

policy webfilter-on-business-hours {

match {

source-address any;

destination-address any;

application any;

}

then {

permit {

application-services {

utm-policy wf-block-specfic-categories;

}

}

}

scheduler-name Business-hours;

}

policy accept-all {

match {

source-address any;

destination-address any;

application any;

}

then {

permit;

}

}

}

}

utm {

feature-profile {

web-filtering {

url-blacklist bad-sites;

type surf-control-integrated;

surf-control-integrated {

profile block-selected-sites {

category {

Criminal_Skills {

action block;

}

Remote_Proxies {

action block;

}

Violence {

action block;

}

Weapons {

action block;

}

}

default permit;

custom-block-message “The site requested is not a

work-related site!Go back to work!”;

}

}

}

utm-policy wf-block-specfic-categories {

web-filtering {

http-profile block-selected-sites;

}

}

}

}

schedulers {

scheduler Business-hours {

daily {

start-time 09:00:00 stop-time 17:00:00;

}

sunday exclude;

saturday exclude;

}

}

Websenseリダイレクト型 リダイレクト型ソリューションでは、単純にWebsenseサーバーへトラフィックをリダイレクトする設定が必要になります。Webフィルタリングポ リシーは、SRXシリーズ デバイスやJシリーズ ルーターではなく、Websenseサーバー上で設定します。ただし、本書では、具体的に取り上げま せん。

policies {

from-zone trust to-zone management {

policy webfilter-websense {

match {

source-address any;

destination-address any;

application any;

}

then {

permit {

application-services {

utm-policy wf-redirect;

}

}

}

}

}

}

utm {

feature-profile {

web-filtering {

type websense-redirect;

websense-redirect {

profile server1-redirect {

utm-policy wf-redirect {

web-filtering {

http-profile server1-redirect;

}

}

}

socketsパラメータは、（冗長性の確保と負荷分散を目的として）Junos OSベースのゲートウェイでWebsenseサーバーと確立できる同時接続 数を設定します。

最後に、Websenseリダイレクト型ソリューションとSurfControl統合型ソリューションのどちらでも、障害が発生した場合の要求の処理方法を 指定できます。以下の例は、ゲートウェイが過負荷状態の場合にトラフィックを許可して、サーバーがダウンしている場合やクライアントがサー バーに接続できない場合など、その他の障害時にはトラフィックを常に拒否するというシナリオを示しています。

policies {

from-zone trust to-zone management {

policy webfilter-websense {

match {

source-address any;

destination-address any;

application any;

}

then {

permit {

application-services {

utm-policy wf-redirect;

}

}

}

}

}

}

utm {

feature-profile {

web-filtering {

type websense-redirect;

websense-redirect {

profile server1-redirect {

server {

host 10.1.1.100;

port 15868;

}

custom-block-message “Websense says... you are not allowed!”;

fallback-settings {

default block;

too-many-requests log-and-permit;

}

sockets 8;

}

}

}

}

utm-policy wf-redirect {

web-filtering {

http-profile server1-redirect;

}

}

}

モニタリング

統合型ソリューションとリダイレクト型ソリューションのどちらにも、受信した要求の数とその結果の動作を表示するコマンドが用意されていま す。

>show security utm web-filtering statistics

UTM web-filtering statistics:

Total requests: 0

white list hit: 0

Black list hit: 0

Server reply permit: 0

Server reply block: 0

Web-filtering sessions in total:4000

Web-filtering sessions in use: 0

Fall back: log-and-permit block

Default 0 0

Timeout 12 0

Connectivity 0 0

Too-many-requests 0 0

拡張性

以下に示すのは、プラットフォームに依存しない、カスタムカテゴリ、ホワイトリスト、およびブラックリストの設定数の上限です。 表2：プラットフォームに依存しない拡張性の上限 ユーザー定義カテゴリの最大数 30 40 50 ユーザー定義カテゴリごとのURLリストの最大数 15 20 30 URLリストごとのURLの最大数 500 1000 1500 ホワイトリスト/ブラックリストごとのURLの最大数 8192 8192 8192 URLリスト名の最大長 29 29 29 URL文字列の最大長（バイト数） 512 512 512 カテゴリ名の最大長 29 29 29

まとめ

Junos OS 9.5では、SRXシリーズ サービス・ゲートウェイおよびJシリーズ サービスルーター向けにWebフィルタリング機能が導入されました。 この機能により、シンプルな方法で、管理しやすいリストや事前定義のカテゴリに基づいてURLへのアクセスを許可または拒否できるようになり ます。この機能はファイアウォールの一般的な機能として長年にわたって利用されていますが、従来と同様に、セキュリティ戦略に欠かせない要 素であり、防御の最前線で真価を発揮します。

ジュニパーネットワークスについて

ジュニパーネットワークスは、ネットワークイノベーション企業です。デバイスからデータセンター、消費者からクラウド事業者にいたるまで、ジュ ニパーネットワークスは、ネットワーキング体験とビジネスを変革するソフトウェア、シリコン、システムを提供しています。ジュニパーネットワーク スに関する詳細な情報は、以下をご覧ください。

Copyright© 2014, Juniper Networks, Inc. All rights reserved.

Juniper Networks、Junos、QFabric、Juniper Networksロゴは、米国およびその他の国におけるJuniper Networks, Inc.の登録

アジアパシフィック、ヨーロッパ、中東、アフリカ

Juniper Networks International B.V. Boeing Avenue 240

1119 PZ Schiphol-Rijk Amsterdam, The Netherlands 電話 31-0-207-125-700 FAX 31-0-207-125-701

米国本社

Juniper Networks, Inc. 1194 North Mathilda Ave Sunnyvale, CA 94089 USA 電話 888-JUNIPER (888-586-4737) または 408-745-2000 FAX 408-745-2100 URL http://www.juniper.net 日本 ジュニパーネットワークス株式会社 東京本社 〒163-1445 東京都新宿区西新宿3-20-2 東京オペラシティタワー45F 電話 03-5333-7400 FAX 03-5333-7401 西日本事務所 〒541-0041 大阪府大阪市中央区北浜1-1-27 グランクリュ大阪北浜