Contents

関連トピック

WebBlocker のベスト プラクティスとトラブルシューティング

WebBlocker のベストプラクティス

これらのベストプラクティスに従って、WebBlocker の効率とパフォーマンスを最適化します。

Websense か SurfControl か?

WatchGuard は大多数のネットワークに Websense Cloud を使用することを推奨します。Websense クラウドは、Websense が提供する URL分類データベースで、100 種類を超えるコンテンツ カテゴリが存在します。Websense クラウドは、世界中のユーザーに素早く対応するため、グローバルに配布されたサーバーを提供します。レイテンシーが高い接続では、Websense 検索のパフォーマンスが劣化する可能性があります。

54 カテゴリがある SurfControl URL 分類データベースをホストするローカル WatchGuard WebBlocker Server を使用することもできます。このデータベースのカテゴリは制限されており、ローカル ネットワーク内に WebBlocker server をインストールする必要があります。XTM-33 や Firebox T10 など小型のデバイスは、WatchGuard によってホストされている WebBlocker server に任意で接続できます。

の上部で

アウトバウンド HTTP と HTTP プロキシに WebBlocker を使用します。また、TCP-UDP プロキシで WebBlocker を使用して、80 および 443 以外のポートのサイトを分類できます。

例外について

最良のパフォーマンスのために、WatchGuard は正規表現で WebBlocker 例外を定義することを推奨します。パターン マッチまたは完全一致を使用する際、各サイトを評価する前に、Firebox デバイスはこれを正規表現に変換する必要があります。正規表現を使用する際にこのステップは必要ではなく、WebBlocker 検索がより迅速になります。詳細および構成の方法については、ナレッジベースの記事 プロキシ定義で正規表現を使用する を参照してください。

WebBlocker は、HTTP 要求にクエリ文字列 (疑問符の後に続くすべてのテキスト) を評価しません。HTTP プロキシの URL パス構成を使って特定のクエリを拒否できます。HTTP プロキシを使って特定のパスに関する詳細については、次を参照してください:HTTP 要求:URL パス

非標準ポートのトラフィックに対して WebBlocker 例外を作成するには、ナレッジベースの記事 非標準ポート上のトラフィックに WebBlocker 例外を追加する を参照してください。

HTTP プロキシ例外または WebBlocker 例外

WebBlocker を使って HTTP プロキシ ポリシーを構成する際、HTTP プロキシ例外は、ユーザーがプロキシ経由で取得するサイトのコンテンツにのみ適用されることを理解することが重要です。WebBlocker 例外はサイトが WebBlocker によってブロックされるかどうかにのみ影響します。

サイトの HTTP プロキシ例外により WebBlocker がそのサイトをブロックするのが阻止されることはなく、WebBlocker 例外は HTTP プロキシ アクションがユーザーが受信したコンテンツを変更または削除するかどうかに影響しません。

特定の Web サイトのみへのアクセスを許可する

ユーザーに HTTP プロキシのある特定のサイトのみへのアクセスを許可しようと計画している場合、WebBlocker を使用する必要はありません。HTTP 要求で特定のパスのみを許可するように HTTP プロキシを構成することができます。詳細については、次を参照してください:HTTP 要求:URL パス

コンテンツ インスペクションなしの WebBlocker over HTTPS

WebBlocker は、証明書交換中に Server Name Indication (SNI) と 一般名 (CN) フィールドの両方を検査し、Web アドレスを決定します。これにより、WebBlocker は正常にブロックまたは許可する Web サイトのドメインとサブドメインを識別できます。

サーバー選択および DNS

Websense を使って WebBlocker のパフォーマンスを最適化するには、ナレッジベースの記事 Websense Performance を使って WebBlocker を最適化する を参照してください。

URL 検索のための WebBlocker 接続

WebBlocker with Websense は、URL 分類のため、世界中にある 15 箇所の Websense データセンターの 1 つに対して HTTP 接続を作成します。

WebBlocker with SurfControl は、URL 分類のために UDP 5003 接続を構成済みのローカル WebBlocker Server に作成します。

詳細については、次を参照してください:ブロックする WebBlocker カテゴリを変更する

WebBlocker のトラブルシューティング

WebBlocker は、トラブルシューティングに便利なログ メッセージを生成できます。WebBlocker に拒否されたサイトのログ メッセージが見つからない場合は、HTTP プロキシ アクションで使用されている WebBlocker アクションで、ログ記録が有効化されていることを確認します。

WebBlocker アクションでログ記録を有効化するには、以下の手順を実行します:

  1. HTTP プロキシ アクションで使用されている WebBlocker アクションを編集します。
  2. WebBlocker アクションで、カテゴリ タブを選択します。
  3. 実行するアクション セクションで、このアクションをログ記録する チェックボックスを選択します。

詳細については、次を参照してください:ブロックする WebBlocker カテゴリを変更する

WebBlocker の問題をトラブルシューティングするには、まず問題の範囲を理解しておく必要があります:

  • 特定のサイトのみに影響するか、すべての web トラフィックに影響するか?
  • サイトが誤ってブロックまたは許可されていることによる問題かどうか。

特定のサイトのみに影響する問題

いくつかのサイトが誤ってブロックされている、あるいはブロックされていないと思った場合、いくつか考えられる原因があります:

  1. これは、サイトが想定されたカテゴリと一致しない場合に発生します。サイトが当てはまるカテゴリが何かをテストする方法、および変更を提案する方法の詳細については、WatchGuard セキュリティ ポータル をご覧ください。カテゴリ全体の処理方法を変更したくない場合は、いつでも WebBlocker 例外を作成してサイトをブロックまたは許可できることを覚えておいてください。

カテゴリに基づいてサイトが許可または拒否されたとき、トラフィック ログに次のようなメッセージが含まれることがあります:

Allow 1-Trusted 0-External tcp 10.0.1.2 50.16.210.117 50790 80msg="ProxyAllow:HTTP Request categories" proxy_act="HTTP-Client.2" cats="Reference Materials" op="GET"dstname="www.walkscore.com" arg="/" (HTTP-proxy-00)

  1. これは、HTTP プロキシに対して WebBlocker を有効化していない場合に発生します。HTTPS 上でアクセスされる Web サイトはブロックされません。
  2. これは、HTTPS に対して WebBlocker が有効化されているにもかかわらず、それらの HTTPS プロキシ アクションでコンテンツ インスペクションは使用しない場合に発生します。詳細については、この既知の問題を参照してください:WebBlocker は、ワイルドカード証明書を使って HTTPS サイトをブロックできない可能性があります。
  3. SurfControl によるインストールされた WebBlocker Server を使用する場合、正しい分類のためにデータベースを最新の状態に保っておく必要があります。バージョン 11.6 以降の WatchGuard System Manager では、自動アップデートが規定で有効化されています。自動アップデートを受け取るには、WebBlocker Server がインストールさているコンピュータは ポート 5003 の TCP と UDP 両方でアウトバウンドに接続できなければなりません。

すべてのサイトに影響する問題

すべてのユーザー トラフィックが許可されているか、またはすべてのトラフィックが拒否される場合、考えられる理由がいくつかあります:

  1. ポリシー構成が正しくない。WebBlocker アクションについて、ユーザー Web トラフィックが正しい HTTP、HTTPS、または TCP-UDP プロキシ ポリシーによって処理されていることを確認してください。
  2. WebSense Cloud for WebBlocker を使用している場合、Firebox デバイスがサーバーにアクセスできないか、または迅速な応答を得られない可能性があります。WebSense の一般的な接続問題を解決する詳しい方法については、Websense パフォーマンスで WebBlocker を最適化する を参照してください。
  3. WatchGuard System Manager と共にローカル WebBlocker server を使用している場合、サーバーが稼動しており応答できることを確認してください。

WebBlocker server が非アクティブか、または WebBlocker の構成の IP アドレスが正しくない場合、次のようなログ メッセージが表示されます:

Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.23 23.21.224.150 60921 80 msg="ProxyDeny: HTTP Service unavailable" proxy_act="HTTP-Client.1" service="WebBlocker.1" details="Webblocker server is not available" (HTTP-proxy-00)

関連情報

WebBlocker を構成する

WebBlocker 例外ルールをインポートまたはエクスポートする

WebBlocker を開始する(Web)

フィードバックの送信     サポートのリクエスト     全製品ドキュメント     技術検索

© 2018 WatchGuard Technologies, Inc. All rights reserved.W WatchGuard、WatchGuard ロゴ、WatchGuard Dimension、Firebox、Core、Fireware および LiveSecurity は、米国および他の国における WatchGuard Technologies の登録商標または商標です.