コンテンツ フィルタリング
概要
コンテンツ フィルタリングを使用すると、組織のポリシーに基づいて、特定のカテゴリのWebサイトをブロックできます。個々のWebサイトをブロックまたはホワイトリスト登録(許可)して、さらにカスタマイズすることもできます。たとえば、「インターネット通信」カテゴリをブロックした場合、gmail.comやfacebook.comもブロックすることになります。どちらのWebサイトも通信プラットフォームだからです。 gmail.comとfacebook.comをホワイトリストに登録すると、どちらのWebサイトとも完全に機能しますが、チャット機能を提供する他のWebサイトはすべてブロックされます。
コンテンツ フィルタリングには複数のオプションがあります。
- Blocked website categories(ブロックされるWebサイトのカテゴリ):ブロックするカテゴリを選択します。
- URL category list size(URLカテゴリ リストのサイズ):パフォーマンスを高めるには「Top sites only(トップサイトのみ)」を、より広い範囲を対象にするには「フルリスト」を選択します。「Top sites only(トップサイトのみ)」を選択すると、ブロックされる各カテゴリのトップサイトのリストがアプライアンスにローカルにキャッシュされます。このモードでは、トップサイト リストにないURLへのクライアント要求は常に許可されます(ブロックリストにない場合)。「Full list(フルリスト)」を選択した場合、トップサイトのリストにないURLへの要求があると、アプライアンスはクラウドでホストされているデータベースでURLを検索します。このため、サイトの初回アクセス時は表示速度が著しく低下することがあります。しかし、結果はローカルでキャッシュされます。「Full list(フルリスト)」のパフォーマンスは、徐々に「Top sites(トップサイト)」オプションの速度に近づきます。
- Web search filtering(Web検索フィルタリング):この設定を有効にすると、ネットワーク内すべてのユーザに対して、Google、Yahoo!、およびBingのセーフサーチが適用されます。これはSSL/HTTPS検索には影響しません。
- Restricted YouTube content(制限付きYouTubeコンテンツ):DNSベースの適用を利用した制限付きYouTubeコンテンツ機能を有効にします。有効にすると、YouTube restriction level(YouTube制限レベル)オプションが表示され、ドロップダウンからModerate(中程度)またはStrict(厳密)を選択できます。制限レベルの詳細については、ここを参照してください。
- Blocked URL patterns(ブロックされるURLのパターン):ブロックする特定のURLパターンを1行に1つずつ入力します。パターン マッチングの詳細については、以下を参照してください。
- Whitelisted URL patterns(ホワイトリストに登録されるURLのパターン):明示的に許可する特定のURLパターンを1行に1つずつ入力します。パターン マッチングの詳細については、以下を参照してください。
「ブロックされる/ホワイトリストに登録されるURLのパターン」フィールドでは、IPアドレスも指定できます。このフィールドにIPを入力すると、URLとして解釈されます。http://192.168.1.1はIPアドレスでもありますが、URLとしても完全に有効であるからです。IPブロックとは異なることに注意してください。IPブロックの場合は単純に、192.168.1.1のIPアドレスでWebブラウザに入力した人がブロック/ホワイトリストに登録されます。また、abc.comが192.168.1.1に解決される場合、コンテンツ フィルタリングはabc.comを明示的にブロック/ホワイトリストに登録するわけではありません。Blocked/Whitelisted URL patterns(ブロック/ホワイトリストに登録されるURLのパターン)にもabc.comを入力する必要があります。
コンテンツ フィルタリング機能は、Advanced Security Editionライセンスでのみ使用可能です。
URLでのキャッチオール ワイルドカード(*)の使用
コンテンツ フィルタリングでは、URLのアスタリスク記号には主な用途が2つあります。
- 単独のキャッチオール ワイルドカード
- 「*」(アスタリスク)記号は、単独行で使用された場合、すべての可能なエントリを表す包括的なワイルドカードです。
- ホワイトリストに登録されるURLパターンの単独行で使用されると、すべてのURLパターンがホワイトリストに登録されます。
- ブロックされるURLパターンの単独行で使用されると、明示的にホワイトリストに登録されたものを除き、すべてのURLパターンがブロックされます。
- URLでのアスタリスク文字
- 「*」(アスタリスク)記号は、URLの一部として、またはURLを含む行で使用された場合は、単純に通常のアスタリスク記号です。ワイルドカードではなく、URLの一部として解釈されます。
- これは、https://web.archive.org/web/*/meraki.comなどの実際にアスタリスク記号を必要とするURLで使用する以外には、用途はほとんどありません。
特定のURLをブロックまたはホワイトリストに登録するためのパターン
ネットワーク上のデバイスがWebページにアクセスするときには、要求されたURLが設定済みのリストと照合されて、要求が許可されるか、ブロックされるかが決まります。
パターン マッチングは以下の手順で順に実行されます。
- URL全体を両方のリスト(ブロックされるパターンのリストとホワイトリストに登録されるパターンのリスト)と照合します。
- URLからプロトコルと冒頭の「www」を削除して、再照合します。
- 例;foo.bar.com/qux/baz/lol?abc=123&true=false
- 「パラメータ」(疑問符以降のすべての文字)を削除して、再照合します。
- 例:foo.bar.com/qux/baz/lol
- パスを1つずつ削除して、再照合します。
- 例:foo.bar.com/qux/baz、次に foo.bar.com/qux、次に foo.bar.com
- サブドメインを1つずつ削除して、再照合します。
- 例:bar.com、次に .com
- 最後に、両方のリストで特殊なキャッチオール ワイルドカード(*)を確認します。
上記の手順のいずれかで一致した場合、要求は必要に応じてブロックされるか、ホワイトリストに登録されます。ホワイトリストはブロックリストより常に優先されるため、両方のリストに一致した要求は許可されます。一致しなかった場合、要求は上記のカテゴリ フィルタリング設定に従います。
例
上記の例では、特定の(長い)URLは最長一致であるために許可されますが、foo.bar.comドメインへの他のアクセスはブロックされます。
コンテンツ フィルタリングを使用したすべてのWebサイトのブロック
MX セキュリティ アプライアンスを使用して、すべてのWebコンテンツをブロックした後、特定のWebサイトだけを対象として設定できます。これは、学校など、厳格な管理が必要な環境で特に重要となります。
1.Security & SD-WAN(セキュリティ & SD-WAN) > Configure(設定) > Content filtering(コンテンツ フィルタリング)に移動します。
2.Blocked URL patterns(ブロックされるURLパターン)セクションにアスタリスク(*)を入力します。
HTTPSフィルタリング
HTTPS要求もブロックできますが、HTTPS要求内のURLは暗号化されているため、ドメインURLのチェックのみが次の順序で実行されます。
- www.foo.bar.com
- foo.bar.com
- bar.com
- .com
- *(キャッチオールURL用の特殊文字)
例
下記の例では、http://meraki.comとhttps://meraki.comを除くすべてのWebページがブロックされます。
