Cisco ACNS キャッシング/ストリーミング コンフィギュレーション ガイド
URL フィルタリングの設定
URL フィルタリングの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

URL フィルタリングの設定

URL フィルタリングの概要

カスタム ブロッキング メッセージ

URL リストを使用した URL フィルタリング

URL リストを使用した URL フィルタリングの例

N2H2 サーバを使用した URL フィルタリング

サポートされる N2H2 機能

N2H2 CLI コマンド

N2H2 状況と統計情報表示のコマンド

N2H2 の設定と制約事項

Websense サーバを使用した URL フィルタリング

Websense の設定と制限

Websense コンポーネントのダウンロードと評価キーの入手

Websense 設定ファイルの保存

Websense サーバ用のポート設定

ContentEngine GUI を使用したローカル Websense サーバの設定

ContentEngine GUI を使用したローカル Websense サーバのイネーブル化とディセーブル化

CLI コマンドを使用した Websense URL フィルタリングの設定

CLI コマンドを使用したローカル Websense サーバの設定

CLI コマンドを使用したローカル Websense クライアントの設定

Websense の状況と統計情報の表示コマンド

SmartFilter ソフトウェアを使用した URL フィルタリング

RADIUS および URL フィルタリング

ContentEngine 上での URL フィルタリングの設定

ContentEngine GUI を使用した URL フィルタリングの設定

CLI コマンドを使用した URL フィルタリングの設定

URL フィルタリングの設定

この章では、Content Engine 上でサポートされている、さまざまなタイプの URL フィルタリングを説明します。 またこの章では、ローカルに配置する Content Engine 上で URL フィルタリングを設定する方法も説明します。 この章の構成は、次のとおりです。

「URL フィルタリングの概要」

「URL リストを使用した URL フィルタリング」

「N2H2 サーバを使用した URL フィルタリング」

「Websense サーバを使用した URL フィルタリング」

「SmartFilter ソフトウェアを使用した URL フィルタリング」

「RADIUS および URL フィルタリング」

「Content Engine 上での URL フィルタリングの設定」


) この章で使用される CLI コマンドの構文と使用法については、『Cisco ACNS Software Command Reference, Release 5.1』を参照してください。


URL フィルタリングの概要

企業や団体の中には、インターネット上のビジネス以外のコンテンツ、および好ましくないコンテンツへの社員のアクセスを監視し、管理し、制限する必要性を認識している企業や団体があります。 社員や学生に対して、Web サイトへのアクセスを許可、または拒否し、あるいは、インターネット情報を正しく使用する方法を指導できます。 Content Engine に URL フィルタリング スキームを備えると、生産性を向上させ、ネットワーク帯域幅を本来の業務のみに使用することによって、企業は投資利益が直ちに得られると同時に、ネットワークの不正使用による法的責任問題が軽減されます。


) URL フィルタリングが、Content Engine を通過するすべての URL に適用されるようにするには、すべてのバイバス機能をディセーブルにします。 デフォルトでは、ロード バイパスはイネーブルになっています。 Content Engine GUI を使用して、ロード バイパスをディセーブルにするには、Caching > Bypass を選択し、次に Bypass ウィンドウの Load Bypass Off オプション ボタンをクリックします。 CLI を使用して、手作業でロード バイパスをディセーブルにするには、bypass load コマンドを使用します。 エラー処理もデフォルトでは、イネーブルになっていますが、これを CLI を使用して手作業でディセーブルにするには、error-handling send-cache-error コマンド、または error-handling reset-connection コマンドを使用します。


図 12-1 に示すように、URL フィルタリング機能により、Content Engine は、次のいずれかの方法で、Web サイトへのクライアント アクセスを管理できます。

リストで指定する URL へのアクセスを拒否する。

リストで指定する URL へのアクセスだけを許可する。

フィルタリングのために N2H2 サーバにトラフィックを誘導する。

フィルタリングのために、トラフィックをローカルの Websense プラグイン、または外部のプラグイン、あるいは外部の Websense サーバに誘導する。

フィルタリングの際に、トラフィックを SmartFilter プラグインに誘導する。

図 12-1 サポートされる各種タイプの URL フィルタリングの例

 

プロトコルごとにアクティブにできる URL フィルタリング スキームは 1 形式だけですが、多数の URL フィルタリング スキームを同時にサポートできます。 言い換えると、N2H2 フィルターが HTTP URL に適用されている場合は、Websense や SmartFilter などの URL フィルタリング スキームをこのプロトコルに適用することはできません。 ただし、good リストおよび bad リストは、ストリーミング メディア プロトコルに対して適用できます。 特定のプロトコルに対して有効にされているスキームは、ほかのプロトコルから影響を受けません。


) SmartFilter などのシスコ以外のソフトウェアを使用して URL フィルタリングを実装する場合は、適用されるプロトコルは HTTP、 HTTPS、および FTP に限定されます。また、N2H2 や Websense のサーバを使用する場合も、同様に HTTP、 HTTPS、および FTP プロトコルに制限されます。


カスタム ブロッキング メッセージ

Content Engine は、カスタマイズされたブロッキング メッセージを Web クライアントに戻すように設定できます。 カスタム メッセージは、システム管理者が block.html という名前の HTML ページとして作成する必要があります。 カスタム メッセージの HTML ページに関連したすべての内蔵グラフィックスを、 block.html ファイルと同じディレクトリに必ずコピーしてください。

カスタマイズされたブロッキング メッセージをイネーブルにするには、 url-filter http custom-message コマンドを使用し、ディレクトリ名を指定します。

カスタム メッセージをディセーブルにするには、 no url-filter http custom-message コマンドを使用します。

url-filter http custom-message コマンドは、 good-sites-allow および bad-sites-deny の設定に影響を与えることなく、有効や無効にすることができます。


) local1 または local2 を、カスタム ブロッキング メッセージ用のディレクトリとして使用しないでください。 カスタム メッセージ ファイルを保持するには、local1 または local2 の下に別個のディレクトリを作成してください。


次に示す例では、 block.html ファイルによりカスタム メッセージが表示されています。

This page is blocked by the Content Engine
 

このメッセージは、ブロックされたサイトへの要求を Content Engine が代行受信したときに表示されます。

block.html ファイルでは、オブジェクト(たとえば、.gif、.jpeg など)は、次の例に示すように、カスタム メッセージ ディレクトリ ストリング /content/engine/blocking/url 内で参照する必要があります。


) ブロックされたサイトへのアクセス要求について質問がある場合は、システム管理者に問い合わせてください。


<TITLE>Cisco Content Engine example customized message for url-filtering</TITLE>
<p>
<H1>
<CENTER><B><I><BLINK>
<FONT COLOR="#800000">P</FONT>
<FONT COLOR="#FF00FF">R</FONT>
<FONT COLOR="#00FFFF">A</FONT>
<FONT COLOR="#FFFF00">D</FONT>
<FONT COLOR="#800000">E</FONT>
<FONT COLOR="#FF00FF">E</FONT>
<FONT COLOR="#00FFFF">P</FONT>
<FONT COLOR="#FF8040">'</FONT>
<FONT COLOR="#FFFF00">S</FONT>
</BLINK>
<FONT COLOR ="#0080FF">Blocked Page</FONT>
</I></B></CENTER>
</H1>
<p>
<p>
<IMG src="/content/engine/blocking/url/my.gif">
<p>
This page is blocked by the Content Engine.
<p>
 

block.html ファイルが更新されると、 url-filter http custom-message コマンドを再入力しなくても、新しいメッセージが自動的に表示されます。

URL リストを使用した URL フィルタリング

Content Engine を設定して、 badurl.lst ファイルにリストされている URL へのクライアント要求を拒否できます。また、 goodurl.lst ファイルにリストされている URL への要求だけを許可するようにも設定できます。 URL リストは、HTTP、HTTPS、および FTP の形式の要求、および MMS や RTSP などのストリーミング メディア プロトコルの要求に適用できます。


ヒント プロトコルごとに、優良サイト ファイルまたは悪質サイト ファイルを 1 つだけ同時にアクティブにできます。


各プロトコルのローカル リスト ファイルには、他のプロトコルに属している URL を含めることはできません。 たとえば、HTTP ローカル リスト ファイルには HTTP、HTTPS、または FTP URL だけを含め、WMT ローカル リスト ファイルには MMS URL だけを含めます。


注意 ローカル リスト ファイルが大き過ぎると、デバイスのパフォーマンスに影響を与えます。その理由は、ローカル リスト ファイル フィルタリングがイネーブルになると、そのファイルはメモリにロードされるからです。 ファイル サイズが 5 MB を超えると、デバイスはパフォーマンスへの影響を知らせる警告を出します。

URL リストを使用した URL フィルタリングの例

特定の HTTP URL への要求を拒否する手順は、次のとおりです。


ステップ 1 badurl.lst という名称の平文テキスト ファイルを作成します。

このファイルに、ブロックしたい URL を入力します。 badurl.lst ファイル内の URL のリストは、 http://www.domain.com/ 形式で入力し、改行キーで区切ります。

ステップ 2 Content Engine の /local1 システム ファイル システム(sysfs)ディレクトリに、 badurl.lst ファイルをコピーします。


ヒント bad リストを保持するために、local1 の下に別個のディレクトリ(たとえば、/local1/filtered_urls)を作成するようにお勧めします。

ステップ 3 url-filter http bad-sites-deny コマンドを使用して、bad URL リストを指定します。

Console(config)# url-filter http bad-sites-deny file local/local1/badurl.lst
 

ステップ 4 url-filter http bad-sites-deny enable コマンドを使用して、URL の拒否をアクティブにします。

Console(config)# url-filter http bad-sites-deny enable
 


 

特定の HTTP URL を許可し、他のすべての URL を除外する手順は、次のとおりです。


ステップ 1 goodurl.lst と名付けた平文テキスト ファイルを作成します。

このファイルに、排他的に許可したい URL を入力します。 goodurl.lst ファイル内の URL のリストは、 http://www.domain.com/ 形式で入力し、改行キーで区切ります。

ステップ 2 goodurl.lst ファイルを、Content Engine の /local1 sysfs ディレクトリにコピーします。


ヒント good リストを保持するために、local1 の下に別個のディレクトリ(たとえば、/local1/filtered_urls)を作成するようにお勧めします。

ステップ 3 url-filter http good-sites-allow file コマンドを使用して、 goodurl.lst ファイルを指定します。

Console(config)# url-filter http good-sites-allow file local/local1/goodurl.lst
 

ステップ 4 url-filter http good-sites-allow enable コマンドを使用して、優良 URL だけの許可をアクティブにします。

Console(config)# url-filter http good-sites-allow enable
 


 


badurl.lst ファイル、または goodurl.lst ファイルを更新するときは、url-filter local-list-reload EXEC コマンドを使用し、URL リスト ファイルをメモリにリロードします。


N2H2 サーバを使用した URL フィルタリング


) N2H2 サーバを使用する URL フィルタリングでは、Websense サーバおよび SmartFilter ソフトウェアは HTTP、FTP、または HTTPS プロトコルだけと動作します。


N2H2 は、グローバルに展開される URL フィルタリング ソリューションです。このソフトウェアは、宛先ホスト名、宛先 IP アドレス、およびユーザ名とパスワードに基づいて、HTTP、FTP、または HTTPS の要求をフィルタリングすることができます。 N2H2 は、1,500 万サイトを超える高度な URL データベースに基づいており、インターネット テクノロジーと人間によるレビューの両方を使用して、40 を超えるカテゴリに分類されています。 N2H2 フィルタリング製品については、 http://www.n2h2.com を参照してください。

Content Engine では、N2H2 Enterprise サーバをフィルタリング エンジンとして使用し、N2H2 サーバ上で設定されたフィルタリング ポリシーを実行できます(図 12-2 を参照)。 Content Engine と N2H2 サーバは、Internet Filtering Protocol (IFP) Version 2 を使用して相互に通信します。 Content Engine は URL 要求を受信すると、要求されたそのURL を含めた IFP 要求をN2H2 サーバに送信します。 N2H2 サーバは、必要な URL 検索を実行し、IFP 応答を戻します。 N2H2 サーバの IFP 応答に基づいて、Content Engine は、ブロッキング メッセージが表示されるページにブラウザをリダイレクトして HTTP 要求をブロックするか、または、URL 要求をオリジン サーバに送信して、通常の HTTP 処理を続行します。

図 12-2 N2H2 フィルタリング

 

N2H2 サーバを使用する URL フィルタリングは、要求されたオブジェクトがキャッシュ内にあるかどうかにかかわらず、HTTP、FTP、または HTTPS のトラフィックに適用された後、Rules Template メカニズムが適用されます。 フィルタリングは、次のトラフィック タイプに適用されます。

プロキシ スタイルまたは透過スタイルの HTTP または HTTPS の要求

プロキシ スタイルと透過リダイレクト プロキシ スタイルの FTP over HTTP 要求

サポートされる N2H2 機能

N2H2 は、3 通りのフィルタリング スキームをサポートします。 表 12-1 では、Content Engine がサポートする N2H2 機能をリストします。 1 台の N2H2 サーバで、同時に複数の Content Engine をサポートできます。

 

表 12-1 サポートされる N2H2 機能

N2H2 機能名
説明

グローバル フィルタリング

すべての HTTP、FTP、または HTTPS の要求にフィルタリングを適用する。

ユーザ ベースのフィルタリング

特定のユーザまたはグループにフィルタリングを適用する。

クライアント IP ベースのフィルタリング

特定のクライアント IP アドレスにフィルタリングを適用する。

透過認証

透過認証は、IFP 応答内の HTML ページを使用して、初期応答ヘッダーをクライアントへ戻して行われます。

N2H2 CLI コマンド

url-filter http N2H2 server IP address [ port 1-65535 ] [ timeout 1-120 ] コマンドは、N2H2 サーバを照会するように Content Engine を設定します。 オプションの port フィールドは、Content Engine が IFP 要求を送信する先の、N2H2 サーバ上のポートを指定します。 デフォルトのポート番号は 4005 です。オプションの timeout フィールド(秒数)は、Content Engine が N2H2 サーバからの IFP 応答を待つ時間を指定します。 デフォルトのタイムアウトは 5 秒です。

このコマンドは、現在の実装状態で指定された IP アドレスで N2H2 サーバがアクセス可能かどうかを確認するものではありません。 N2H2 がイネーブルになっている間に、設定が変わる場合があります。 Content Engine は実行時に新しい設定を受け入れます。

url-filter http N2H2 enable コマンドは、N2H2 サーバを現在の URL フィルタリング スキームを実行するマシンとして使用できるようにします。

url-filter http N2H2 allowmode enable コマンドは、N2H2 サーバが有効になっているにもかかわらず、Content Engine が N2H2 サーバと正常に通信できない場合に、HTTP、FTP、または HTTPS の要求が通過できるようにします。 allowmode がイネーブルになっていると、Content Engine が N2H2 サーバからの応答を正常に受信できない場合でも、Content Engine はすべてのトラフィックを通過させます(通常のトラフィック処理を続行します)。 一方、 allowmode がディセーブルになっていると、Content Engine は、Content Engine を通過するすべてのトラフィックをブロックします。 デフォルトでは、 allowmode はイネーブルです。

allowmode オプションは、N2H2 がイネーブルかどうかにかかわらず設定でき、N2H2 サーバの設定とは無関係です。 N2H2 がすでに動作中であっても、Content Engine は allowmode の新しい設定を受け入れます。

N2H2 状況と統計情報表示のコマンド

show url-filter http コマンドは、Content Engine 上で使用可能になっている URL フィルタリング スキーム、および URL フィルタリング スキームごとの設定(たとえば、N2H2 の設定データ)を表示します。

次の例では、 show url-filter http コマンドを使用して、Content Engine 上で現在設定されている HTTP URL フィルタリング スキームすべての状況を表示します。

ContentEngine# show url-filter http
URL filtering is set to use bad-list
 
Local list configurations
==================================
Good-list file name :
Bad-list file name : /local1/url-filter/badlist.http
Custom message directory :
 
Websense server configuration
==================================
Websense server IP : 172.16.193.165
Websense server port : 15868
Websense server timeout: 20 (in seconds)
Websense allow mode is ENABLED
 
N2H2 server configuration
==============================
N2H2 server IP : 172.16.193.165
N2H2 server port : 4005
N2H2 server timeout : 5 (in seconds)
N2H2 allow mode is ENABLED
ContentEngine#
 

show statistics url-filter http N2H2 コマンドは、Content Engine と N2H2 サーバ間の通信の要求・応答に関する統計情報を表示します。 これらの統計情報は、送信された要求、受信された応答、ブロックされたページ、許可されたページ、および障害の数を表示します。 さらに詳しい URL フィルタリング統計情報は、N2H2 サーバ上で入手可能です。

ContentEngine# show statistics url-filter http n2H2
N2H2 URL Filtering Statistics:
Lookup requests transmitted = 144
Lookup response received = 144
Requests timed out = 0
Number of retransmits = 0
 
Requests BLOCKed by N2H2 = 52
Requests OKed by N2H2 = 92
 
Allow Mode Statistics:
No available connection = 0
Error sending lookup requests = 0
Error recving lookup responses = 0
Server error in responses = 0
 
Server Error in Responses:
Error in Filter Server = 0
Error in IFP server = 0
Seq number mismatch = 0
Multiple responses rcvd = 0
 
TCP error statistics:
Bad network endpoint = 0
Network unreachable = 0
Underlying connection broken = 0
Timeout specified is reached = 0
Address already in use = 0
Client connection broken = 0
Client connection timeout = 0
Server connection broken = 0
Server connection timeout = 0
Register read cancelled = 0
Other errors = 0
 
Queue statistics:
Number of xacts in Queue = 0
 
Overhead statistics:
Avg total process time = 17
Avg response time = 17
Socket update count = 0
 
ContentEngine#
 

表示される統計情報をクリアするには、 clear statistics url-filter http N2H2 コマンド、および clear statistics all コマンドを使用します。

clear statistics url-filter http N2H2 コマンドは、N2H2 サーバの統計カウンタをリセットします。 すべての統計カウンタが 0 にリセットされます。


) N2H2 フィルタリング コンフィギュレーションおよびポリシーの詳細は、http://www.n2h2.com を参照してください。


N2H2 の設定と制約事項

URL フィルタリング スキームは、一度に 1 つのみアクティブにできます。 N2H2 URL フィルタリングを使用可能にするには、他の URL フィルタリング スキームが設定されていないことをまず確認する必要があります。 次に、 url-filter N2H2 server IP address [ port 1-65535 ] [ timeout 1-120 ] コマンドを使用し、N2H2 のサーバ情報を設定して、N2H2 サーバをイネーブルにできます。

Content Engine に設定されているサーバの IP アドレスとポート番号は、N2H2 サーバの IP アドレス、および N2H2 サーバが IFP 要求を受信するポートと一致する必要があります。 Content Engine 上の設定が、N2H2 サーバ上の設定と一致しない場合、Content Engine は、すべての HTTP、FTP、または HTTPS の要求をタイムアウトにし、 allowmode オプションの設定に基づいて、すべての HTTP トラフィックをブロック、または許可します。

Websense サーバを使用した URL フィルタリング

Content Engine は、リモートの Websense Enterprise サーバをフィルタリング エンジンとして使用し、Websense サーバ上に設定されたフィルタリング ポリシーを実行できます(図 12-3 を参照)。

図 12-3 リモート Websense サーバを使用した URL フィルタリング

 

Cisco ACNS 5.1 ソフトウェアは、すべての Cisco Content Engine のプラットフォーム上で Websense サーバ Version 5.0.1 をサポートしています。 組み込み Websense サーバは、Content Engine の内部で(個別のシステムで実行され、ネットワークを介して Content Engine と通信を行うのではなく)実行されます。

Websense の設定と制限

この項では、Websense の設定および制約事項を説明します。


) ACNS 5.x Content Engine を使用する場合の Websense の設定および制約事項(ディスク スペース要件を含む)の最新情報は、『Release Notes for Cisco ACNS Software, Release 5.1』を参照してください。

Websense ソフトウェア設定についての詳細は、次の Web サイトを参照してください。
http://www.websense.com


Websense サーバがイネーブルであり、Websense URL データベースが Content Engine に初めてダウンロードされるときは、CPU の使用率が上昇します。 したがって、Websense サーバをオフピーク時、またはネットワーク トラフィックが低いときにイネーブルしてください。このようなとき以外に、Websense サーバをイネーブルにすると、Content Engine 上でのその他の処理に影響を及ぼすことがあります。 Websense サーバが停止すると、自動的に再始動します。

Websense は、Content Engine 上の /local/local1/WebsenseEnterprise/EIM ディレクトリに常駐する Websense サーバのイメージを提供します。 設定ファイルおよびロギング ファイルと共に、すべての実行ファイルがこのディレクトリに保存されています。

外部の Websense サーバ設定時には、そのサーバの IP アドレスおよびポート番号を指定する必要があります。 Content Engine 上で指定される外部 Websense サーバの IP アドレスとポート番号は、その外部 Websense サーバの IP アドレス、およびその外部 Websense サーバがフィルタリング要求を受信(リスン)するポート番号と各々一致する必要があります。


) ローカル Websense サーバの IP アドレスは設定できません。 この IP アドレスは 127.0.0.1 に固定されています。 デフォルトでは、ローカル Websense サーバは、要求をポート 15868 で受け入れるように設定されています。


Content Engine 上の外部 Websense サーバの設定が、外部 Websense サーバ上の設定(IP アドレスおよびポート番号)と一致しない場合、Content Engine は、すべての HTTP、FTP、または HTTPS 要求をタイムアウトにし、 allowmode オプション 設定に基づいて、HTTP トラフィックをブロック、または許可します。

Websense URL フィルタリングを使用可能にするには、他の URL フィルタリング スキームがそれぞれのプロトコルに対して設定されていないことをまず確認する必要があります。 その後、 url-filter http Websense server ip address [ port 1-65535 [ timeout 1-120 [ connections 1-250 ]]] コマンドを使用して、Websense サーバに関する情報を設定でき、 url-filter http websense enable コマンドを使用して Websense サーバをイネーブルにできます。

Websense コンポーネントのダウンロードと評価キーの入手

Explorer、Manager、および Reporter などの Websense コンポーネントをダウンロードする、またはローカルに配置する Content Engine 上で実行される Websense サーバと一緒に使用するための評価キーを入手するには、次の URL にアクセスし、そこで示される手順を順に実行します。

http://www.websense.com/downloads

Websense 設定ファイルの保存

ACNS 5.x ソフトウェアのリリースでは、ディスクの再設定から ACNS ソフトウェア リリースのアップグレードまで、変更された Websense 設定ファイル( eimserver.ini および config.xml )を保存するために write memory コマンドが強化されました。

websense.ini ファイルの変更、および Websense URL フィルタリングの設定変更を含む、最新の設定変更を保存するには、 write memory コマンドを実行する必要があります。 write memory コマンドにより、外部の Websense Manager GUI から加えた変更をイネーブルにして、ディスクの再設定およびアップグレード(アップグレードにより、ディスクのコンテンツが消去されることがあります)をして保存できます。

write memory コマンドが、再起動前に実行されずに、ディスクの再設定または ACNS ソフトウェアのアップグレード後に実行されたことにより、ディスクのコンテンツが消去された場合、write memory コマンドが最後に実行された時点での Websense の設定が保持されます。 ただし、write memory コマンドが以前に実行されたことがない場合で、Content Engine 上の
/local/local1/WebsenseEnterprise/EIM
ディレクトリ内のコンテンツが消去されたときは、デフォルトの設定が適用されます。

Websense サーバ用のポート設定

Websense のプロセスでは、Content Engine の内部プロセスから、または Websense Manager などの外部プロセスからの接続に対して、次の 3 つのポートがオープンされている必要があります。

Websense サーバ ポート

これは、Websense プロトコルに従って、コンテンツのフィルタリング要求を受信する TCP ポートです。

ブロック メッセージ サーバ ポート

Websense プロセスによってある URL がブロックされる場合、このポートはリダイレクト URL をユーザに送信します。 リダイレクト URL は、ブロックされたページおよびポリシーをユーザにプリント アウトします。 Websense プロセスは、このポート上でリスンし、ブロックされ、Websense サーバ内のスレッドによってサービスされるページを受信します。 このスレッドは、リダイレクト要求に応答して、ブロックされたページを送信します。

診断サーバ ポート

Websense サーバには、ユーザが Websense プロセス内での問題の診断をリモートで実行できる完全な診断セットがあります。 このポートは、このような診断ユーティリティが接続するポートです。

これらのポートは、Content Engine 上の /local/local1/WebsenseEnterprise/EIM ディレクトリにある eimserver.ini ファイルを修正することによって、設定できます。 Websense サーバが新たに設定されたポートを認識できるように、Websense サーバを再起動する必要があります。 これら 3 つのポートのデフォルト ポート番号は次のとおりです。

15868(Websense サーバ ポート)

15871(Websense ブロック メッセージ サーバ ポート)

15869(Websense 診断サーバ ポート)

これらのポートは、Content Engine 上の /local/local1/WebsenseEnterprise/EIM ディレクトリから、FTP を使用して eimserver.ini ファイルのコピーをエクスポートし、このファイルを修正してから、 eimserver.ini ファイルを Content Engine 上で削除し、次に修正されたファイルを FTP で Content Engine に送り返して、修正できます。


) 新しく設定されたポートを有効にするには、Websense サーバをディセーブルにし、再度イネーブルにする必要があります。 Websense クライアントを正しい Websense サーバ ポートに誘導するには、必ず url-filter http Websense server コマンドを使用してください。 url-filter http Websense server コマンドの詳細は、『Cisco ACNS Software Command Reference, Release 5.1』を参照してください。


Content Engine GUI を使用したローカル Websense サーバの設定

ローカルに配置する Content Engine がローカル Websense サーバを実行するように設定する手順は、次のとおりです。


ステップ 1 Content Engine GUI から、Caching > URL Filtering の順に選択します。 URL Filtering ウィンドウが表示されます。

ステップ 2 Websense Filtering(Local)チェックボックスにチェックマークを付け、Websense サーバを Content Engine 上で実行するように設定します(図 12-4 を参照)。

図 12-4 ローカル Websense サーバの設定

 


) ローカル Websense サーバの IP アドレスは設定できません。 この IP アドレスは 127.0.0.1 に固定されています。


ステップ 3 次のフィールドに情報を入力します。

Port:ローカル Websense サーバが要求を受信するポート番号を入力する。 デフォルト値は 15868 です。

Timeout:秒単位の値を入力する。 範囲は 1 ~ 240秒です。 デフォルト値は 20 です。

AllowMode:Timeout フィールドに指定した時間が経過した後も応答がない場合、要求を許可するときには、このチェックボックスにチェックマークを付ける。またブロックを指定するときには、チェックマークを消します。

ステップ 4 Update をクリックして変更を送信します。

これで、ローカル Websense サーバの設定が完了し、Content Engine 上でイネーブルになりました。次の手順は、「Content Engine 上での URL フィルタリングの設定」で説明されている、Content Engine 上での URL フィルタの設定です。


 

Content Engine GUI を使用したローカル Websense サーバのイネーブル化とディセーブル化

デフォルトでは、Websense プラグイン(ローカル Websense サーバ)はディセーブルになっています。

Content Engine GUI を使用して、ローカルに配置する Content Engine 上でローカル Websense サーバをイネーブルまたはディセーブルにする手順は、次のとおりです。


ステップ 1 Content Engine GUI から、System > Websense Server の順に選択します。 Websense Server ウィンドウが表示されます(図 12-5 を参照)。

図 12-5 ローカル Websense サーバのイネーブル化

 

ステップ 2 Start をクリックして、Websense サーバをイネーブルにします。 Start ボタンは、Websense サーバがその時点でディセーブルになっている場合にのみ表示されます。 Websense Server ウィンドウが更新され、そのウィンドウに現在 Content Engine 上で実行されているローカル Websense サーバが表示されます(図 12-6 を参照)。

図 12-6 ローカル Websense Server がイネーブルになっている Content Engine の例

 


) Websense サーバを停止するには、Websense Server ウィンドウの Stop をクリックします。 Stop ボタンは、Websense サーバがその時点でイネーブルになっている場合にのみ表示されます。



 

CLI を使用して Websense URL フィルタリングをイネーブルにする、または設定するための情報は、次項を参照してください。 Websense ソフトウェア設定についての詳細は、次の Web サイトを参照してください。 http://www.websense.com

CLI コマンドを使用した Websense URL フィルタリングの設定

この項では、CLI の使用方法を説明して、ローカルに配置する Content Engine 上で Websense URL フィルタリングを実行する設定方法を説明します。この設定には、次が含まれます。

ローカル Websense サーバを( websense-server enable コマンドを使用して)ローカルに配置する Content Engine 上でイネーブルにする。

Websense クライアントを( url-filter http websense server コマンドを使用して)ローカルに配置する Content Engine 上で設定する。

Websense URL フィルタリングを Content Engine 上でイネーブルにする前に、ローカル Websense サーバ オプション( websense-server enable コマンドを使用)を選択するか、あるいは外部 Websense サーバの IP アドレスまたはホスト名を設定します。

CLI コマンドを使用したローカル Websense サーバの設定

デフォルトでは、Websense プラグイン(ローカル Websense サーバ)はディセーブルになっています。 ローカル Websense サーバを Content Engine 上でイネーブルにするには、 websense-server enable グローバル設定コマンドを使用します。

ContentEngine(config)# websense-server enable
 

ローカル Websense オプションを Content Engine のクラスタと一緒に使用している場合は、必ず、 websense-server enable コマンドをクラスタ内の各 Content Engine 上で実行してください。

デフォルトでは、ローカル Websense サーバは、Content Engine の最初のインターフェースの IP アドレス上で受信します。 Content Engine に複数のインターフェースがある場合で、ローカル Websense サーバに最初のインターフェースでない IP アドレス上で受信させたいときは、 websense-server ip-address コマンドを使用して、ローカル Websense サーバが受信するインターフェースの IP アドレスを指定します。 websense-server ip-address コマンドを実行後、これらの設定変更を有効にするために Websense サーバを再起動します。

外部にインストールされたユーザ サーバがあり、Windows NT ディレクトリを使用してユーザ/グループ ベースの URL フィルタリングを設定したい場合は、 websense-server user-server external コマンドを使用します。

CLI コマンドを使用したローカル Websense クライアントの設定

Content Engine のクラスタが存在するときに、外部の Websense URL フィルタリングを使用するには、クラスタ内の各 Content Engine 上で url-filter http websense server コマンドを設定し、すべてのトラフィックが確実にフィルタリングされるようにしてください。

url-filter http websense allowmode enable コマンドは、Content Engine が Websense サーバの時間切れ後にクライアント要求を実行できるようにします。 Websense サーバは、それ自身のブロッキング メッセージを戻します。

次の例では、Content Engine が、Websense URL フィルタリングを IP アドレス 172.16.11.22、ポート 15900、4 秒のタイムアウトで使用するように、次のコマンドを入力して Content Engine を設定する方法を示します。

ContentEngine(config)# url-filter websense server 172.16.11.22 port 15900 timeout 4

) Websense ソフトウェア設定についての詳細は、次の Web サイトを参照してください。 http://www.websense.com


Websense の状況と統計情報の表示コマンド

ローカル Websense サーバで実行されている URL フィルタリングの統計情報を表示するには、 show websense-server EXEC コマンドを使用します。 このコマンドには、次の例で示すように引き数またはキーワードはありません。

ContentEngine# show websense-server
Local Websense Server Information :
------------------------------
 
Websense Enterprise Version : 5.0.1
 
 
Websense Server running.
 
------------------------------------------
Sending SERVER_STATUS_REQUEST...
------------------------------------------
 
Status Code = 0
License Count = 0
 
Elapsed Time = 1 ms
 
AVG TIME PER REQUEST = 1 ms
 
 
Websense Server Port : 15868
Websense Block Message Port : 15871
Websense Config Server Port : 55806
Websense Diagnostics Server Port : 15869
ContentEngine#
 

show url-filter http コマンドは、Content Engine 上でイネーブルになっている URL フィルタリング スキーム、および URL フィルタリング スキームごとの設定(たとえば、Websenseの設定データ)を表示します。

次の例では、 show url-filter http コマンドを使用して、Content Engine 上で現在設定されている HTTP URL フィルタリング スキームすべての状況を表示します。

ContentEngine# show url-filter http
URL filtering is set to use Websense server
 
Local list configurations
==================================
Good-list file name :
Bad-list file name :
Custom message directory :
 
Websense server configuration
==================================
Websense server IP : local
Websense server port : 15868
Websense server timeout: 20 (in seconds)
Websense allow mode is ENABLED
 
N2H2 server configuration
==============================
N2H2 server IP : <none>
N2H2 server port : 4005
N2H2 server timeout : 5 (in seconds)
N2H2 allow mode is DISABLED
ContentEngine#
 

show statistics url-filter http websense コマンドは、Content Engine と Websense サーバ間の通信の要求・応答に関する統計情報を表示します。 これらの統計情報は、送信された要求、受信された応答、ブロックされたページ、許可されたページ、および障害の数を表示します。 さらに詳しい URL フィルタリング統計情報は、Websense サーバ上で入手可能です。

ContentEngine# show statistics url-filter http websense
Websense URL Filtering Statistics:
Transmission statistics:
Lookup requests transmitted = 1
Lookup requests timed-out = 1
Lookup responses received = 1
Lookup responses received with error = 0
Multiple response received = 0
Sequence number mismatch = 0
 
TCP errors:
Connection reset = 0
Connection timeout = 3
Other errors = 0
 
Filter results:
Requests BLOCKed by Websense = 1
Requests OKed by Websense = 0
Sent to Allowmode ok = 1
Sent to Allowmode block = 0
desc_filtered_and_passed = 0
desc_category_blocked = 1
desc_category_not_blocked = 0
desc_category_blocked_custom_deny = 0
desc_category_not_blocked_custom_permit = 0
 
Websense log statistics:
Logs sent successfully = 1
Connection error = 0
Error during log processing = 0
Log not complete = 1
Log not sent because Websense disabled = 0
No available connection = 0
 
Congestion statistics:
Pending requests = 0
Pending log requests = 0
ContentEngine#
 

表示される統計情報をクリアするには、 clear statistics url-filter http websense コマンド、および clear statistics all コマンドを使用します。 すべての統計カウンタが 0 にリセットされます。

SmartFilter ソフトウェアを使用した URL フィルタリング

Content Engine 上で実行される SmartFilter ソフトウェアは、プロキシ サーバ、ファイアウォール、およびキャッシング機器と一緒に使用されるときに、Employee Internet Management (EIM) 機能を提供します。 Content Engine と SmartFilter との統合製品は、通常の Content Engine で使用可能なすべての機能を備えています。 SmartFilter のフィルタリング機能は、Content Engine 上の追加サービスとして使用できます。このサービスは、Content Engine の CLI または GUI を使用してイネーブルにしたり、ディセーブルにしたりできます。

Content Engine と SmartFilter との統合製品は、サーバ機能を 1 つにまとめたソリューションを提供します。 Content Engine は、一連のプラグイン API を使用して、SmartFilter ソフトウェアが、HTTP トランザクション時に戦略ポイントにフックを設け、URL フィルタリングを実行できるようにします。

統合 Content Engine および SmartFilter 製品は、エンド ユーザ管理ツールとして、sfadmin console、また管理サーバ ツールとして、sfadmin server をそれぞれ提供しています。 システム管理者は、SmartFilter 製品をこの sfadmin console 上で設定し、その設定を sfadmin server に保存をします。 sfadmin server がこの設定を伝播してエンド クライアント Content Engines に渡すと、Content Engines 上で稼働する SmartFilter ソフトウェアが使用できるようになります。

Content Engine のクラスタが存在するときに、SmartFilter URL フィルタリングを使用するには、クラスタ内の各 Content Engine 上で url-filter http smartfilter enable コマンドを入力して、すべてのトラフィックがフィルタリングされるようにしてください。


) SmartFilter ソフトウェア設定についての詳細は、次の Web サイトを参照してください。 http://www.securecomputing.com


RADIUS および URL フィルタリング

RADIUS 認証および URL フィルタリングが Content Engine 上でイネーブルのときは、RADIUS サーバ データベース内のユーザ Filter-Id 属性を設定し、URL フィルタリングをバイパスできます。

次の例では、RADIUS サーバ データベースのユーザ Filter-Id 属性エントリを示しています。

test Password = "test"
Service-Type = Framed-User,
Filter-Id = "No-Web-Blocking"
 

Filter-Id 属性は、No-Web-Blocking または Yes-Web-Blocking として定義できます。 ブロッキングが未指定の場合は、Yes-Web-Blocking が RADIUS フィルタリングのデフォルトとなります。 Yes-Web-Blocking とは、要求が URL フィルタリングされることを意味し、No-Web-Blocking は、要求が URL フィルタリングされないことを意味します。


) RADIUS サーバの認証情報および URL フィルタリングの情報は、「RADIUS 認証の概要」 を参照してください。


Content Engine 上での URL フィルタリングの設定

ローカルに配置する Content Engine に対して、Content Engine GUI または CLI を使用して URL フィルタリングを設定できます。

Content Engine GUI を使用した URL フィルタリングの設定

ローカルに配置する Content Engine に対して URL フィルタリングの設定を行う手順は、次のとおりです。


ステップ 1 Content Engine GUI から、 Caching > URL Filtering の順に選択します。 URL Filtering ウィンドウが表示されます(図 12-7 を参照)。

図 12-7 URL Filtering ウィンドウ

 

ステップ 2 全般的な URL フィルタ設定値、HTTP URL フィルタ設定値、RTSP URL フィルタ設定値、および WMT フィルタ設定値に関する情報を該当するフィールドに入力します。 これら各フィールドについての詳細は、URL Filtering ウィンドウの Help ボタンをクリックしてください。

ステップ 3 Update をクリックして URL フィルタリングの設定値を保存します。


 

CLI コマンドを使用した URL フィルタリングの設定

表 12-2 は、ローカルに配置する Content Engine 上で CLI コマンドを使用して URL フィルタリングをどのように設定できるかを要約します。

 

表 12-2 Content Engine CLI を使用してローカルに設定する URL フィルタリング

パラメータ
説明
コマンド
URL フィルタリング パラメータ

Custom Msg Location

クライアントに対するカスタマイズされた URL ブロッキング メッセージを作成する。 このカスタム メッセージは、管理者が block.html という名前の HTML ファイルとして作成する必要があります(「カスタム ブロッキング メッセージ」を参照してください)。

url-filter http custom-message

HTTP URL フィルタ オプション

Enable Bad Site Local File Filtering

悪質サイトに対するローカル リスト フィルタリングを使用可能にする。

url-filter http bad-sites-deny enable

Bad Site FileName

アクセスを拒否すべき URL を含んでいるファイル。

url-filter http bad-sites-deny file

Enable Good Site Local File Filtering

優良サイトに対するローカル リスト フィルタリングを使用可能にする。

url-filter http good-sites-allow enable

Good Site FileName

アクセスが許可される URL を含んでいるファイル。

url-filter http good-sites-allow file

Enable SmartFilter Filtering

SmartFilter ソフトウェアを使用可能にする。

url-filter http smartfilter enable

Enable N2H2 Filtering

URL フィルタリングのために N2H2 サーバを使用可能にする。

url-filter http N2H2 enable

N2H2 Server Hostname

N2H2 サーバのホスト名、または IP アドレス。

url-filter http N2H2 server

N2H2 Port

N2H2 サーバが要求を受信するポート番号。

url-filter http N2H2 server IPaddress or hostname port

N2H2 Request Timeout

Content Engine が N2H2 サーバからの応答を待つ時間(秒数)。

url-filter http N2H2 server IPaddress or hostname port 1-65535 timeout

N2H2 Allow Mode

このモードでは、N2H2 サーバから応答がない場合に要求が実行される。

url-filter http N2H2 allowmode enable

Enable Websense Filtering

URL フィルタリングのために Websense サーバを使用可能にする。

url-filter http websense enable

Websense Server Hostname

外部 Websense サーバのホスト名、または IP アドレス。

url-filter http websense server hostname

Websense Port

Websense サーバが要求を受信するポート番号。

url-filter http websense server hostname または IP address port 1-65535

Websense Request Timeout

Content Engine が Websense サーバからの応答があるまで待つ秒数。

url-filter http websense server IPaddress or hostname port 1-65535 timeout

Enable Websense Allow Mode

このモードでは、Websense サーバから応答がない場合に要求が実行される。

url-filter http websense allowmode enable

RTSP URL フィルタ オプション

Enable Bad Site File Name

悪質サイトに対するローカル リスト フィルタリングを使用可能にする。

url-filter rtsp bad-sites-deny enable

Bad Site File Name

アクセスを拒否すべき URL を含んでいるファイル。

url-filter rtsp bad-sites-deny file

Enable Good Site File Name

優良サイトに対するローカル リスト フィルタリングを使用可能にする。

url-filter rtsp good-sites-allow enable

Good Site File Name

アクセスが許可される URL を含んでいるファイル。

url-filter rtsp good-sites-allow file

WMT URL フィルタ オプション

Enable Bad Site File Name

悪質サイトに対するローカル リスト フィルタリングを使用可能にする。

url-filter wmt bad-sites-deny enable

Bad Site File Name

アクセスを拒否すべき URL を含んでいるファイル。

url-filter wmt bad-sites-deny file

Enable Good Site File Name

優良サイトに対するローカル リスト フィルタリングを使用可能にする。

url-filter wmt good-sites-allow enable

Good Site File Name

アクセスが許可される URL を含んでいるファイル。

url-filter wmt good-sites-allow file


ヒント url-filter コマンドは、rule コマンドより優先されます。したがって、url-filter コマンドが要求をブロックしなかった場合だけ、rule no-block コマンドが実行されます。