(CFS) 4.0 - SonicWALL

SonicOS 6.2.6 コンテンツフィルタ
サービス (CFS) 4.0
機能ガイド
2016 年 9 月
この機能ガイドでは、 SonicOS 6.2.6 コンテンツフィルタサービス (CFS) リリース 4.0 について説明します。
CFS 4.0 では、教育機関、企業、図書館、政府機関向けにコンテンツフィルタが強化されています。こうした組
織がウェブサイトを制御したり、学生や従業員が IT 部門から支給されたコンピュータを使用して組織のファイ
アウォールの背後からのアクセスを行ったりできるようになります。
トピック:
•
CFS 4.0 の概要
•
CFS 4.0 の機能
•
CFS の比較
•
プラットフォームの互換性
•
製品ライセンス
•
Dell について
補足：本書には、一部の国や地域ではリリースされていないプラットフォーム/バージョンに関する記述が
含まれている場合があります。
CFS 4.0 の概要
CFS 4.0 は、要求されたウェブサイトの内容を、評価済みの何百万という URI、 IP アドレス、ウェブサイトが含
まれている巨大なクラウドデータベースと比較します。また、個別またはグループの ID や時刻に基づいてサイ
トへのアクセスを許可または拒否するポリシーを作成および適用するためのツールを管理者に提供します。 CFS
4.0 は再設計され、性能と使用性が向上しています。
こうした目標を達成するために、重複コードは削除され、 CFS フレームワークおよびワークフローが再設計され
ました。以前のバージョンでは、機能が種別間で分断されていましたが、今回は中央での管理を実現するために
CFS 種別の下で各機能が統合されています。フィルタオプションの精度が向上し、小さなパケットを処理するた
めにコードが改善されています。 CFS 3.0 からのアップグレード方法の詳細については、『SonicOS 6.2.6 コンテ
ンツフィルタサービス (CFS) 4.0 アップグレードガイド』を参照してください。
パケットを処理する際の CFS 4.0 のワークフローは次のとおりです。
1
パケットが到着し、 CFS によって検査されます。
2
CFS は、パケットを設定済みの除外アドレスと照合し、一致する項目が見つかればパケットを許可します。
3
CFS は、ポリシーを確認して、パケット内の以下の条件に一致する最初のポリシーを検索します。
•
送信元ゾーン
•
送信先ゾーン
Dell SonicWALL CFS 4.0
機能ガイド
1
•
アドレスオブジェクト
•
ユーザ/グループ
•
スケジュール
•
有効状態
4
CFS は、一致したポリシーで定義されている CFS プロファイルオブジェクトを用いてフィルタリングを行
い、そのパケットに対応する操作を返します。
5
CFS は、一致したポリシーの CFS 動作オブジェクトで定義されている動作を実行します。
6
一致するポリシーが存在しない場合は、 CFS による動作なしでパケットが通過します。
CFS 4.0 の機能
CFS 4.0 の新しい機能と拡張機能を以下に示します。
•
CFS 設定 (グローバル設定、除外、ユーザ定義種別設定、詳細設定を含む)
•
CFS のユーザ定義種別
•
CFS ポリシーの設計
•
URI リストオブジェクト
•
•
URI リストオブジェクトのインポートとエクスポート
•
URI リストオブジェクトの照合 (ワイルドカードマッチングを含む)
•
CFS URI リストオブジェクトの使用
動作オブジェクト
•
CFS パスワード
•
CFS 確認
•
CFS 帯域幅管理
•
プロファイルオブジェクト
•
CFS ログ
CFS 設定
CFS 4.0 は、フィルタパラメータの定義に役立つ多数の設定を利用しています。ほとんどの設定は「コンテンツ
フィルタ」ページにありますが、新規プロファイルの作成時には詳細設定が CFS ポリシー内でネストされていま
す。表 1 に、そうした設定がどのように定義されていて、ツール内のどこにあるかを示します。
Dell SonicWALL CFS 4.0
機能ガイド
2
表 1. CFS 向けの設定 4.0
種別と場所
設定
定義
グローバル設定
「セキュリティサービス > 最大 URL キャッシュ
コンテンツフィルタ」の (登録数)
「グローバル設定」とい
うセクションに移動
コンテンツフィルタ
サービスを有効にする
キャッシュされる URL エントリの最大数を定義します。
キャッシュされる URL エントリには URL 評価結果が保
存されるため、 SonicOS は既知の URL の評価をバックエ
ンドサーバに問い合わせる必要がありません。 CFS 3.0
ではキャッシュがサイズ指定でしたが、 CFS 4.0 ではエ
ントリの最大数に変更されています。
既定では、すべてのパケットでコンテンツフィルタが
有効になっています。すべてのパケットでコンテンツ
フィルタをバイパスするには、このオプションをオフに
します。
HTTPS コンテンツフィオンになっている場合、クライアント "hello" からサー
ルタを有効にする:
バ名の取得を試みます。それに失敗した場合は、 SSL 証
明書からコモンネームを取得し、続いて評価を取得しよ
うとします。どちらの試みにも失敗してサーバ名もコモ
ンネームを取得できなかった場合は、 IP アドレスを使用
して評価を検索します。
サーバが利用不可の場合指定された時間内に CFS サーバが評価要求に応答できな
に遮断する
い場合に、この要求を許可するか禁止するかを定義しま
す。システムの既定値は 5 秒です。異なる値を「サーバ
タイムアウト」フィールドに入力できます。
CFS 除外
「セキュリティサービス > 管理者を除外する
コンテンツフィルタ」の
「CFS 除外」というセク
ションに移動
除外アドレス
オンになっている場合、管理者権限を持つアカウントか
らのすべての要求でコンテンツフィルタをバイパスし
ます。
「除外アドレス」リストで選択されているアドレスオブ
ジェクトからのすべての要求でコンテンツフィルタをバ
イパスします。
CFS のユーザ定義種別
「セキュリティサービス > CFS ユーザ定義種別を有
コンテンツフィルタ」の効にする
「CFS のユーザ定義種
別」というセクションに
移動
特定の URL について種別をカスタマイズできます。 CFS
は URL の評価を確認する際に、まずユーザ評価を確認し
てから、 CFS バックエンドサーバの評価を確認します。
最大 10,000 件のユーザ定義種別エントリがサポートさ
れます。
ドメインのユーザ定義種別の定義方法の詳細について
は、 CFS のユーザ定義種別を参照してください。
詳細設定
Dell SonicWALL CFS 4.0
機能ガイド
3
表 1. CFS 向けの設定 4.0
種別と場所
設定
定義
「セキュリティサービス >
コンテンツフィルタ」の
「CFS ポリシー」というセ
クションに移動して「追
加... > 新規プロファイル
の作成 > 詳細」を選択
埋め込み URL に対してスオンになっている場合、 Google 翻訳
マートフィルタを有効に (https://translate.google.com) 内の埋め込み URL を検
する
出し、埋め込み URL もフィルタリングします。クライア
ント DPI-SSL も有効である必要があります。
セーフサーチ強制を有効以下のいずれかのウェブサイトの検索時に、セーフサー
にする
チを適用します。
•
www.yahoo.com
•
www.ask.com
•
www.dogpile.com
•
www.lycos.com
ウェブサイトが HTTPS を使用している場合は、クライ
アント DPI-SSL も有効になっている必要があります。
Google セーフサーチ強オンになっている場合、各 CFS ポリシーとそれに対応す
制を有効にする
る CFS 動作内で、 Google に対するセーフサーチオプ
ションをオーバーライドします。セーフサーチは通常、
自動的に発生し、 Google によって実行されますが、この
オプションをオンにすると、 SonicOS は DNS 応答の中の
Google ドメインを、 Google セーフサーチ仮想 IP アドレ
スに書き換えます。
補足: この機能は、クライアントホストの DNS が再表示
された後にしか有効になりません。
YouTube 制限付きモードオンになっている場合、 YouTube にセーフティモードで
を有効にする
アクセスします。 YouTube では、ユーザやその他の警告
によって報告された不適切なコンテンツを含む可能性の
ある動画を除外する新機能が提供されています。
補足: この機能は、クライアントホストの DNS が再表示
された後にしか有効になりません。
Bing セーフサーチ強制オンになっている場合、各 CFS ポリシーとそれに対応す
を有効にする
る CFS 動作内で、 Bing に対するセーフサーチオプショ
ンをオーバーライドします。
補足: この機能は、クライアントホストの DNS が再表示
された後にしか有効になりません。
CFS のユーザ定義種別
特定のドメインの評価をカスタマイズできます。最大 10,000 件の有効なエントリがサポートされます。 CFS は
ある URL の評価を確認する際に、まずユーザ評価を確認してから、バックエンドサーバの評価を確認します。
ユーザ定義種別は、バックエンドサーバによって提供されるこうした種別と同じようなプロセスです。
ユーザ定義種別を定義するには:
1
「セキュリティサービス > コンテンツフィルタ」に移動し、「CFS のユーザ定義種別」という見出しを
探します。
Dell SonicWALL CFS 4.0
機能ガイド
4
2
「CFS ユーザ定義種別を有効にする」チェックボックスがオンになっていることを確認します。
3
「追加...」を選択します。
4
「ドメイン」フィールドに有効な URI を入力します。
5
その URI に割り当てる種別を最高 4 つまで選択します。
6
「追加」を選択します。カスタマイズされた種別定義を持つドメインのリストがユーザ定義種別テーブ
ルに表示されます。
Dell SonicWALL CFS 4.0
機能ガイド
5
このユーザ定義種別のリストを管理するための追加オプションが用意されています。
•
ユーザ定義種別を削除するには、ドメイン名の横にあるチェックボックスをオンにして「削除」を選択し
ます。
•
「エクスポート」および「インポート」の機能もサポートされています。ベストプラクティスを以下に示
します。
a
一連のドメインを選択し、それらのドメインをファイルにエクスポートします。
b
このファイルをテンプレートとして使用し、情報を更新します。
c
新しいファイルをインポートします。各ファイルは次の形式を反映している必要があります。
<Domain Name>:<Rating1>[,<Rating2>[,<Rating3>[,<Rating4>]]]
各エントリは改行コードまたは行区切り文字で区切られている必要があります。次の区切り文字
がサポートされています。
区切り文字
スタイル
\n
UNIX スタイルの改行文字
\r\n
Windows スタイルの改行文字
\r
Mac OS スタイルの改行文字
•
長いリストから特定のドメインを容易に検索できるように、検索機能がサポートされています。「ドメ
インを文字列で検索」というフィールドに検索文字列を入力します。
•
すべてのユーザ定義種別を削除するには、すべてのエントリを選択して「すべて削除」を選択します。
補足：ウェブサイトの評価に誤りがあると考えられる場合や、新しい URI を登録したい場合は、ウェブ
サイト http://cfssupport.sonicwall.com/Support/web/jp/newui/viewRating.jsp にアクセスして要望を送
信します。
CFS ポリシーの設計
CFS 4.0 ポリシーは、パケットに対して照合が行われるフィルタ条件を定義します。既定のポリシーが提供され
ていますが、独自のポリシーが定義可能です。独自のポリシーを記述する際には、以下のパラメータを定義でき
ます。
•
名前
•
送信元ゾーン
•
送信先ゾーン
•
送信元アドレス
•
ユーザ/グループ
•
スケジュール
•
プロファイル
•
動作
パケットがこれらすべての条件に一致する場合、そのパケットは対応する CFS プロファイルに基づいてフィルタ
リングされ、 CFS 動作が適用されます。詳細については、動作オブジェクトおよびプロファイルオブジェクトを
参照してください。
補足：照合時に使用できるユーザ/グループの認証データがない場合、この条件に対する照合は行われま
せん。特にシングルサインオンが使用される場合は、この方針によってパフォーマンスの問題が回避さ
れます。
各 CFS ポリシーには優先順位レベルがあり、優先順位の高いポリシーがまず確認されます。
Dell SonicWALL CFS 4.0
機能ガイド
6
CFS では、すべての設定済みポリシーを管理するためにポリシーテーブルを内部で使用しています。ポリシー要
素ごとに、設定データと実行時データによってテーブルが構築されています。設定データには、ポリシー名やプ
ロパティなど、ユーザインターフェースからポリシーを定義する場合に使用されるパラメータが含まれていま
す。実行時データには、パケット処理で使用されるパラメータが含まれています。
CFS では、実行時のポリシー検索を高速化するためにポリシー検索テーブルも使用します。現在、この検索テー
ブルには、照合条件として 3 つの要素が含まれています。それらは、送信元ゾーン、送信先ゾーン、アドレス
オブジェクト (ipv4 AO または ipv6 AO) です。
新規ポリシーの追加
新しい CFS ポリシーを追加するには:
1
「セキュリティサービス > コンテンツフィルタ」に移動し、「CFS ポリシー」という見出しを探します。
2
「追加...」を選択します。
3
「CFS ポリシー」ページで、ポリシーの名前を「名前」フィールドに入力します。
4
表示されるリストから「送信元ゾーン」を選択します。
5
表示されるリストから「送信先ゾーン」を選択します。
6
「送信元アドレス」を選択します。そのためには、「新規アドレスの作成」、「すべて」の順に選択
し、「アドレスグループ」および「アドレスオブジェクト」からそれぞれオプションを選択します。
Dell SonicWALL CFS 4.0
機能ガイド
7
7
このポリシーを適用する「ユーザ/グループ」を選択します。既定では「すべて」になっています。
8
ポリシーのスケジュールを設定します。表示されるオプションから選択するか、「新規スケジュールの
作成」を選択します。
9
「プロファイル」を選択します。表示されるオプションから選択するか、「新規プロファイルの作成」
を選択します。新規プロファイルの作成方法の詳細については、プロファイルオブジェクトを参照して
ください。
10
「動作」を選択します。表示されるオプションから選択するか、「新規動作の作成」を選択します。新
規動作の作成方法の詳細については、動作オブジェクトを参照してください。
11 作業が完了したら「追加...」を選択します。
既存ポリシーの管理
CFS ポリシーリストを管理するための追加オプションが用意されています。
•
ポリシーを削除するには、ポリシー名の横にあるチェックボックスをオンにして「削除」を選択します。
•
長いリストから特定のポリシーを容易に検索できるように、検索機能がサポートされています。「ポリ
シーをアドレスで検索:」というフィールドに IP アドレスを入力し、検索ボタンを選択します。 IP アドレ
スについては、 IPv4 と IPv6 のどちらの形式もサポートされています。
•
すべてのポリシーの統計を消去する場合は、「統計の消去」ボタンを選択します。
•
CFS の既定のポリシーを除くすべてのポリシーを削除するには、すべてのエントリを選択して「すべて削
除」を選択します。
•
ポリシーテーブルでは、いくつかのフィールドをマウスでポイントするとその定義がポップアップ表示さ
れます。
•
•
送信元アドレスが「すべて」として定義されていない場合は、送信元アドレス名をマウスでポイ
ントすると、そのアドレスのプロパティが表示されます。
•
「プロファイル」フィールドをマウスでポイントすると、そのポリシーの設定内容が表示されます。
個々のポリシーは、優先順位テーブルの右側にあるアイコンを使用して管理できます (次の図を参照)。
•
ポリシーの優先順位は変更できます。そのためには、上 / 下矢印のアイコンをクリックし、ポップ
アップウィンドウで指定の優先順位を設定します。最も高い優先順位は 1 です。 0 を割り当てる
と、そのポリシーは自動的に最低の優先順位に変更されます。
•
このポリシーの使用を有効にするには、チェックボックスをオンにします。
•
ポリシー統計を表示するには、「統計」アイコンを選択します。このアイコンをマウスでポイン
トすると、そのポリシーのヒット回数を確認できます。
•
このエントリについてのみ統計を消去する場合は、「消去」アイコンを選択します。
•
ポリシーを編集するには、「編集」アイコンを選択します。
•
エントリを削除する場合は、「削除」アイコンを選択します。
Dell SonicWALL CFS 4.0
機能ガイド
8
補足： CFS の既定ポリシーは編集も削除もできません。
すべての CFS オブジェクトにアクセスするには、ポリシーテーブルの下にあるリンクをクリックするか、
「ファイアウォール > コンテンツフィルタオブジェクト」ページに移動します。
URI リストオブジェクト
URI リストオブジェクトは、許可または禁止としてマーク可能な URI またはドメインのリストを定義します。こ
れは以前のバージョンの CFS にあったカスタムリストに代わるものです。 URI リストオブジェクトは追加、編
集、または削除が可能です。このリストは、外部のファイルにエクスポートしたり、別のリストにインポートし
たりすることもできます。これらのオブジェクトは、 SonicOS 管理インターフェースの「ファイアウォール > コ
ンテンツフィルタオブジェクト」ページで設定されます。
補足： URI リストの処理は、 URI の種別よりも優先されます。
URI リストオブジェクトの作成時には次の条件が適用されます。
•
最大で 128 の CFS URI リストオブジェクトを使用できます。
•
各オブジェクト内では、最大 5000 の URI がサポートされます。
•
定義上、 URI とはホストとパスが含まれている文字列です。ポートやその他のコンテンツは現時点ではサ
ポートされていません。
•
IPv4 または IPv6 アドレスの文字列が、 URI のホスト部分としてサポートされています。
•
各 URI は最長 255 文字です。
•
1 つの URI リストオブジェクト内のすべての URI の長さの合計は、 URI 間の各改行 (復帰) コード用の 1
文字を含めて、最大 131,072 (1024*128) 文字です。
•
各 URI には、最大で 16 個のトークンを含むことができます。 URI 内のトークンは、次の文字からなる文
字列です。
0
a
A
$
～ 9
～ z
～ Z
- _ + !' ( ) ,
•
各トークンの長さは、トークンを囲む各区切り文字 (. または /) 用の 1 文字を含めて、最大 64 文字です。
•
1 つ以上の有効なトークンの列を表すワイルドカードとして、アスタリスク (*) が使用できます。
有効な URI の例
無効な URI の例
•
news.example.com
•
news.example.com/path
•
news.example.com/path/abc.txt
•
example*.com
•
news.*.com/*.txt
•
exa*ple.com
•
10.10.10.10
•
example.*.*.com
•
10.10.10.10/path
•
[2001:2002::2003]/path
•
[2001:2002::2003:*:2004]/path/*.txt
ワイルドカード文字 (*) を誤って使用すると、次のよ
うな無効な URI になることがあります。
補足:ワイルドカード文字は、 1 つ以上の文字ではな
く、 1 つ以上のトークンの系列を表します。
Dell SonicWALL CFS 4.0
機能ガイド
9
URI リストオブジェクトのインポートとエクスポート
URI のリストが含まれているファイルをインポートできます。このファイルは、手動で作成することも、以前に
装置からエクスポートされたものを使用することもできます。ファイル内の各 URI の区切りには、次の区切り文
字のいずれかを使用できます。
区切り文字
スタイル
\n
UNIX スタイルの改行文字
\r\n
Windows スタイルの改行文字
\r
Mac OS スタイルの改行文字
ファイル内の最初の 5,000 件の有効な URI だけがインポートされます。無効な URI はスキップされ、 1 つの URI
リストオブジェクトにつき 5,000 件という URI の最大数にはカウントされません。
URI リストオブジェクトの照合
CFS URI リストオブジェクトの照合処理は、トークンに基づいています。有効なトークン系列は、 "." または "/" の
ような特定の文字で結合された 1 つ以上のトークンで構成されます。 URI は 1 つのトークン系列を表していま
す。例えば、 www.example.com という URI は "www"、 "example"、 "com" が "." で結合されたトークン系列です。
通常、ある URI に CFS URI リストオブジェクト内の URI のいずれかが含まれている場合、このリストオブジェ
クトはその URI に一致します。
標準一致
リストオブジェクトに "example.com" のような URI が含まれている場合、そのオブジェクトは次のように定義
された URI に一致します。
[<token sequence>(.|/)]example.com[(.|/)<token sequence>]
例えば、この URI リストオブジェクトは次の URI のいずれにも一致します。
•
example.com
•
www.example.com
•
example.com.uk
•
www.example.com.uk
•
example.com/path
この URI リストオブジェクトは次の URI には一致しません。
•
specialexample.com
これは、 specialexample が example とは異なるトークンと識別されるためです。
ワイルドカード一致
ワイルドカード一致がサポートされています。アスタリスク (*) がワイルドカード文字として使用され、この文
字はトークンの有効な系列を表します。リストオブジェクトに example.*.com のような URI が含まれている
場合、そのリストオブジェクトは次のように定義された URI に一致します。
[<token sequence>(.|/)]example.<token sequence>.com[(.|/)<token sequence>]
例えば、この URI リストオブジェクトは次の URI のいずれにも一致します。
•
example.exam1.com
•
example.exam1.exam2.com
Dell SonicWALL CFS 4.0
機能ガイド
10
•
www.example.exam1.com/path
この URI リストオブジェクトは次の URI には一致しません。
•
example.com
これは、ワイルドカード文字 (*) が example.com に存在しない有効なトークン系列を表しているためです。
IPv6 アドレスの照合
IPv6 アドレス文字列の照合もサポートされています。 IPv4 アドレスは標準のトークン系列として処理できます
が、 IPv6 アドレス文字列は特別な処理を必要とします。リストオブジェクトに "[2001:2002::2008]" のような
URI が含まれている場合、そのリストオブジェクトは次のように定義された URI に一致します。
[2001:2002::2008][/<token sequence>]
例えば、この URI リストオブジェクトは次の URI のいずれにも一致します。
•
[2001:2002::2008]
•
[2001:2002::2008]/path
•
[2001:2002::2008]/path/abc.txt
IPv6 のワイルドカード照合
IPv6 アドレス文字列ではワイルドカード照合がサポートされています。リストオブジェクトに
"[2001:2002:*:2008]/*/abc.mp3" のような URI が含まれている場合、そのリストオブジェクトは次のように定義
された URI に一致します。
[2001:2002:<token sequence>:2008]/<token sequence>/abc.mp3
例えば、この URI リストオブジェクトは次の URI のいずれにも一致します。
•
[2001:2002:2003::2007:2008]/path/abc.txt
•
[2001:2002:2003:2004:2005:2006:2007:2008]/path/path2/abc.txt
CFS URI リストオブジェクトの使用
現在、 CFS URI リストオブジェクトは、次の 3 つのフィールドで使用できます。
•
CFS プロファイルの禁止 URI リスト
•
CFS プロファイルの許可 URI リスト
•
Websense の除外するウェブドメイン
CFS URI リストオブジェクトの使用法はこれらのフィールドで異なります。 CFS プロファイルの禁止または許可
URI リストで使用される場合、 CFS URI リストオブジェクトは通常どおりに動作します。例えば、リストオブ
ジェクトに "example.com/path/abc.txt" のような URI が含まれている場合、そのリストオブジェクトは次のよ
うに定義された URI に一致します。
[<token sequence>(.|/)] example.com/path/abc.txt[(.|/)<token sequence>]
Websense の除外するウェブドメインで使用される場合は、 URI のホスト部分のみが有効です。例えば、 URI リスト
オブジェクトに上記のものと同じ URI が含まれている場合、そのリストオブジェクトはトークン系列 example.com
が含まれているすべてのドメインに一致します。 URI のパス部分は無視されます。
Dell SonicWALL CFS 4.0
機能ガイド
11
動作オブジェクト
CFS 動作オブジェクトは、パケットが CFS によってフィルタリングされた後の動作を定義し、 CFS ポリシー内で
指定されます。
CFS 動作オブジェクトを定義するには:
1
「ファイアウォール > コンテンツフィルタオブジェクト」に移動します。
2
「CFS 動作オブジェクト」という見出しを探し、そのセクションにある「追加...」ボタンを選択します。
3
「名前」フィールドに新規オブジェクトの名前を設定します。
4
「Cookie の消去」を有効にするかどうかを選択します。有効にした場合、プライバシー保護のために HTTP
要求の内部にある Cookie が削除されます。
重要：「Cookie の消去」が有効になっている場合、一部の検索エンジンに対するセーフサーチ強
制機能が中断される可能性があります。
5
「フロー報告を有効にする」をオンにするかどうかを選択します。このチェックボックスをオンにする
とフロー報告が有効になります。
6
表示する遮断ページを定義するには、「遮断」タブを選択します。既定のページが事前に定義されてい
ますが、このページをカスタマイズしたり、独自のポリシーを定義したりできます。
•
定義されているページのプレビューを確認するには、「プレビュー」ボタンを選択します。
Dell SonicWALL CFS 4.0
機能ガイド
12
7
8
•
Dell SonicWALL が提供している既定の設定に戻すには、「既定」ボタンを選択します。
•
現在定義されているページを消去するには、「消去」ボタンを選択します。
パスワードで保護されているウェブページ用のパラメータを定義するには、「パスワード」タブを選択し
ます。パスワード機能の詳細については、 CFS パスワードを参照してください。
a
ウェブサイトにアクセスするためのパスワードを入力します。
b
そのサイトのパスワードの確認を行います。
c
パスワードをマスクする場合は、このチェックボックスをオンにします。
d
動作時間 (パスワードがアクティブな時間) を分単位で入力します。既定値は 60 分ですが、設定
可能な範囲は 1～9999 分です。
e
ウェブサイトがパスワードで保護されている場合に表示されるパスワードページを設定します。既
定のページが事前に定義されていますが、このページをカスタマイズしたり、独自のポリシーを
定義したりできます。
•
定義されているページのプレビューを確認するには、「プレビュー」ボタンを選択します。
•
Dell SonicWALL が提供している既定の設定に戻るようにページを設定するには、「既定」ボ
タンを選択します。
•
現在定義されているページを消去するには、「クリア」ボタンを選択します。
警告や推奨事項を表示するとともに、確認ページの承諾後にエンドユーザによるアクセスを許可するウェ
ブページ用のパラメータを定義するには、「確認」タブを選択します。確認機能の詳細については、 CFS
確認を参照してください。
Dell SonicWALL CFS 4.0
機能ガイド
13
9
a
動作時間 (パスワードがアクティブな時間) を分単位で入力します。既定値は 60 分ですが、設定可
能な範囲は 1～9999 分です。
b
ウェブサイトがパスワードで保護されている場合に表示される確認ページを設定します。既定の
ページが事前に定義されていますが、このページをカスタマイズしたり、独自のポリシーを定義
したりできます。
•
定義されているページのプレビューを確認するには、「プレビュー」ボタンを選択します。
•
Dell SonicWALL が提供している既定の設定に戻るようにページを設定するには、「既定」ボ
タンを選択します。
•
現在定義されているページを消去するには、「クリア」ボタンを選択します。
帯域幅管理パラメータを設定するには、「帯域幅管理」タブを選択します。この機能の帯域幅オプショ
ンの作成方法の詳細については、 CFS 帯域幅管理を参照してください。
重要： SonicOS の「ファイアウォール設定 > 帯域幅管理」ページで帯域幅管理の種別が「詳細」と
定義されている場合、 CFS は帯域幅管理のみをサポートします。
Dell SonicWALL CFS 4.0
機能ガイド
14
a
帯域幅統合方式を設定します。「ポリシー毎」または「動作毎」を選択します。
b
送信帯域幅管理を有効にするには、該当するチェックボックスをオンにします。
c
送信帯域幅管理が有効になっている場合は、送信用の帯域幅オブジェクトを設定します。また、
ドロップダウンメニューでオプションを選択するか、新規帯域幅オブジェクトを作成します。新
規帯域幅オブジェクトの作成方法の詳細については、 CFS 帯域幅管理を参照してください。
d
受信帯域幅管理を有効にするには、該当するチェックボックスをオンにします。
e
受信帯域幅管理が有効になっている場合は、受信用の帯域幅オブジェクトを設定します。また、
ドロップダウンメニューでオプションを選択するか、新規帯域幅オブジェクトを作成します。
f
帯域幅使用状況の追跡を有効にするには、該当するチェックボックスをオンにします。
補足：帯域幅使用状況の追跡を有効にする前に、送信帯域幅管理と受信帯域幅管理のどちら
か、または両方を有効にしておく必要があります。
10 すべてのパラメータの定義が済んだら、「追加」を選択します。
CFS パスワード
パスワード機能は、パスワードを利用してウェブアクセスを制限するために設計されています。ファイア
ウォール管理者は、 (禁止 URI リスト用の) 特別な URI 種別またはドメインに対してパスワード操作を設定する必
要があります。禁止 URI にアクセスする場合、ユーザは正しいパスワードを送信する必要があります。そうしな
いと、ウェブアクセスは遮断されます。
重要：パスワードは、 HTTP 要求に対してのみ機能します。 HTTPS 要求は、「パスワード」ページにはリ
ダイレクトできません。
パスワード操作は、次のような形で機能します。
1
ユーザが制限されたウェブサイトへのアクセスを試みます。
2
「パスワード」ページがユーザのブラウザに送信されます。
3
ユーザはパスワードを入力して送信する必要があります。
4
CFS が送信されたパスワードをウェブサイトのパスワードによって検証します。
•
パスワードが一致した場合、ウェブアクセスは許可されます。これ以上のパスワードは不要であり、
パスワード機能に対して設定されている動作時間の間、ユーザは引き続き同じ種別のウェブサイ
トにアクセスできます。既定値は 60 分です。
•
パスワードが一致しない場合、アクセスは遮断され、「遮断」ページがユーザに送信されます。
補足：ユーザがパスワードを入力できるのは 3 回までです。すべて失敗するとサイトは遮断
されます。
•
ユーザが「キャンセル」を選択すると、サイトはただちに遮断されます。
CFS 確認
確認の機能は、注意や警告を表示するために設計されていますが、アクセスを許可する前にユーザによる確認を
必要とします。ファイアウォール管理者は、特別な URI 種別またはドメインに対して確認操作を設定する必要が
あります。また、ユーザは、こうした URI 種別またはドメインへの最初のアクセス時にウェブ要求の確認を行う
必要があります。
重要：確認は、 HTTP 要求に対してのみ機能します。 HTTPS 要求は、「確認」ページにはリダイレクトで
きません。
確認操作は、次のような形で行われます。
Dell SonicWALL CFS 4.0
機能ガイド
15
1
ユーザが遮断されたウェブサイトへのアクセスを試みます。
2
確認を要求するポップアップウィンドウが表示されます。
3
ユーザは「継続」または「閉じる」を選択すると必要があります。
•
この種別のウェブサイトへのアクセスを求めていることを確認した場合、ユーザは確認の対象と
なった最初のウェブサイトにリダイレクトされます。これ以上の確認は不要であり、確認機能に
対して設定されている動作時間の間、ユーザは引き続き同じ種別のウェブサイトにアクセスでき
ます。既定値は 60 分です。最大数は 9999 分です。
•
「閉じる」を選択した場合、ユーザには「遮断」ページのメッセージが表示され、設定されてい
る動作時間の間、その種別のウェブサイトから遮断されます。
CFS 帯域幅管理
帯域幅オブジェクトは、送信および受信の帯域幅の管理方法を指定するために動作オブジェクト内で使用される
機能です。
CFS の帯域幅オブジェクトを定義するには:
1
「CFS 動作オブジェクト」ページに移動し、「帯域幅管理」タブを選択します。
2
「帯域幅オブジェクト」フィールドで、「帯域幅オブジェクトの作成...」を選択します。
補足：帯域幅管理が有効になっている必要があります。そうでない場合は帯域幅オブジェクトのオ
プションを選択できません。
3
「一般」タブで、「名前」フィールドに新しいオブジェクトの名前を入力します。
4
「保証帯域幅」を設定します。「kbps」または「Mbps」のどちらかを指定します。
5
「最大帯域幅」を設定します。「kbps」または「Mbps」のどちらかを指定します。
6
「トラフィック優先順位」のレベルをドロップダウンメニューから設定します。「0 リアルタイム」から
「7 最低」までの範囲で選択します。
Dell SonicWALL CFS 4.0
機能ガイド
16
7
「違反動作」を設定します。「遅延」または「破棄」を選択します。
8
必要に応じて、「コメント」フィールドにこれらの設定に関するコメントを入力できます。
9
さらに設定を行うために「基本」タブを選択します。
10 IP 毎帯域幅管理を有効にする場合は、該当するチェックボックスをオンにします。
11 基本設定での「最大帯域幅」を kbps または Mbps 単位で指定します。
12 すべてのパラメータの定義が済んだら、「OK」を選択します。
プロファイルオブジェクト
CFS プロファイルオブジェクトは、各 HTTP/HTTPS 接続に対してトリガされる動作を定義します。新しい設計
の下で新しいプロファイルオブジェクトを設定する際に、ドメインを 4 つの評価のうちの 1 つに分類できるよ
うになりました。以下に、評価を優先順位の高い順に示します。
•
遮断
•
パスワード
•
確認
•
帯域幅管理
URI がこれらのいずれの評価にも分類されていない場合、操作は許可されます。
CFS プロファイルオブジェクトを定義するには:
1
2
「ファイアウォール > コンテンツフィルタオブジェクト」に移動します。
「CFS プロファイルオブジェクト」という見出しを探し、そのセクションにある「追加...」ボタンを選択
します。
Dell SonicWALL CFS 4.0
機能ガイド
17
3
4
新しいウィンドウで、「名前」フィールドに新しいオブジェクトの名前を入力します。
「URI リストの設定」セクションで、以下のパラメータをそれぞれ設定します。
プロファイルオブジェクトのパラ
メータ
定義
許可 URI リスト
URI がこのリストにある場合、接続を許可します。このリストを
ホワイトリストとして扱います。リストオブジェクト、「な
し」、または「URI リストオブジェクトの作成」を選択します。
リストオブジェクトの作成の詳細については、 URI リストオブ
ジェクトを参照してください。
禁止 URI リスト
URI がこのリストにある場合、接続は許可されません。このリス
トをブラックリストとして扱います。実行する動作は「禁止 URI
に対する操作」で定義されています。リストオブジェクト、
「なし」、または「URI リストオブジェクトの作成」を選択しま
す。リストオブジェクトの作成の詳細については、 URI リスト
オブジェクトを参照してください。
Dell SonicWALL CFS 4.0
機能ガイド
18
プロファイルオブジェクトのパラ
メータ
5
定義
URI リストの検索順序
URI 検証時の URI リスト検索に対して「許可 URI リストを優先」
または「禁止 URI リストを優先」のどちらかを指定します。
禁止 URI リストに対する操作
URI が禁止リスト上の URI に一致した場合に実行する動作を指
定します。「遮断」、「確認」、または「パスワード」から選
択します。
「種別の設定」セクションで、それぞれの種別を「許可」、「遮断」、「帯域幅管理」、「確認」、ま
たは「パスワード」に設定します。既定では、種別 1 ～ 12 および種別 59 が遮断されており、残りの種
別は許可されています。
すべての種別を 1 つの定義に容易に設定することもできます。「操作」フィールドで、「許可」、「遮
断」、「帯域幅管理」、「確認」、または「パスワード」を選択し、「すべてに設定」を選択します。
「既定」をクリックすると、既定の設定への復元が行われます。詳細については、プロファイルオブ
ジェクトを参照してください。
6
7
「詳細」タブに移動し、チェックボックスをオンにして以下の設定を有効にします。これらの設定の詳
細については、表 1 を参照してください。
•
埋め込み URI に対してスマートフィルタを有効にする
•
セーフサーチ強制を有効にする
•
Google セーフサーチ強制を有効にする
•
YouTube 制限付きモードを有効にする
•
Bing セーフサーチ強制を有効にする
ウェブの時限閲覧に関する規約を設定するには、「時間閲覧規約」タブを選択します。
補足：時限閲覧規約は、 HTTP 要求に対してのみ機能します。 HTTPS 要求は、「時限閲覧規
約」ページにはリダイレクトできません。
Dell SonicWALL CFS 4.0
機能ガイド
19
8
a
「規約表示を有効にする」チェックボックスをオンにします。
b
「ユーザ無動作タイムアウト」を分単位で指定します。既定値は 15 分です。
c
「規約選択画面 (検閲の選択)」のフィールドに値を入力します。これは、時限閲覧規約を要求する
ウェブサイトにアクセスした場合にユーザがリダイレクトされるウェブサイトです。
d
「規約承諾画面 (検閲を強制にする)」のフィールドに値を入力します。これは、強制的な検閲を要
求するウェブサイトにアクセスした場合にユーザがリダイレクトされるウェブサイトです。
e
「強制フィルタアドレス」を選択します。アドレスグループをリストから選択するか、「アドレ
スオブジェクトの作成」を選択します。
すべてのパラメータの定義が済んだら、「追加」を選択します。
CFS ログ
CFS ログファイルは、今回の更新で再設計されています。目的は、 CFS ログファイルを一元化して合理化する
ことでした。 CFS ログには次のものがあります。
•
logstrSyslogWebSiteAccessed
•
LogstrWebSiteBlocked
•
logstrCFSAlert
ログファイル logstrCFSAlert は、このリリースで新たに用意されたものです。このログファイルには、ウェブ
サイトのアクセスまたは遮断を除くすべての CFS イベントが記録されます。これらの動作は、個別のログファ
イルで追跡されます。以下の機能に関するログは廃止予定です。
•
登録されていない装置
•
ActiveX の遮断
•
コンテンツフィルタリスト
の期限切れ
•
Java の遮断
•
CFS 期限切れの警告
•
アーカイブの遮断
•
CFS 期限切れメッセージ
•
Cookie の削除
•
新規グループの遮断
•
プロキシアクセスの遮断
•
新規グループへのアクセス
•
YouTube for Schools の強制
CFS ログを設定するには:
1
「ログ > 設定」にナビゲートします。
2
「設定」ページで、「セキュリティサービス」を探し、下位の種別が見えるように展開します。
Dell SonicWALL CFS 4.0
機能ガイド
20
3
「コンテンツフィルタ」を探して「編集」アイコンを選択します。
Dell SonicWALL CFS 4.0
機能ガイド
21
4
「イベント優先順位」フィールドで、ログを記録するイベントのレベルを選択します。既定値は「混
在」ですが、その他の選択肢としては、「緊急」、「警告」、「重大」、「エラー」、「注意」、「通
告」、「情報」、「デバッグ」があります。
5
イベントをログ監視に表示する場合は、その「有効」ボタンを選択し、「冗長フィルタ間隔」を設定し
ます。既定の間隔は 60 秒です。
6
電子メールイベントとしてイベントを送信する場合は、その「有効」ボタンを選択し、「冗長フィルタ間
隔」を設定します。既定の間隔は 900 秒です。
7
Syslog 経由でイベントを報告する場合は、その「有効」ボタンを選択し、「冗長フィルタ間隔」を設定し
ます。既定の間隔は 60 秒です。
8
イベントをログ監視に表示する場合は、その「有効」ボタンを選択します。
9
電子メールアドレスに警告を送信するかどうかを選択します。既定では、「変更しない」チェックボック
スがオンになっています。このチェックボックスをオフにすると、警告を受け取るユーザまたはグルー
プの電子メールアドレスを追加できます。
10 イベントをカラー表示するかどうかを選択します。既定ではカラー表示になっていませんが、「変更し
ない」チェックボックスをオフにすると、カラーを選択できます。ログファイルには CFS イベントがそ
のカラーで表示されます。
11 すべてのオプションの定義が済んだら、「適用」を選択します。
CFS の比較
以下の表に、古い CFS と新しい CFS のさまざまな側面におけるユーザエクスペリエンスの比較を示します。
CFS 3.0
CFS 4.0
CFS の設定は、「CFS」ページ、「ゾーン」ペー CFS 設定は 1 箇所にまとめられています。
ジ、「ユーザ」ページ、「アプリケーションルー
ル」ページで行います。
2 つのモードがあります ( 「ゾーンの設定によ機能は 1 つのモードにまとめられています。
る」と「アプリケーションルールによる」 )。
管理者は、設定後にフィルタ結果を正確に予測で管理者は、フィルタ結果を正確に予測できます。
きません。
重複するフィルタオプションを定義する必要があ CFS 種別、 URI リストオブジェクト、プロファイルオブ
ります。
ジェクト、動作オブジェクトを定義し、それらを複数のポ
リシーで再利用できます。
ワイルドカードマッチングをサポートしません。
URI リストオブジェクトのワイルドカード (*) マッチング
をサポートします。
時限閲覧規約機能はグローバルです。
時限閲覧規約機能はポリシー単位です。
BWM は、アプリケーションルールモードでのみ BWM は、完全にサポートされています。
サポートされます。
「オーバーライド – 確認」をサポートしません。
パスワードによるオーバーライドと確認をサポートします。
HTTP に対し、 GET、 POST、 HEAD コマンドのみ GET、 POST、 HEAD、 PUT、 CONNECT、 OPTIONS、 DELETE、
をサポートします。
REPORT、 COPY、 MOVE コマンドをサポートします。
CFS をグローバルに有効/無効にすることはでき CFS をグローバルに有効/無効にできます。
ません。
ユーザ定義種別は種別に基づきます。
ユーザ定義種別は、より直感的なドメインに基づきます。
Websense 設定が、 CFS 設定と混在しています。
エラーを軽減するために、 Websense 設定が CFS 設定から
分離されています。
Dell SonicWALL CFS 4.0
機能ガイド
22
プラットフォームの互換性
以下に、 CFS 4.0 でサポートされる Dell SonicWALL 装置を示します。
•
SuperMassive 9600
•
NSA 6600
•
TZ600
•
SuperMassive 9400
•
NSA 5600
•
TZ500、 TZ500 Wireless
•
SuperMassive 9200
•
NSA 4600
•
TZ400、 TZ400 Wireless
•
NSA 3600
•
TZ300、 TZ300 Wireless
•
NSA 2600
•
SOHO Wireless
製品ライセンス
CFS 4.0 は、 2 つの方法 (MySonicWALL またはファイアウォールのユーザインターフェース) で購読できます。既
存のライセンスからのアップグレード方法の詳細については、『SonicOS 6.2.6 コンテンツフィルタサービス
(CFS) 4.0 アップグレードガイド』を参照してください。
MySonicWALL でのライセンス取得
MySonicWALL でライセンスを取得するには:
1
ウェブブラウザから MySonicWALL にログインします。
2
左側のナビゲーションメニューにある「製品管理」を選択します。
3
CFS のライセンスを取得する登録済み装置を探し、そのニックネームまたはシリアル番号をクリックし
ます。
4
「サービス管理」ページで、「使用可能なサービス」セクションまで下にスクロールし、「コンテンツ
フィルタ :プレミアムエディション」を探します。
5
以下のいずれかを実行します。
•
サービスのライセンスを購入するには、「購入」ボタンを選択します。
•
SonicWALL 販売会社または前回の取引からライセンスキーを入手済みの場合は、「有効化」ボタ
ンを選択します。
6
表示されるメッセージに従って、ライセンスの有効化を完了します。ご利用の装置で、 SonicOS の「シス
テム > 状況」および「システム > ライセンス」ページに CFS ライセンス状況が表示されます。
7
CFS がライセンス未取得と表示される場合は、「システム > ライセンス」ページの「同期」ボタンを選択
して、状況を更新します。
ファイアウォールからのライセンス取得
ファイアウォールからライセンスを取得するには:
1
登録済み Dell SonicWALL ファイアウォールで、「システム > ライセンス」ページに移動します。
2
「セキュリティサービスのオンライン管理」セクションまで下にスクロールして、「サービスの購読、アッ
プグレード、および更新はここを選択してください」というリンクをクリックします。
Dell SonicWALL CFS 4.0
機能ガイド
23
3
MySonicWALL 資格情報を入力してログインし、「サービス管理」ページを開きます。
4
「使用可能なサービス」セクションまで下にスクロールし、「コンテンツフィルタ :プレミアムエディ
ション」を探します。
5
「購入」または「有効化」のどちらかのボタンを選択して、コンテンツフィルタ :プレミアムエディショ
ンのライセンスを取得します。ご利用のファイアウォールの「システム > 状況」ページに、更新された
ライセンス状況が表示されます。
6
表示されるメッセージに従って、ライセンスの有効化を完了します。処理が完了すると、 SonicOS の「シ
ステム > ライセンス」ページに戻ります。「システム > 状況」ページにも更新されたライセンス状況が
表示されます。
Dell について
Dell は、お客様の声に耳を傾け、お客様が信頼し、高く評価する世界中の革新的技術、ビジネスソリューショ
ンおよびサービスを提供しています。詳細については、 http://software.dell.com/jp-ja/ を参照してください。
Dell の連絡先
日本国内のお問い合わせ先に関しては、弊社のウェブサイト
http://software.dell.com/jp-ja/company/contact-us.aspx を参照してください。
テクニカルサポート情報
有効なメンテナンス契約が付属する Dell のソフトウェアをご購入になったお客様や、トライアルバージョンを
お持ちのお客様は、テクニカルサポートを利用できます。サポートポータルを利用するには、
https://support.software.dell.com/ja-jp/ にアクセスしてください。
サポートポータルには、問題を自主的にすばやく解決するために使用できるセルフヘルプツールがあり、 24 時
間 365 日ご利用いただけます。また、ポータルでは、オンラインサービスリクエストシステムを使用して、製
品サポートエンジニアに直接連絡することもできます。
サポートポータルでは、次のことを実行できます。
•
サービスリクエスト (ケース) の作成、アップデート、および管理。
•
ナレッジベースの記事の参照。
•
製品に関するお知らせの入手。
•
ソフトウェアのダウンロード。評価版をご利用になる場合は、 http://software.dell.com/jp-ja/trials/ に
アクセスしてください。
•
使用法に関するビデオの視聴。
•
コミュニティディスカッションへの参加。
•
サポートエンジニアとのチャット。
Dell SonicWALL CFS 4.0
機能ガイド
24
Copyright© 2016 Dell Inc.
ALL RIGHTS RESERVED.
本製品は、米国および国際的な著作権法および知的財産法によって保護されています。 Dell™、 Dell ロゴ、および SonicWALL™
は米国およびその他の管轄区域における Dell Inc. の商標です。本書に記載されているその他のマークおよび名称はすべて各社
の商標である場合があります。
詳細については、 http://software.dell.com/jp-ja/legal/ を参照してください。
凡例
注意:手順に従わないとハードウェアの破損やデータの消失が生じる恐れがあることを示しています。
警告:物的損害、けが、または死亡に至る可能性があることを示しています。
重要、メモ、ヒント、モバイル、またはビデオ:補足情報があることを示す表示です。
CFS 機能ガイド
更新日時 - 2016 年 9 月
バージョン - 4.0
232-003366-00 Rev A
Dell SonicWALL CFS 4.0
機能ガイド
25

Download Report