WebBlocker 例外を構成する

特定の Web サイトへのアクセスを、そのコンテンツ カテゴリにかかわらず WebBlocker で常に許可または拒否したい場合は、その Web サイトの WebBlocker 例外を追加します。WebBlocker 例外は、URL との完全一致、URL のパターン マッチ、または正規表現として追加することができます。

WebBlocker が WebBlocker Server に送信する分類要求には、クエリ文字列 (? で始まる URL の冒頭部分) は含まれません。これは、特定のクエリを拒否する WebBlocker 例外は作成できないという意味です。

完全一致

完全一致では、各文字が正確に一致する URL または IP アドレスが検索されます。ワイルドカードを使用することはできません。一致を検索する各文字を正確に入力する必要があります。たとえば、www.yahoo.com に完全一致する場合のみ許可する例外を作成した場合は、ユーザーが「www.yahoo.com/news」と入力すると、その要求は拒否されます。

パターン マッチ

パターン マッチとは、www.pattern.com の「pattern」など、URL または IP アドレス内のパターンとの一致です。必ず先頭の「http://」を省略し、末尾に「/*」を付けてください。任意の文字の一致を検索するには、ワイルドカード記号 * を使用します。1 つのパターン内で、複数のワイルドカードを使用することができます。たとえば、www.somesite.com/* というパターンは、www.somesite.com Web サイト上のすべての URL パスに一致します。ネットワーク アドレスを入力するには、末尾にワイルドカードを付けたパターン一致を使用します。たとえば、ポート 8080 の 1.1.1.1 にあるすべての Web サイトに一致させるには、ディレクトリを「*」 に設定します。

正規表現

正規表現による一致では、Perl 互換の正規表現を使用して一致が検索されます。たとえば、\.onceorgtm は、.org、.net、.com など、角かっこに囲まれた任意の 3 文字の組み合わせのうち 1 文字との一致が検索されます。URL パスと一致する正規表現を作成する場合は、先頭の「 http:// 」を省略してください。正規表現では、シェル スクリプトでのワイルドカードの使用がサポートされています。例:

• (www\.)?watchguard\.[com|net] という正規表現は、www.watchguard.com、www.watchguard.net、watchguard.com、watchguard.net などの URL パスに一致します。

• 1.1.1.[1-9] という正規表現は、1.1.1.1～1.1.1.9 のすべての IP アドレスと一致します。

正規表現は、CPU 使用率という点でパターン マッチよりも効率的です。最高のパフォーマンスを実現するため、複数の WebBlocker 例外が構成される場合、例外にはパターン一致ではなく正規表現を使用するよう推奨します。パターン一致と同等の正規表現を作成することができます。たとえば、 *.hostname.com/* というパターン マッチは、^[0-9a-zA-Z\-\_.]{1,256}hostname\.com という正規表現と同等です。

正規表現の詳細については、正規表現について を参照してください。

WebBlocker 例外の種類

2 種類の WebBlocker 例外を構成することができます。

WebBlocker アクション例外

WebBlocker アクション例外は、各 WebBlocker アクションの 例外 タブで構成します。これらの例外は、定義されている WebBlocker アクションにのみ適用され、他の WebBlocker アクションでは使用されません。

グローバル WebBlocker 例外

グローバル WebBlocker 例外は、WebBlocker グローバル設定 で構成します。グローバル例外は複数の WebBlocker アクションに適用することができます。そのため、同じ例外を複数のアクションに追加する必要がありません。

各 WebBlocker アクションにおいて、WebBlocker グローバル設定で定義されているグローバル例外ルールが、アクションでチェックされるようにするかどうかを指定します。詳細については、グローバル例外をチェックして、重複を削除する を参照してください。

グローバル WebBlocker 例外を構成できるのは Fireware v12.3 以降です。

WebBlocker 例外を追加する

WebBlocker 例外を追加するには、以下の手順を実行します：

1. WebBlocker アクションに例外を追加するには、アクションを編集します。
   グローバル WebBlocker 例外を追加するには、WebBlocker グローバル設定 を開きます。
2. 例外 タブを選択します。
   WebBlocker 例外リストが表示されます。
   

Fireware Web UI の WebBlocker アクション例外タブ

Policy Manager の WebBlocker アクション例外タブ

3. 新しい WebBlocker 例外を追加するには、追加 をクリックします。
   

Fireware Web UI の WebBlocker 例外ダイアログ ボックス

Policy Manager の新しい WebBlocker 例外ダイアログ ボックス

4. 名前 テキスト ボックスに、例外の名前を入力します。
5. アクション ドロップダウン リストから、WebBlocker が例外に一致するコンテンツを許可するか、または拒否するかどうかを選択します。
6. 一致の種類 ドロップダウン リストから、パターン マッチ 、完全一致、または 正規表現 を選択します。
7. 種類 ドロップダウン リストから、URL か ホスト IP アドレス (Policy Manager のみ) のいずれかの Web サイトの種類を選択します。
8. 一致させる URL パターン、値、または表現を指定します。
   ホスト IP アドレスを入力する場合、アドレス、ポート、およびディレクトリを入力します。
9. OK をクリックします。
10. OK (Policy Manager) または 保存 (Fireware Web UI) をクリックします。

各例外に対して、WebBlocker 例外リストにあるこれらの設定を構成できます。

• 例外に基づいて WebBlocker がアクションを実行するたびにログ メッセージが送信されるようにするには、該当する例外の ログ チェックボックスを選択します。
• 例外に基づいて WebBlocker がアクションを実行するたびに通知が送信されるようにするには、該当する例外の 通知 チェックボックスを選択します。
• 例外を無効にするけれども、それを構成に保持する場合は、有効化 チェックボックスをクリアします。

グローバル例外をチェックして、重複を削除する

各 WebBlocker アクションにおいて、WebBlocker グローバル設定 で定義されているグローバル例外ルールが、アクションでチェックされるようにするかどうかを指定します。WebBlocker では、常に WebBlocker アクションで定義されている例外が最初にチェックされます。グローバル例外をチェックする オプションが選択されており、URL が WebBlocker アクションで定義されている例外と一致しない場合は、WebBlocker では URL がグローバル例外リストで定義されている例外ルールと照合されます。

グローバル例外をチェックするには、以下の手順を実行します。

1. WebBlocker アクションを編集します。
2. 例外 タブを選択します。
3. グローバル例外をチェックする チェックボックスを選択します。
4. OK (Policy Manager) または 保存 (Fireware Web UI) をクリックします。

WebBlocker アクションで グローバル例外をチェックする チェックボックスが選択されている場合は、WebBlocker アクションと WebBlocker グローバル設定の両方で重複した例外が定義されているかどうかを確認することができます。重複している例外が存在する場合は、WebBlocker アクションから例外を削除することができます。これにより、構成ファイルのサイズを小さくすることができます。

重複している例外を WebBlocker アクションから削除するには、以下の手順を実行します。

1. WebBlocker アクションを編集します。
2. 例外 タブを選択します。
3. グローバル例外をチェックする チェックボックスが選択されていない場合は、これを選択します。
4. 重複をチェックする をクリックします。
   例外の重複ダイアログ ボックスが表示されます。重複している例外が一覧されます。

Fireware Web UI の例外の重複ダイアログ ボックス

Policy Manager の例外の重複ダイアログ ボックス

5. 重複している例外を選択して、WebBlocker アクションから削除します。
   Fireware Web UI で、各例外の 一致する種類 の横にあるチェックボックスを選択します。または、列ヘッダーのチェックボックスを選択して、すべての例外を選択します。
   Policy Manager で、Ctrl または Shift キーを使用して複数の例外を選択します。
   
6. 削除 をクリックします。
   確認メッセージが表示されます。
7. OK (Fireware Web UI) または はい (Policy Manager) をクリックします。
   確認メッセージが表示されます。
8. OK をクリックします。

例外に一致しないサイトのアクションを定義する

例外ルールのリストの下で、構成した例外に URL が一致しない場合のアクションを構成できます。既定では、WebBlocker カテゴリ リストを使用してアクセス可能性を判別する が選択されており、カテゴリ タブで選択したカテゴリに基づいて、WebBlocker でアクセス可能性が判別されます。

カテゴリの代わりに例外ルールを使用して Web サイトへのアクセスを制限するには、Web サイトへのアクセスを拒否する を選択します。

アラーム

Firebox で WebBlocker 例外が拒否された場合にアラームが送信されるようにするには、このオプションを選択します。アラームのパラメータを設定するには、アラーム タブを選択します。アラーム タブのオプションの詳細については、次を参照してください：ログ記録と通知の基本設定を行う。

このアクションをログ記録する

Firebox で WebBlocker 例外が拒否された場合にログ ファイルにメッセージが送信されるようにするには、このオプションを選択します。

Web サイトへのアクセスを拒否する を選択する場合、拒否した URL のログ メッセージを Traffic Monitor で確認できるよう、このアクションをログ記録する チェックボックスを選択します。許可された web サイト内で表示されないコンテンツがあることをユーザーがレポートした場合、ログ メッセージを確認して参照のコンテンツを許可するよう例外を追加する必要があるかを判断します。

許可されたサイトをテストする

Web サイトへの接続を許可するよう WebBlocker 例外を構成した後に、web サイトへの接続をテストして、サイト内のコンテンツが正常に表示されることを確認します。多くの Web サイトでは、他のサイトにあるコンテンツの参照が含まれている、またはコンテンツ配信ネットワーク (CND) を使用してコンテンツをホストしています。WebBlocker が参照コンテンツからのアクセスを拒否すると、ユーザーの Web ブラウザに拒否メッセージが表示されない場合があります。

WebBlocker 例外の順番を変更する

WebBlocker 例外リストでは、WebBlocker 例外の順番により、Firebox でサイト アドレスがルールと比較される順番が決定されます。WebBlocker では、リスト内の最初のルールとサイトのアドレスを比較し、さらに上から下のルールへと順に比較していきます。

グローバル例外をチェックする オプションが選択されている場合は、サイトが WebBlocker アクションの例外ルールと一致しないと、WebBlocker グローバル設定で定義されているグローバル例外ルールが WebBlocker でチェックされます。

サイトアドレスとルールが一致すると、WebBlocker はそのルールに関連付けられたアクションを実行します。リストの下位にあるルールにサイトが一致する場合でも、実行するのはそのアクションだけです。

WebBlocker 例外の順番を変更するには、以下の手順を実行します。

1. 移動する例外ルールを選択します。
2. 上に移動 または 下に移動 ボタンをクリックて、ルールをリストの上または下へ移動します。

Policy Manager で、Firebox 構成から例外をエクスポートして、別の Firebox の構成にインポートすることができます。詳細については、WebBlocker 例外をインポートまたはエクスポートする を参照してください。

関連情報：

WebBlocker を開始する

WebBlocker 例外について