Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ Cisco セキュリティ アプライアンス コマンド ライン コンフィギュレーション ガイド Version 7.1(1)
フィルタリング サービスの適用
フィルタリング サービスの適用
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

フィルタリング サービスの適用

フィルタリングの概要

ActiveX オブジェクトのフィルタリング

ActiveX フィルタリングの概要

ActiveX フィルタリングのイネーブル化

Java アプレットのフィルタリング

外部サーバによる URL および FTP 要求のフィルタリング

URL フィルタリングの概要

フィルタリング サーバの指定

コンテンツ サーバ応答のバッファリング

サーバ アドレスのキャッシング

HTTP URL のフィルタリング

HTTP フィルタリングの設定

長い HTTP URL のフィルタリングのイネーブル化

長い HTTP URL の切り捨て

トラフィックに対するフィルタリングの免除

HTTPS URL のフィルタリング

FTP 要求のフィルタリング

フィルタリング統計情報とフィルタリング設定の表示

フィルタリング サーバ統計情報の表示

バッファ コンフィギュレーションと統計情報の表示

キャッシュ統計情報の表示

フィルタリング性能統計情報の表示

フィルタリング コンフィギュレーションの表示

フィルタリング サービスの適用

この章では、Web トラフィックをフィルタリングして、セキュリティ リスクを低減したり不適切な使用を防止したりする方法について説明します。ここでは、次の項目を取り上げます。

「フィルタリングの概要」

「ActiveX オブジェクトのフィルタリング」

「Java アプレットのフィルタリング」

「外部サーバによる URL および FTP 要求のフィルタリング」

「フィルタリング統計情報とフィルタリング設定の表示」

フィルタリングの概要

この項では、フィルタリングを適用することにより、セキュリティ アプライアンスを通過するトラフィックをどのように制御できるかについて説明します。フィルタリングは、次の 2 つの異なる方法で使用できます。

ActiveX オブジェクトまたは Java アプレットのフィルタリング

外部フィルタリング サーバを使用するフィルタリング

アクセスを全面的にブロックする代わりに、ActiveX オブジェクトや Java アプレットなど、特定の状況でセキュリティ上の脅威をもたらす可能性のある特定の不適切なオブジェクトを HTTP トラフィックから取り除くことができます。

URL フィルタリングを使用して、N2H2 Sentian や Websense などの外部フィルタリング サーバに特定のトラフィックを誘導することもできます。フィルタリング サーバは、セキュリティ ポリシーで指定されている特定のサイトまたは特定のタイプのサイトに向かうトラフィックをブロックできます。

URL フィルタリングは CPU に大きな負荷がかかるため、外部フィルタリング サーバを使用することにより、他のトラフィックのスループットに影響を与えることがなくなります。ただし、外部フィルタリング サーバを使用してトラフィックをフィルタリングしている場合でも、ネットワークの速度および URL フィルタリング サーバのキャパシティによっては、最初の接続に必要な時間が著しく長くなる場合もあります。

ActiveX オブジェクトのフィルタリング

この項では、フィルタリングを適用して、ファイアウォールを通過する HTTP トラフィックから ActiveX オブジェクトを取り除く方法について説明します。ここでは、次の項目について説明します。

「ActiveX フィルタリングの概要」

「ActiveX フィルタリングのイネーブル化」

ActiveX フィルタリングの概要

ActiveX オブジェクトは、保護されたネットワーク上のホストとサーバを攻撃するコードを含むことがあるため、セキュリティ リスクを引き起こす可能性があります。ActiveX オブジェクトは、ActiveX フィルタリングでディセーブルにできます。

ActiveX コントロール(従来の OLE コントロールまたは OCX コントロール)は、Web ページなどのアプリケーションに挿入できるコンポーネントです。これらのコントロールにはカスタム フォームやカレンダーなど、情報の収集と表示に使用されるサード パーティ製の多様なフォームが含まれています。ActiveX は、技術的に、ネットワーク クライアントに対して多くの問題を発生させる可能性があります。たとえば、ワークステーションの障害の原因となる、ネットワーク セキュリティ問題を引き起こす、またはサーバへの攻撃に利用される、などの恐れがあります。

filter activex コマンドは、HTML <object> コマンドを、HTML Web ページ内でコメントアウトすることでブロックします。HTML ファイルの ActiveX のフィルタリングは、<APPLET> タグ、</APPLET> タグ、<OBJECT CLASSID> タグ、および </OBJECT> タグを選別し、コメントで置き換えることによって実行されます。ネストされたタグのフィルタリングは、最上位タグをコメントに変換することによってサポートされています。


注意 このコマンドは、オブジェクト タグに埋め込まれている Java アプレット、イメージ ファイル、またはマルチメディア オブジェクトもすべてブロックします。

<object> または </object> という HTML タグが複数のネットワーク パケットに分割されている場合、またはタグ内のコードが MTU のバイト数より長い場合、セキュリティ アプライアンスはそのタグをブロックできません。

ActiveX blocking does not occur when users access an IP address referenced by the alias command.

ActiveX フィルタリングのイネーブル化

この項では、セキュリティ アプライアンスを通過する HTTP トラフィック内の ActiveX オブジェクトを取り除く方法について説明します。ActiveX オブジェクトを取り除くには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# filter activex port[-port] local_ip local_mask foreign_ip foreign_mask
 

このコマンドを使用するには、port に、フィルタリングを適用する TCP ポートを指定します。一般的に、これはポート 80 ですが、他の値でも受け入れられます。ポート 80 には http または url リテラルを使用できます。ポート範囲を指定するには、開始ポート番号と終了ポート番号の間にハイフンを使用します。

ローカル IP アドレスおよびマスクによって、フィルタリングされるトラフィックの発信元である 1 台以上の内部ホストを指定します。外部アドレスおよびマスクは、フィルタリングされるトラフィックの外部の宛先を指定します。

これらのアドレスに 0 .0.0.0(短縮形は 0)を設定して、すべてのホストを指定できます。これらのマスクに 0 .0.0.0(短縮形は 0)を使用して、すべてのホストを指定できます。

次の例では、すべての発信接続で ActiveX オブジェクトをブロックすることを指定しています。

hostname(config)# filter activex 80 0 0 0 0
 

このコマンドは、ポート 80 上において、あらゆるローカル ホストから来て、あらゆる外部ホスト接続へ向かう Web トラフィックに ActiveX オブジェクト ブロッキングが適用されることを指定します。

このコンフィギュレーションを削除するには、次の例で示すように、コマンドの no 形式を使用します。

hostname(config)# no filter activex 80 0 0 0 0
 

Java アプレットのフィルタリング

この項では、フィルタリングを適用して、ファイアウォールを通過する HTTP トラフィックから Java アプレットを取り除く方法について説明します。Java アプレットは、保護されたネットワーク上のホストとサーバを攻撃するコードを含むことがあるため、セキュリティ リスクを引き起こす可能性があります。Java アプレットは、filter java コマンドで取り除くことができます。

filter java コマンドは、発信接続からセキュリティ アプライアンスに戻る Java アプレットをフィルタリングします。それでもユーザは HTML ページを受信できますが、Java アプレットの Web ページの送信元がコメントアウトされるため、アプレットは実行できなくなります。


) <object> タグに埋め込まれた Java アプレットを取り除くには、filter activex コマンドを使用します。


ファイアウォールを通過する HTTP トラフィック内の Java アプレットを取り除くには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# filter java port[-port] local_ip local_mask foreign_ip foreign_mask
 

このコマンドを使用するには、port に、フィルタリングを適用する TCP ポートを指定します。一般的に、これはポート 80 ですが、他の値でも受け入れられます。ポート 80 には http または url リテラルを使用できます。ポート範囲を指定するには、開始ポート番号と終了ポート番号の間にハイフンを使用します。

ローカル IP アドレスおよびマスクによって、フィルタリングされるトラフィックの発信元である 1 台以上の内部ホストを指定します。外部アドレスおよびマスクは、フィルタリングされるトラフィックの外部の宛先を指定します。

これらのアドレスに 0 .0.0.0(短縮形は 0)を設定して、すべてのホストを指定できます。これらのマスクに 0 .0.0.0(短縮形は 0)を使用して、すべてのホストを指定できます。

これらのアドレスに 0 .0.0.0(短縮形は 0)を設定して、すべてのホストを指定できます。これらのマスクに 0 .0.0.0(短縮形は 0)を使用して、すべてのホストを指定できます。

次の例では、すべての発信接続で Java アプレットをブロックすることを指定しています。

hostname(config)# filter java 80 0 0 0 0
 

このコマンドは、Java アプレット ブロックが、あらゆるローカル ホストからあらゆる外部ホストへのポート 80 の Web トラフィックに対して、適用されることを指定しています。

次の例では、保護されたネットワーク上のホストへの Java アプレットのダウンロードをブロックしています。

hostname(config)# filter java http 192.168.3.3 255.255.255.255 0 0
 

このコマンドは、ホスト 192.168.3.3 による Java アプレットのダウンロードをブロックします。

このコンフィギュレーションを削除するには、次の例で示すように、コマンドの no 形式を使用します。

hostname(config)# no filter java http 192.168.3.3 255.255.255.255 0 0
 

外部サーバによる URL および FTP 要求のフィルタリング

この項では、外部サーバを使用して URL および FTP 要求をフィルタリングする方法について説明します。ここでは、次の項目について説明します。

「URL フィルタリングの概要」

「フィルタリング サーバの指定」

「コンテンツ サーバ応答のバッファリング」

「サーバ アドレスのキャッシング」

「HTTP URL のフィルタリング」

「HTTPS URL のフィルタリング」

「FTP 要求のフィルタリング」

URL フィルタリングの概要

フィルタリングは、セキュリティの高いネットワークからセキュリティの低いネットワークに発信される接続要求に対して適用できます。ACL を使用して特定のコンテンツ サーバに対する発信アクセスを禁止することはできますが、サイズおよびインターネットのダイナミックな性質により、このような手段で使用方法を管理することは困難です。次のインターネット フィルタリング製品のいずれかを実行する別個のサーバを使用することにより、コンフィギュレーションを簡素化し、セキュリティ アプライアンスのパフォーマンスを向上できます。

HTTP、HTTPS、および FTP フィルタリング用の Websense Enterprise

HTTP フィルタリング専用の N2H2 Sentian(Sentian の一部のバージョンは HTTPS をサポートしますが、セキュリティ アプライアンスでは、Sentian による HTTP フィルタリングだけがサポートされています)

セキュリティ アプライアンスのパフォーマンスへの影響は、外部サーバを使用した方が小さくなりますが、フィルタリング サーバがセキュリティ アプライアンスから離れている場合は、Web サイトまたは FTP サーバへのアクセス時間が長くなることもあります。

フィルタリングがイネーブルで、コンテンツを求める要求がセキュリティ アプライアンスを経由して送信された場合、その要求はコンテンツ サーバとフィルタリング サーバに同時に送信されます。フィルタリング サーバがその接続を許可した場合、セキュリティ アプライアンスはコンテンツ サーバからの応答を発信元クライアントに転送します。フィルタリング サーバがその接続を拒否した場合、セキュリティ アプライアンスは応答をドロップし、接続が成功しなかったことを示すメッセージまたはリターン コードを送信します。

セキュリティ アプライアンス上でユーザ認証がイネーブルの場合、セキュリティ アプライアンスはフィルタリング サーバにユーザ名も送信します。フィルタリング サーバは、ユーザ固有のフィルタリング設定を使用したり、使用方法に関する高度なレポートを提供したりすることができます。

フィルタリング サーバの指定

コンテキストごとに最大 4 つのフィルタリング サーバを指定できます。セキュリティ アプライアンスは、1 つのサーバが応答するまで、それらのサーバを順番に使用します。コンフィギュレーション内に設定できるサーバのタイプは、1 つだけ(Websense または N2H2)です。


filter コマンドを使用して HTTP または HTTPS のフィルタリングを設定する前に、フィルタリング サーバを追加する必要があります。コンフィギュレーションからフィルタリング サーバを削除すると、filter コマンドもすべて削除されます。


url-server コマンドを次のように使用して、フィルタリング サーバのアドレスを指定します。

Websense の場合は次のとおりです。

hostname(config)# url-server (if_name) host local_ip [timeout seconds] [protocol TCP | UDP version 1|4 [connections num_conns] ]
 

N2H2 の場合は次のとおりです。

hostname(config)# url-server (if_name) vendor n2h2 host local_ip[:port number] [timeout seconds] [protocol TCP connections number | UDP [connections num_conns]]
 

if_name には、フィルタリング サーバに接続されているセキュリティ アプライアンス インターフェイスの名前を指定します(デフォルトは inside です)。 local_ip には、フィルタリング サーバの IP アドレスを指定します。 seconds には、セキュリティ アプライアンスがフィルタリング サーバへの接続試行を継続する秒数を指定します。


) デフォルト ポートは 4005 です。これは、N2H2 サーバが TCP または UDP でセキュリティ アプライアンスと通信するために使用するデフォルト ポートです。デフォルト ポートの変更方法については、『Filtering by N2H2 Administrator's Guide』を参照してください。


たとえば、1 つの Websense フィルタリング サーバを指定するには、次のコマンドを入力します。

hostname(config)# url-server (perimeter) host 10.0.1.1 protocol TCP version 4
 

これは、セキュリティ アプライアンスの境界インターフェイス上の、IP アドレス 10.0.1.1 を持つ Websense フィルタリング サーバを指定しています。この例でイネーブルになっている version 4 は、キャッシュをサポートするため、Websense によって推奨されています。

冗長 N2H2 Sentian サーバを指定するには、次のコマンドを入力します。

hostname(config)# url-server (perimeter) vendor n2h2 host 10.0.1.1
hostname(config)# url-server (perimeter) vendor n2h2 host 10.0.1.2
 

これは、2 つの Sentian フィルタリング サーバを指定しています。どちらもセキュリティ アプライアンスの境界インターフェイス上にあります。

コンテンツ サーバ応答のバッファリング

ユーザがコンテンツ サーバへの接続要求を発行した場合、その要求は、セキュリティ アプライアンスによって、コンテンツ サーバとフィルタリング サーバの両方に同時に送信されます。フィルタリング サーバがコンテンツ サーバより早く応答しなかった場合、サーバ応答はドロップされます。これにより、Web クライアント側の視点で Web サーバ応答が表示されます。これは、クライアントが要求を再発行する必要があるためです。

HTTP 応答バッファをイネーブルにすると、Web コンテンツ サーバからの応答はバッファリングされ、フィルタリング サーバによって接続が許可された場合に、要求クライアントに転送されます。これにより、バッファリングしない場合に発生する可能性のある遅延が回避されます。

HTTP 要求または FTP 要求に対する応答のバッファリングを設定するには、次の手順を実行します。


ステップ 1 次のコマンドを入力して、フィルタリング サーバからの応答が保留中である、HTTP 要求または FTP 要求に対する応答のバッファリングをイネーブルにします。

hostname(config)# url-block block block-buffer-limit
 

block-buffer-limit に、バッファリングするブロックの最大数を指定します。


) 1159 バイトより長い URL のバッファリングは、Websense フィルタリング サーバに限りサポートされています。


ステップ 2 次のコマンドを入力して、保留中 URL バッファリング(および Websense による長い URL バッファリング)用の最大使用可能メモリを設定します。

hostname(config)# url-block url-mempool memory-pool-size
 

最大メモリ割り当ての 2 KB ~ 10 MB に相当する 2 ~ 10240 の範囲の値を、 memory-pool-size に指定します。


 

サーバ アドレスのキャッシング

ユーザがサイトにアクセスすると、フィルタリング サーバはセキュリティ アプライアンスに対して、サーバ アドレスを一定時間キャッシュすることを許可できます。ただし、そのアドレスでホストされているサイトはいずれも、常に許可されるカテゴリに属している必要があります。これにより、そのユーザがそのサーバに再度アクセスするか、別のユーザがそのサーバにアクセスしたときに、セキュリティ アプライアンスがフィルタリング サーバに再度照会する必要がなくなります。


) キャッシュされた IP アドレス要求は、フィルタリング サーバに渡されず、記録もされません。そのため、このアクティビティはどのレポートにも表示されません。url-cache コマンドを使用する前に、Websense 実行ログを蓄積できます。


スループットを高める必要がある場合は、url-cache コマンドを使用して、次のように入力します。

hostname(config)# url-cache dst | src_dst size
 

範囲 1 ~ 128(KB)のキャッシュ サイズの値を、 size に指定します。

dst キーワードを使用して、URL 宛先アドレスに基づいて、エントリをキャッシュします。このモードは、すべてのユーザが Websense サーバ上で同一の URL フィルタリング ポリシーを共有している場合に選択します。

src_dst キーワードを使用して、URL 要求を開始した送信元アドレスと URL 宛先アドレスの両方に基づいて、エントリをキャッシュします。このモードは、ユーザが Websense サーバ上で同じ URL フィルタリング ポリシーを共有していない場合に選択します。

HTTP URL のフィルタリング

この項では、外部フィルタリング サーバを使用する HTTP フィルタリングを設定する方法について説明します。ここでは、次の項目について説明します。

「HTTP フィルタリングの設定」

「長い HTTP URL のフィルタリングのイネーブル化」

「長い HTTP URL の切り捨て」

「トラフィックに対するフィルタリングの免除」

HTTP フィルタリングの設定

HTTP フィルタリングをイネーブルにする前に、URL フィルタリング サーバを指定し、イネーブルにする必要があります。

フィルタリング サーバが HTTP 接続要求を承認した場合、セキュリティ アプライアンスは Web サーバからの応答が発信元クライアントに到達することを許可します。フィルタリング サーバが要求を拒否した場合、セキュリティ アプライアンスは、ユーザをブロック ページにリダイレクトし、アクセスが拒否されたことを示します。

HTTP フィルタリングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# filter url [http | port[-port] local_ip local_mask foreign_ip foreign_mask] [allow] [proxy-block]
 

HTTP(80)のデフォルト ポートとは異なるポートが使用されている場合は、1 つまたは複数のポート番号を、 port に指定します。 local_ip local_mask には、要求を行うユーザまたはサブネットワークの IP アドレスとサブネット マスクを指定します。 foreign_ip foreign_mask には、要求に応答するサーバまたはサブネットワークの IP アドレスとサブネット マスクを指定します。

allow オプションは、一次フィルタリング サーバが利用できないときに、セキュリティ アプライアンスがフィルタリングせずに HTTP トラフィックを転送するようにします。 proxy-block コマンドを使用して、プロキシ サーバへの要求をすべてドロップします。

長い HTTP URL のフィルタリングのイネーブル化

デフォルトでは、セキュリティ アプライアンスは、1159 文字を超える HTTP URL を長い URL と見なします。Websense サーバの場合、最大許容長を大きくすることができます。

(Websense のみ)次のコマンドを使用して、1 つの URL の最大サイズを設定します。

hostname(config)# url-block url-size long-url-size
 

最大 2 ~ 4 KB の URL サイズに相当する 2 ~ 4 の範囲の値を、 long-url-size に指定します。デフォルト値は 2 です。

長い HTTP URL の切り捨て

デフォルトでは、URL が最大許容サイズを超えると、その URL はドロップされます。これを回避するには、次のコマンドを入力して、長い URL を切り捨てるようにセキュリティ アプライアンスを設定します。

hostname(config)# filter url [longurl-truncate | longurl-deny | cgi-truncate]
 

longurl-truncate オプションを指定すると、セキュリティ アプライアンスは URL が最大許容長よりも長い場合に、URL のホスト名または IP アドレス部分だけを、評価のためにフィルタリング サーバに送信します。longurl-deny オプションは、URL が最大許容長よりも長い場合、発信 URL トラフィックを拒否します。

パラメータは含まずに CGI スクリプトの場所とスクリプト名だけを含むよう CGI URL を切り捨てるには、cgi-truncate オプションを使用します。長い HTTP 要求のほとんどは、CGI 要求です。パラメータ リストが非常に長い場合は、パラメータ リストを含む完全な CGI 要求を待機および送信することにより、メモリ リソースが使い果たされ、ファイアウォールのパフォーマンスに影響します。

トラフィックに対するフィルタリングの免除

特定のトラフィックに対してフィルタリングを免除するには、次のコマンドを入力します。

hostname(config)# filter url except source_ip source_mask dest_ip dest_mask
 

たとえば、次のコマンドは、10.0.2.54 からの HTTP 要求を除くすべての HTTP 要求がフィルタリング サーバに転送されるように設定しています。

hostname(config)# filter url http 0 0 0 0
hostname(config)# filter url except 10.0.2.54 255.255.255.255 0 0
 

HTTPS URL のフィルタリング

HTTPS フィルタリングをイネーブルにする前に、URL フィルタリング サーバを指定し、イネーブルにする必要があります。


) HTTPS URL のフィルタリングは、Websense フィルタリング サーバに対してだけサポートされています。


HTTPS コンテンツは暗号化されているため、セキュリティ アプライアンスは、ディレクトリおよびファイル名の情報を付けずに URL ルックアップを送信します。フィルタリング サーバが HTTPS 接続要求を承認した場合、セキュリティ アプライアンスは SSL 接続ネゴシエーションの完了を許可し、Web サーバからの応答が発信元クライアントに到達することを許可します。フィルタリング サーバが要求を拒否した場合、セキュリティ アプライアンスは SSL 接続ネゴシエーションの完了を許可しません。ブラウザに、「The Page or the content cannot be displayed.」のようなエラー メッセージが表示されます。


) セキュリティ アプライアンスは、HTTPS 用の認証プロンプトを表示しないため、ユーザは HTTPS サーバにアクセスする前に、HTTP または FTP を使用してセキュリティ アプライアンスで認証を受ける必要があります。


HTTPS フィルタリングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# filter https port localIP local_mask foreign_IP foreign_mask [allow]
 

HTTPS(443)のデフォルト ポートとは異なるポートが使用されている場合は、ポート番号を port に指定します。 local_ip local_mask には、要求を行うユーザまたはサブネットワークの IP アドレスとサブネット マスクを指定します。 foreign_ip foreign_mask には、要求に応答するサーバまたはサブネットワークの IP アドレスとサブネット マスクを指定します。

allow オプションは、一次フィルタリング サーバが利用できないときに、セキュリティ アプライアンスがフィルタリングせずに HTTPS トラフィックを転送するようにします。

FTP 要求のフィルタリング

FTP フィルタリングをイネーブルにする前に、URL フィルタリング サーバを指定し、イネーブルにする必要があります。


) FTP URL のフィルタリングは、Websense フィルタリング サーバに対してだけサポートされています。


フィルタリング サーバが FTP 接続要求を承認した場合、セキュリティ アプライアンスは、成功を示す FTP リターン コードが発信元クライアントに到達することを許可します。たとえば、成功を示すリターン コードは「250: CWD command successful」です。フィルタリング サーバが要求を拒否した場合、FTP リターン コードは接続が拒否されたことを示すように変更されます。たとえば、セキュリティ アプライアンスの場合、コード 250 を「550 Requested file is prohibited by URL filtering policy」に変更します。

FTP フィルタリングをイネーブルにするには、次のコマンドを入力します。

hostname(config)# filter ftp port localIP local_mask foreign_IP foreign_mask [allow] [interact-block]
 

FTP(21)のデフォルト ポートとは異なるポートが使用されている場合は、ポート番号を port に指定します。 local_ip local_mask には、要求を行うユーザまたはサブネットワークの IP アドレスとサブネット マスクを指定します。 foreign_ip foreign_mask には、要求に応答するサーバまたはサブネットワークの IP アドレスとサブネット マスクを指定します。

allow オプションは、一次フィルタリング サーバが利用できないときに、セキュリティ アプライアンスがフィルタリングせずに HTTPS トラフィックを転送するようにします。

完全なディレクトリ パスを提供しない対話型の FTP セッションをブロックするには、interact-block オプションを使用します。対話型の FTP クライアントでは、ユーザが完全なパスを入力せずにディレクトリを変更できます。たとえば、ユーザは cd /public/files ではなく cd ./files と入力できます。

フィルタリング統計情報とフィルタリング設定の表示

この項では、フィルタリング統計情報を監視する方法について説明します。ここでは、次の項目について説明します。

「フィルタリング サーバ統計情報の表示」

「バッファ コンフィギュレーションと統計情報の表示」

「キャッシュ統計情報の表示」

「フィルタリング性能統計情報の表示」

「フィルタリング コンフィギュレーションの表示」

フィルタリング サーバ統計情報の表示

フィルタリング サーバの情報を表示するには、次のコマンドを入力します。

hostname# show url-server
 

次に、 show url-server コマンドの出力例を示します。

hostname# show url-server
url-server (outside) vendor n2h2 host 128.107.254.202 port 4005 timeout 5 protocol TCP
 

フィルタリング サーバの情報または統計情報を表示するには、次のコマンドを入力します。

次に、 show url-server stats コマンドの出力例を示します。このコマンドでは、フィルタリング統計情報が表示されます。

hostname# show url-server stats
URL Server Statistics:
----------------------
Vendor websense
URLs total/allowed/denied 50/35/15
HTTPSs total/allowed/denied 1/1/0
FTPs total/allowed/denied 3/1/2
 
URL Server Status:
------------------
10.130.28.18 UP
 
URL Packets Sent and Received Stats:
-----------------------------------
Message Sent Received
STATUS_REQUEST 65155 34773
LOOKUP_REQUEST 0 0
LOG_REQUEST 0 NA
-----------------------------------
 

バッファ コンフィギュレーションと統計情報の表示

show url-block コマンドは、url-block バッファにあるパケット数、およびバッファ上限を超えたためまたは再送信のためにドロップされたパケット数(ある場合)を表示します。

次に、 show url-block コマンドの出力例を示します。

hostname# show url-block
url-block url-mempool 128
url-block url-size 4
url-block block 128
 

これは、URL ブロック バッファのコンフィギュレーションを示しています。

次に、 show url-block block statistics コマンドの出力例を示します。

hostname# show url-block block statistics
 
URL Pending Packet Buffer Stats with max block 128
-----------------------------------------------------
Cumulative number of packets held: 896
Maximum number of packets held (per URL): 3
Current number of packets held (global): 38
Packets dropped due to
exceeding url-block buffer limit: 7546
HTTP server retransmission: 10
Number of packets released back to client: 0
 

これは、URL ブロック統計情報を示しています。

キャッシュ統計情報の表示

次に、 show url-cache stats コマンドの出力例を示します。

hostname# show url-cache stats
URL Filter Cache Stats
----------------------
Size : 128KB
Entries : 1724
In Use : 456
Lookups : 45
Hits : 8
 
This shows how the cache is used.

フィルタリング性能統計情報の表示

次に、 show perfmon コマンドの出力例を示します。

hostname# show perfmon
PERFMON STATS: Current Average
Xlates 0/s 0/s
Connections 0/s 2/s
TCP Conns 0/s 2/s
UDP Conns 0/s 0/s
URL Access 0/s 2/s
URL Server Req 0/s 3/s
TCP Fixup 0/s 0/s
TCPIntercept 0/s 0/s
HTTP Fixup 0/s 3/s
FTP Fixup 0/s 0/s
AAA Authen 0/s 0/s
AAA Author 0/s 0/s
AAA Account 0/s 0/s
 

これは、URL フィルタリング性能統計情報とその他の性能統計情報を示しています。フィルタリング統計情報は URL Access 行および URL Server Req 行に表示されます。

フィルタリング コンフィギュレーションの表示

次に、 show filter コマンドの出力例を示します。

hostname# show filter
filter url http 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0