運用マニュアル - デジタルアーツ株式会社

Ver.9
運用マニュアル
本マニュアルについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
改訂履歴 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
凡例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
関連ドキュメント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
第1章 はじめに . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1-1 マニュアルの概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1-2 マニュアルの利用方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1-3 注意事項 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
第2章 HTTPS通信処理設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-1 HTTPS通信処理の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-2 証明書インポート手順(Webブラウザー) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-2-1 Internet Explorerにインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-2-2 Firefoxにインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-2-3 クライアント端末にインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-2-4 ドメインユーザーにインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-2-5 モバイル端末にインポート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2-3 SSLデコード除外設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
第3章 ユーザー認証設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-1 ユーザー認証の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-2 NTLM認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-2-1 「i-FILTER for Windows」 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-2-2 「i-FILTER for Linux」 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-3 LDAP認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-4 独自認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-5 Form認証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-6 認証除外設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-6-1 特定ホストを認証除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-6-2 特定クライアントを認証除外 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3-6-3 特定Webブラウザー以外からのアクセスを認証除外 . . . . . . . . . . . . . . . . . . . . . . . . .
3-7 認証詳細モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
第4章 グループ/ルール設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1 基本モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-1 全ユーザーで同一のフィルタリング設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-2 グループ別のフィルタリング設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-3 別グループでルール設定を共有 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-4 SNS投稿やWebメール送信を制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-5 特定Webサービスの機能を許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-6 特定URLへのアクションを変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-7 特定クライアントからのアクセスを制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-1-8 フィルターポリシーをスケジューリング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-2 詳細モード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-2-1 レスポンスサイズ制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-2-2 リクエストサイズ制限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-2-3 特定条件でブロック画面を変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4-2-4 特定条件でメール通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
第5章 ネットワーク連携設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1 多段プロキシ構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1-1 上位プロキシサーバー設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1-2 冗長構成「アクティブ/アクティブ」 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1-3 冗長構成「アクティブ/スタンバイ」 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1-4 上位通信のルーティング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1-5 上位にクライアントIPアドレスを転送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-1-6 下位からクライアントIPアドレスを取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-2 設定同期構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-2-1 マスター/スレーブ構成で設定同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-2-2 マルチマスター構成で設定同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-2-3 同期サーバー別に上位プロキシを設定(IncomingIP利用) . . . . . . . . . . . . . . . . . . . . .
5-3 「AV Adapter」連携構成(ウイルス対策) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-3-1 ダウンロードコンテンツをスキャン(RESPMOD) . . . . . . . . . . . . . . . . . . . . . . . . . . .
5-3-2 アップロードコンテンツをスキャン(REQMOD) . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
3
4
4
4
5
6
6
7
9
10
12
12
15
18
22
26
29
31
32
33
33
35
39
42
43
44
44
45
46
48
53
54
55
58
60
62
63
64
65
67
69
70
71
73
76
79
80
80
82
83
85
87
88
90
90
94
97
100
101
103
5-3-2 アップロードコンテンツをスキャン(REQMOD) . . . . . . . . . . . . . . . . . . . . . . . . . . .
第6章 管理者設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6-1 管理者パスワードを変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6-2 グループ管理者を作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6-3 LDAP認証ユーザーを管理者に登録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6-4 詳細モード利用設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
第7章 その他の機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-1 メール通知 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-2 公開申請機能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-2-1 公開申請設定(管理者作業) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-2-2 ブロック解除依頼(ユーザー作業) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-2-3 ブロック解除(管理者作業) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-3 Info Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-4 Test Board . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-4-1 Test Board設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-4-2 Test Board設定(有償機能) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-5 IPv6ネットワーク接続設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-6 SSL代理証明書を同期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-7 応用設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-7-1 Google Appsで一般アカウントを制御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-7-2 特定のYouTube動画のみを閲覧許可 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-7-3 「i-FILTER」を経由せずにアクセス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-7-4 検索サイトのセーフサーチを強制適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
7-7-5 YouTubeの制限付きモードを強制適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
第8章 システムメンテナンス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-1 フィルタリング動作をテスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-2 同時接続数(スレッド数)をチューニング . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-3 ユーザー登録情報を確認・変更 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-4 設定バックアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-5 設定ロールバック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-6 「i-FILTER」をアップデート . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-6-1 管理画面からアップデート(自動更新) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-6-2 インストーラーを使用したアップデート(手動更新) . . . . . . . . . . . . . . . . . . . . . . . . .
8-6-3 アップデート前のバージョンにロールバック . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-7 「i-FILTER」サーバーのリプレース . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
8-8 サポートサイト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2
103
105
106
107
109
111
113
114
116
116
118
120
122
124
124
126
128
130
132
132
134
137
145
148
151
152
154
156
158
160
162
163
166
169
172
175
本マニュアルについて
本マニュアルについて
・本マニュアルの内容は、2016年4月13日時点の情報に基づいて作成しております。
・本マニュアルの内容は、将来予告なしに変更される場合があります。
・本マニュアルの全部または一部を無断転載、無断複写することは禁止されております。
・本マニュアルは細心の注意を払って作成しておりますが、記述に誤りや欠落があっても、デジタルアーツ株式会社は
いかなる責任も負わないものとします。
・本マニュアルにご不明点や誤り、記載もれなどお気づきの点がありましたら当該製品のサポート窓口まで
ご連絡ください。
・本製品の最新情報をホームページで公開しています。
「デジタルアーツ株式会社 サポート情報サイト<https://download.daj.co.jp/user/>」
・デジタルアーツ、DIGITALARTS、アイフィルター、i-フィルター、i-FILTER、i-FILTER EndPoint Controller、
エムフィルター、m-フィルター、m-FILTER、m-FILTER MailFilter、m-FILTER Archive、
m-FILTER Anti-Spam、m-FILTER File Scan、D-SPA、ZBRAIN はデジタルアーツ株式会社の登録商標です。
FinalCodeはデジタルアーツグループの登録商標です。
その他、本マニュアルに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。
「i-FILTER」Ver.9 運用マニュアル
2016年4月13日 第1版
デジタルアーツ株式会社
〒100-0004 東京都千代田区大手町1-5-1 大手町ファーストスクエア ウエストタワー14F
http://www.daj.jp/
Copyright © 2014 Digital Arts Inc.
3
「i-FILTER」Ver.9 運用マニュアル
本マニュアルについて
改訂履歴
本マニュアルの主な改訂内容を記載します。
版数
初版
改版月
改訂箇所
2016年3月
「i-FILTER」Ver.9 運用マニュアル
製品バージョン
Ver.9.30R04
新規作成
注意
誤字誤植、名称変更、パラメーター値変更ほか、細かい内容については本ページへの記載を省略している場合があります。
凡例
■ アイコン凡例
イメージ
ラベル
説明
補足
補足説明です。
注意
特に注意が必要な事項について説明します。
参照
関連する記述のあるドキュメント名もしくはドキュメントの参照先を示します。
関連ドキュメント
ドキュメント名
説明
『「i-FILTER」Ver.9 導入マニュアル』
「i-FILTER」のインストールから初期設定、チューニング方法を
掲載したマニュアルです。
『「i-FILTER」Ver.9 機能マニュアル』
「i-FILTER」の機能全般の詳細説明を掲載したマニュアルです。
『「i-FILTER」Ver.9 運用マニュアル』(本書)
運用事例をベースに「i-FILTER」でよく利用される機能の設定手順を
掲載したマニュアルです。
補足
上記以外のドキュメントについては「サポート情報サイト」を確認してください。
4
「i-FILTER」Ver.9 運用マニュアル
第1章 はじめに
第1章 はじめに
1-1 マニュアルの概要
1-2 マニュアルの利用方法
1-3 注意事項
5
「i-FILTER」Ver.9 運用マニュアル
第1章 はじめに
1-1 マニュアルの概要
本マニュアルは「i-FILTER」導入後の基本的な設定や操作方法を記載しています。その他のマニュアルについては
「関連ドキュメント」を参照してください。本マニュアルは以下の流れで記載しています。
第1章
はじめに(本章)
第1章では本マニュアルの概要や使用方法、注意事項を記載しています。
第2章
HTTPS通信の設定
第2章~第6章では「i-FILTER」の主要機能について設定手順を記載しています。
運用前に確認および設定を実施してください。
第3章
ユーザー認証設定
第4章
グループ/ルール設定
第5章
ネットワーク連携設定
第6章
管理者設定
第7章
その他の機能
第7章では主要機能以外の設定手順や、特定のWebサービスに対する
設定方法、外部機能を利用した応用設定を紹介しています。環境に応じて必要な
設定を実施してください。
第8章
システムメンテナンス
第8章では「i-FILTER」のバックアップやロールバック、バージョンアップ等の
システムメンテナンス方法記載しています。 1-2 マニュアルの利用方法
■ 運用要件
本マニュアルでは、各項の冒頭に記載した「運用要件」に基づいた設定手順を記載しています。設定する値は実環境に置き換えてご利
用ください。
■ 管理画面遷移
「i-FILTER」管理画面の操作をする場合は、手順一行目に記載された画面まで遷移してから作業を実施してください。
6
「i-FILTER」Ver.9 運用マニュアル
第1章 はじめに
■ マニュアル内の記述ルール
各項に特別な明記がない場合は以下の構成で動作しているものとします。
「i-FILTER」の種類
「i-FILTER for Proxy」
「i-FILTER」動作モード
基本モード
「i-FILTER」操作権限
アドミニストレーター権限(初期値「admin」)
インストールディレクトリ
デフォルト設定
【Windows】C:¥Program Files¥Digital Arts¥i-FILTER Proxy Server Ver.9¥
【Linux】 /usr/local/ifilter9/
グループ動作モード
ブラックリストモード
SSL Adapter
有効
SSL代理証明書
Webブラウザーにインポート済み
OS操作権限
Administrator権限(Windows)/root権限(Linux)
1-3 注意事項
本マニュアルでは設定手順の解説を主としているため、設定に伴う影響や注意事項、制限事項について明記していない場合が
あります。
各設定の詳細については別紙『「i-FILTER」Ver.9 機能マニュアル』をご確認の上、ご利用環境への適用には事前に十分な動作確認を
行ってください。
補足
各マニュアルは「サポート情報サイト」からダウンロードが可能です。
※ ページ閲覧には製品の「シリアルNo.」とお客様「E-Mailアドレス」 によるログインが必要です
7
「i-FILTER」Ver.9 運用マニュアル
第1章 はじめに
8
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
第2章 HTTPS通信処理設定
2-1 HTTPS通信処理の概要
2-2 証明書インポート手順(Webブラウザー)
2-2-1 Internet Explorerにインポート
2-2-2 Firefoxにインポート
2-2-3 クライアント端末にインポート
2-2-4 ドメインユーザーにインポート
2-2-5 モバイル端末にインポート
2-3 SSLデコード除外設定
9
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
2-1 HTTPS通信処理の概要
■ HTTPS通信処理機能
「i-FILTER」では、HTTPS通信のフィルタリングを実現するために以下の機能を搭載しています。
○ SSL Adapter
暗号化されたHTTPS通信を解析する機能です。HTTPS通信のリクエストURLやヘッダーが可視化され、HTTPと同様に細か
いフィルタリングが可能になります。
○ SSL代理証明書機能
SSL Adapter(SSL接続終端処理)においてWebブラウザーが信頼性を確認できる証明書を作成する機能です。SSL代理証明
書を利用する場合は、「i-FILTER」にインポートされている証明書をWebブラウザー側にもインポートする必要がありま
す。 補足
証明書の信頼性が確認できない場合、Webブラウザーにより以下のような証明書警告が表示されます。この警告
表示はフィルタリング精度やユーザビリティに影響します。
【図:証明書警告表示】
○ SSL接続終端処理
SSL Adapter無効時(SSLデコード除外時)にフィルタリング対象のHTTPSリクエストにブロック画面を表示させるための機
能です。
補足
SSL Adapter無効時もホスト名等の限定したフィルタリングが可能です。
SSL AdapterとSSL接続終端処理いずれも無効の場合、Webブラウザーにエラー画面が表示されます。
【図:ブロック画面表示失敗】
10
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
以下の表は「i-FILTER」設定とWebブラウザー設定(証明書インポート状況)別のHTTPS通信動作一覧です。
SSL Adapter
有効
SSL接続終端処理
有効
SSL代理証明書機能
Webブラウザー
証明書インポート有
無効
有効
有効
無効
◯
△
無効
◯
△
許可アクセス
許可アクセス
ブロック画面表示
有効
無効
✕
✕
✕
✕
▲
ブロック画面表示
Webブラウザー
証明書インポート無
無効
有効
▲
△ ※1
△ △
△
◯ 証明書警告が表示されずにHTTPS通信の解析やブロック画面表示が可能です。
△ HTTPS解析やブロック画面表示は可能ですが、証明書警告が表示されます。サイト構成によっては証明書警告により正しくフィルタリングが
行えない場合があります(【図:証明書警告表示】参照)。
▲ HTTPS通信の解析は行えませんが、証明書警告も表示されません。
✕ SSL接続終端処理が無効状態のためHTTPSアクセスに対してブロック画面表示ができません(【図:ブロック画面表示失敗】参照)。
※1 「i-FILTER」Ver.9導入初期状態
Webサービス制御など詳細なフィルタリングを実施する場合は、Webブラウザーへの証明書インポートが必要ですが、その他の
設定にする場合は上記表を参考に制限事項を確認してください。
11
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
2-2 証明書インポート手順(Webブラウザー)
「i-FILTER」が発行するSSL代理証明書をWebブラウザーに信頼させるためには、「i-FILTER」にインポートした証明書をWebブラウ
ザーにもインポートする必要があります。本項では、証明書のインポート手順例をWebブラウザー別に記載しています。
2-2-1 Internet Explorerにインポート
運用要件
「i-FILTER」デフォルトの証明書「default_ca_sha2.crt」を使用
Webブラウザー単体に証明書「default_ca_sha2.crt」をインポート
対象Webブラウザー: Internet Explorer、Microsoft Edge、Google Chrome
○ STEP1 証明書ファイルの配布
証明書ファイル「default_ca_sha2.crt」をクライアント端末に配布します。
<「i-FILTER」インストールディレクトリ>/conf/ssl/default_ca_sha2.crt
○ STEP2 証明書ファイルの実行
「default_ca_sha2.crt」を実行後、証明書情報から[証明書のインストール]を選択します。
○ STEP3 ウィザード開始
「証明書のインポートウィザード」で[次へ]を選択します。
12
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP4 証明書ストアを選択(1)
[証明書をすべて次のストアに配置する]を選択します。
○ STEP5 証明書ストアを選択(2)
[参照]から[信頼されたルート証明機関]を選択後、[次へ]を選択します。
○ STEP6 ウィザード終了
「証明書のインポートウィザード」が完了します。
13
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP7 セキュリティ警告を閉じる
以下のセキュリティ警告を[はい]を選択して閉じます。
○ STEP8 インポート完了
証明書ファイルのインポート作業が完了します。
○ STEP9 動作確認
インポート作業中に開いていたWebブラウザー(Internet Explorer、Microsoft Edge、Google Chrome)は一度閉じます。証明
書警告やエラーが表示されていたHTTPSページにアクセスして、正常に表示されることを確認します。
14
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
2-2-2 Firefoxにインポート
運用要件
「i-FILTER」デフォルトの証明書「default_ca_sha2.crt」を使用
Webブラウザー単体に証明書「default_ca_sha2.crt」をインポート
対象Webブラウザー: Firefox
○ STEP1 証明書ファイルの配布
証明書ファイル「default_ca_sha2.crt」をクライアント端末に配布します。
<「i-FILTER」インストールディレクトリ>/conf/ssl/default_ca_sha2.crt
○ STEP2 Firefox 証明書マネージャーを表示
Firefox のオプションより[詳細]→[証明書]→[証明書を表示]を選択します。
○ STEP3 証明書ファイルをインポート①
[認証局証明書]→[インポート]を選択します。
15
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP4 証明書ファイルをインポート②
手順「1.」で配布した証明書ファイルを選択します。
○ STEP5 証明書ファイルをインポート③
[この認証局によるWebサイトの識別を信頼する]にチェックを入れ、[OK]を選択します。
○ STEP6 インポート後の証明書ファイルを確認
証明書マネージャー画面に遷移後、「Digital Arts Inc. CA」を選択し、[信頼性を設定]をクリックします。[この証明書をWeb
サイトの識別に使用する]にチェックが入っていることを確認します。 16
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP7 動作確認
証明書警告やエラーが表示されていたHTTPSページにアクセスして、正常に表示されることを確認します。
17
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
2-2-3 クライアント端末にインポート
運用要件
「i-FILTER」デフォルトの証明書「default_ca_sha2.crt」を使用
クライアント端末1台の全ユーザーに証明書「default_ca_sha2.crt」をインポート
対象Webブラウザー: Internet Explorer、Microsoft Edge、Google Chrome
○ STEP1 Microsoft 管理コンソール (MMC) を起動
コマンドプロンプトやファイル名を指定して実行から「mmc」を入力するなどしてMicrosoft 管理コンソールを起動します。
○ STEP2 [スナップインの追加と削除]を開始
[ファイル] > [スナップインの追加と削除]を選択します。
18
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP3 [証明書]スナップインを追加
[利用できるスナップイン]一覧から[証明書]を以下の内容で[追加]します。
【証明書スナップイン】>コンピューターアカウント
【コンピューターの選択】>ローカルコンピューター
○ STEP4 [スナップインの追加と削除]を終了
「証明書(ローカルコンピューター)」が選択されていることを確認後[OK]をクリックします。
19
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP5 [信頼されたルート証明機関]のインポート
[証明書]>[信頼されたルート証明機関]を右クリックし、[すべてのタスク]>[インポート]を選択します。
○ STEP6 証明書を選択
「i-FILTER」用証明書「default_ca_sha2.crt」を選択します。
○ STEP7 ストアを選択
[証明書をすべて次のストアに配置する]>[信頼されたルート証明書機関]を選択して[次へ]をクリックします。
20
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP8 証明書のインポートを確認
ローカルコンピューターの既存ユーザーおよび新規ユーザーに証明書がインポートされていることを確認します。
[インターネットオプション] の[コンテンツ] > [証明書] > [信頼されたルート証明機関]を開き、
「Digital Arts Inc. CA 」を確認します。
21
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
2-2-4 ドメインユーザーにインポート
運用要件
「i-FILTER」デフォルトの証明書「default_ca_sha2.crt」を使用
Active Directoryドメイン全体にグループポリシーを使用して証明書「default_ca_sha2.crt」を配布
対象Webブラウザー: Internet Explorer、Microsoft Edge、Google Chrome
○ STEP1 「グループポリシーの管理」を起動
ドメインコントローラーで[スタート>すべてのプログラム>管理ツール>グループポリシーの管理]を起動します。
○ STEP2 「Default Domain Policy」を編集
グループポリシーの管理で[対象のドメイン>グループポリシーオブジェクト>Default Domain Policy]を右クリックして[編集]
を選択します。
22
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP3 「証明書サービスクライアント - 自動登録」を編集
[コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>公開キーのポリシー]から
「証明書サービスクライアント - 自動登録」をダブルクリックします。
証明書サービスクライアントのプロパティで構成モデルを有効に変更します。
23
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP4 証明書のインポートウィザードを開始
[コンピューターの構成>ポリシー>Windowsの設定>セキュリティの設定>公開キーのポリシー
>信頼されたルート証明機関]を右クリックし、[インポート]を選択します。
【証明書のインポートウィザード】
1. 開始画面で「次へ」を選択
2. インポートする証明書ファイルで「default_ca_sha2.crt」を選択
<「i-FILTER」インストールディレクトリ>/conf/ssl/default_ca_sha2.crt
3. 証明書ストアで「信頼されたルート証明機関」が選択をされていることを確認
4. 証明書のインポートウィザードを完了させる
24
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP5 証明書のインポート確認
グループポリシー管理エディターの[信頼されたルート証明機関]に証明書がインポートされていることを確認します。
○ STEP6 ドメインユーザーへのインポートを確認
ドメインに参加しているクライアント端末にて、証明書がインポートされているかを確認します。証明書は次回ログオン時より
インポートされます。
[インターネットオプション] の[コンテンツ] > [証明書] > [信頼されたルート証明機関]から
「Digital Arts Inc. CA 」を確認します。
補足
ログオン中のユーザーはコマンドプロンプトで「gpupdate /force」を実行することでインポートされます。
25
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
2-2-5 モバイル端末にインポート
運用要件
「i-FILTER」デフォルトの証明書「default_ca_sha2.crt」を使用
特定のモバイル端末に証明書「default_ca_sha2.crt」をインポート
対象Webブラウザー: iOS(Safari)、Android Browser
■ 事前準備
「default_ca_sha2.crt」を任意のWebサーバーに配置し、HTTP通信によってダウンロード可能な状態にします。
<「i-FILTER」インストールディレクトリ>/conf/ssl/default_ca_sha2.crt
【URL例】 http://www.example.daj.jp/default_ca_sha2.crt
■ iOS端末(Safari)
○ STEP1 CA証明書ファイルをダウンロード
Webサーバーに配置したCA証明書ファイルを端末からダウンロードします。
○ STEP2 CA証明書ファイルをインストール
プロファイル画面で「インストール」をクリックします。
○ STEP3 警告画面をスキップ
警告画面を「インストール」をタップしてスキップします。
26
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
○ STEP4 インストール完了
正常にインストールされた場合、以下の画面となります。
■ Android端末(標準ブラウザ)
注意
機種によって証明書ファイルのインポートに、SDカードが必要な場合があります
○ STEP1 CA証明書ファイルをダウンロード
Webサーバーに配置したCA証明書ファイルを端末からダウンロードします。
○ STEP2 ダウンロードしたファイルを実行
ダウンロード後、端末画面上部に「↓」アイコンが表示されます。端末画面を上部からスワイプすることでダウンロード状況が確
認できますので、「ダウンロード完了しました」をタップします。
↓
○ STEP3 CA証明書ファイルをインストール
任意の証明書名を入力して「OK」をタップします。
27
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
注意
OSバージョンや機種によって作業手順が異なる場合があります。
証明書インストールの際に「認証情報ストレージのパスワード」を求められることがあります。パスワードが不明な場合は、
端末管理者もしくは製品提供元にご確認ください。
本作業によって警告等が通知される場合には、内容を確認の上、通知を削除してください。通知内容の詳細については、端末
管理者もしくは製品提供元にご確認ください。
補足
対応Webブラウザーについては、下記動作環境ページ「クライアントブラウザー(クライアント用)」をご確認ください。
▽「i-FILTER」Ver.9 動作環境
http://www.daj.jp/bs/i-filter/requirements/
28
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
2-3 SSLデコード除外設定
運用要件
監査対象外グループ「Group_A」をSSLデコード除外
監査対象外サイト「c-cert.daj.co.jp」をデコード除外
上記以外のWebサービス対象サイトをSSLデコード(初期設定)
○ STEP1 「Group_A」をSSLデコード除外
管理画面:[オプション/SSL Adapter/SSLデコードポリシー設定]
「行の追加」ボタンをクリックして以下の設定を追加します。設定後、「保存」ボタンをクリックします。
ルールパーツ
グループ
Group_A
利用設定
除外
○ STEP2 「c-cert.daj.co.jp」をデコード除外
【識別名リストを追加】
管理画面:[ルールセット/ルールパーツ/識別名リスト]
サイドメニュー「追加」ボタンをクリックして以下のルールパーツを作成します。 設定後、「保存」ボタンをクリックし
ます。
設定名
SSLデコード除外ドメイン
タイプ
アクセス先(DST)
識別名
c-cert.daj.co.jp
29
「i-FILTER」Ver.9 運用マニュアル
第2章 HTTPS通信処理設定
【SSLデコードを追加】
管理画面:[オプション/SSL Adapter/SSLデコードポリシー設定]
「行の追加」ボタンをクリックして以下の設定を追加します。
ルールパーツ
識別名リスト(アクセス先)
SSLデコード除外ドメイン
利用設定
除外
○ STEP3 優先順位を変更
管理画面:[オプション/SSL Adapter/SSLデコードポリシー設定]
作成したポリシーの優先順位をマウス操作で変更します。ルールは上から順番に適用されます。
優先順位
条件
動作
備考
1
Group_A
除外
「Group_A」に該当するグループを除外
2
SSLデコード除外ドメイン
除外
「SSLデコード除外ドメイン」ルールパーツに該当するドメインを除外
3
Webサービス
上記以外のWebサービス対象サイトはSSLデコード対象
設定後、「保存」ボタンをクリックします。設定反映後は、以下の表示となります。
30
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
第3章 ユーザー認証設定
3-1 ユーザー認証の概要
3-2 NTLM認証
3-2-1 「i-FILTER for Windows」
3-2-2 「i-FILTER for Linux」
3-3 LDAP認証
3-4 独自認証
3-5 Form認証
3-6 認証除外設定
3-6-1 特定ホストを認証除外
3-6-2 特定クライアントを認証除外
3-6-3 特定Webブラウザー以外からのアクセスを認証除外
3-7 認証詳細モード
31
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-1 ユーザー認証の概要
「i-FILTER」のユーザー認証を利用した場合、ユーザー名によるクライアント識別が可能となります。本マニュアルでは、以下の認証
方式について設定方法を記載しています。
NTLM認証
ActiveDirectoryと連携した認証方式です。
ドメインログオンユーザーは、シングルサインオンによりユーザー情報を入力せずに「i-FILTER」への認証が可能です。
LDAP認証
LDAPサーバーと連携した認証方式です。
ユーザーはWebブラウザー起動時にユーザー情報する必要があります。
独自認証
認証サーバーを必要としない認証方式です。ユーザー情報は「i-FILTER」に手動で入力する必要があります。
ユーザーはWebブラウザー起動時にユーザー情報する必要があります。
詳細モード
ルールパーツを用いた詳細な認証設定が可能です。認証方式はLDAP認証および独自認証が利用可能です。
○ Form認証
LDAP認証もしくは独自認証利用時に、ユーザー認証の情報入力をポップアップ画面からForm画面に変更します。
【Form認証無効時】
【Form認証有効時】
■ ユーザー認証設定初期値
「i-FILTER」初期設定では、認証方式は選択されていません(認証しない)。認証方式が選択されていない場合はIPアドレスのみでクラ
イアントが識別され、すべてのクライアントがアクセス可能です。
32
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-2 NTLM認証
「i-FILTER」がインストールされているサーバーOSによってNTLM認証設定方法が異なります。
3-2-1 「i-FILTER for Windows」
運用要件
Active Directoryドメインメンバーサーバーの「i-FILTER」でNTLM認証を設定
■ Windowsサーバーの設定
○ STEP1 Active Directoryドメインへの参加
「i-FILTER」をインストールしているWindowsサーバーがドメインに参加していることを確認します。
○ STEP2 ログオンアカウントを変更
「i-FILTER Ver.9」サービスのログオンアカウントをドメインの管理者アカウントに変更します。
33
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
■ 「i-FILTER」の設定
○ STEP3 NTLM認証設定
管理画面:[システム設定/ユーザー認証/基本設定]
ユーザー認証方式で「NTLM認証」を選択します。設定後、「保存」ボタンをクリックします。
○ STEP4 サービス再起動
管理画面:トップ
「i-FILTER」サービスを再起動します。
○ STEP5 動作確認
管理画面:[グループ設定/基本モード]
任意のグループ(標準のグループ以外)でユーザーを追加します。編集モードで「認証ユーザー参照」を選択し、「ドメインから取
得」のクリックにより、ドメイングループが表示されることを確認します。
34
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-2-2 「i-FILTER for Linux」
運用要件
「i-FILTER for Linux」をActive Directoryドメインと連携してNTLM認証を設定
ドメイン名(FQDN): daj.co.jp
ドメインコントローラー: 192.168.232.184
LDAPバージョン2でドメインコントローラーと通信
■ ActiveDirectoryドメインコントローラーの設定
○ STEP1 SMB署名の無効化
Active Directoryドメインの「ドメインコントローラーセキュリティポリシー」で[Microsoft ネットワーク サーバー:
常に通信にデジタル署名を行う]を無効化します。
■ 「i-FILTER」の設定
○ STEP2 NTLMドメイン設定
管理画面:[システム設定/ユーザー認証/NTLMドメイン設定]
ドメインコントローラーのアドレス「192.168.232.184」を追加します。
35
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP3 NTLM Active Directory設定
管理画面:[システム設定/ユーザー認証/NTLM Active Directory設定]
ドメインコントローラーの情報を入力します。
本項では、初期値から以下の項目を変更しています。
ドメイン名
DAJ
NetBIOS名を入力します(FQDNを入力しないでください)。
アドレス:ポート番号
192.168.232.184:389
ドメインコントローラーのアドレスとポート番号を入力します。
LDAPバージョン
2
LDAPバージョンを「2」に変更します。
BIND
BIND有効
BINDを有効にします。
BIND DN
cn=Administrator,cn=Users,dc=daj,dc=co,dc=jp
ドメイン管理者アカウントのDNを入力します。
BINDパスワード
password
BIND DNで設定したアカウントのパスワードを入力します。
Search Base
dc=daj,dc=co ,dc=jp
本項ではドメイン全体を指定しています。
設定後、「保存」ボタンをクリックします。
36
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP4 基本設定
管理画面:[システム設定/ユーザー認証/基本設定]
ユーザー認証方式で「NTLM認証」を選択します。設定後、「保存」ボタンをクリックします。
ドメインのグループをOU(階層)ではなくセキュリティグループ(属性)で「i-FILTER」に登録する場合は、「NTLM認
証設定」を以下のように変更します。
グルーピング
属性(RDN)
属性絞り込み設定 [〆] 属性絞り込みを有効にする
memberOf
○ STEP5 サービス再起動
管理画面:トップ
「i-FILTER」サービスを再起動します。
37
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP6 動作確認
管理画面:[グループ設定/基本モード]
任意のグループ(標準のグループ以外)を選択し、ユーザーを追加します。編集モードで「認証ユーザー参照」を選択し、「ドメイ
ンから取得」のクリックにより、ドメイングループが表示されることを確認します。
「STEP4」でセキュリティグループ(属性)用に設定した場合は、さらに「ユーザーの取得」→「属性の取得」をクリ
ックすることで、セキュリティグループが表示されることを確認します。
38
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-3 LDAP認証
運用要件
「i-FILTER」サーバーとLDAPサーバーと連携してLDAP認証を設定
LDAPサーバー: Active Directoryドメインコントローラー(192.168.232.184)
ドメイン名( FQDN ): daj.co.jp
LDAPバージョン2でドメインコントローラーと通信
○ STEP1 LDAPサーバー設定
管理画面:[システム設定/ユーザー認証/LDAPサーバー設定]
LDAP認証サーバーの情報を入力します。
本項では、初期値から以下の項目を変更しています。
(設定名)
LDAP01
任意の名前を入力します。
アドレス:ポート番号
192.168.232.184:389
LDAP認証サーバー名のアドレスを入力します。
LDAPバージョン
2
LDAPバージョンを「2」に変更します。
BIND DN
cn=Administrator,cn=Users,dc=daj,dc=co ,dc=jp
LDAP認証サーバーの管理者アカウントのDNを入力します。
BINDパスワード
password
BIND DNで設定したアカウントのパスワードを入力します。
Search Base
dc=daj,dc=co ,dc=jp
本項ではドメイン全体を指定しています。
Search Filter
(sAMAccountName=%1)
LDAP認証サーバーがActive Directoryの場合は
「(sAMAccountName=%1)」を入力します。
設定後「保存」ボタンをクリックします。
39
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP2 基本設定
管理画面:[システム設定/ユーザー認証/基本設定]
ユーザー認証方式で「LDAP認証」を選択します。
LDAP認証サーバーのグループを階層(OU)ではなく属性(セキュリティグループ)で「i-FILTER」に登録する場合は、
「LDAP認証設定」を以下のように変更します。
グルーピング
属性(RDN)
属性絞り込み設定 [〆] 属性絞り込みを有効にする
memberOf
※認証サーバーがActive DirectoryでmemberOf属性を絞り込む場合
設定後、「保存」ボタンをクリックします。
○ STEP3 サービス再起動
「i-FILTER」サービスを管理画面より再起動します。
40
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP4 動作確認
管理画面:[グループ設定/基本モード]
任意のグループ(標準のグループ以外)を選択し、ユーザーを追加します。
編集モードで「認証ユーザー参照」を選択後、「サーバーから取得」のクリックによりLDAPグループが表示されることを確認し
ます。
「STEP2」で属性(セキュリティグループ)を設定した場合は、さらに「ユーザーの取得」→「属性の取得」をクリッ
クすることで、指定した属性値が表示されることを確認します。
41
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-4 独自認証
運用要件
「i-FILTER」に手動でユーザー情報を登録して認証
○ STEP1 独自認証ユーザー登録
管理画面:[システム設定/ユーザー認証/独自認証設定]
認証ユーザーを登録します。登録後、「保存」ボタンをクリックします。
補足
「インポート」ボタンからユーザーを一括登録することも可能です。
インポートファイルのフォーマットは「ユーザー名:(コロン)パスワード」です。
○ STEP2 基本設定
管理画面:[システム設定/ユーザー認証/基本設定]
ユーザー認証方式で「独自認証」を選択して「保存」ボタンをクリックします。
42
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-5 Form認証
運用要件
LDAP認証で運用している「i-FILTER」のユーザー情報入力方法を「ポップアップ画面」から「フォーム画面」に変更
IPキャッシュ有効時間を初期値の86400(24時間)から43200(12時間)に変更
※ Form認証は「LDAP認証」「独自認証」で利用できます。設定手順は「3-3 LDAP認証」「3-4 独自認証」を参照してください。
○ STEP1 Form認証設定
管理画面:[システム設定/ユーザー認証/基本設定]
Form認証設定を以下のように設定します。設定後、「保存」ボタンをクリックします。
Form認証
有効
IPキャッシュ有効時間
43200
○ STEP2 サービス再起動
管理画面:トップ
「i-FILTER」サービスを再起動します。
○ STEP3 動作確認
Webブラウザーを起動し、フォーム画面が表示されることを確認します。また、Webブラウザー再起動時に認証情報を求められ
ないことを確認します。
43
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-6 認証除外設定
ユーザー認証機能を利用した場合、認証情報がないリクエストはアクセスが拒否されます。認証除外設定をすることで、特定のリクエ
スト先やクライアント端末、アプリケーションなどの条件でアクセスを許可することが可能です。
認証除外されたリクエストは、IPアドレスにより該当する「i-FILTER」グループのフィルタリング設定が適用されます。
3-6-1 特定ホストを認証除外
運用要件
Microsoft Windows Updateの通信で使用するホストを認証除外に設定
○ STEP1 除外設定
管理画面:[システム設定 / ユーザー認証 / 除外設定]
「ホスト名」を以下のように設定します。設定後、「保存」ボタンをクリックします。 ホスト名
有効にする
download.microsoft.com
login.live.com
mp.microsoft.com
ntservicepack.microsoft.com
update.microsoft.com
windowsupdate.com
wustat.windows.com
部分一致
補足
ホスト名は2016年3月現在の下記サイト情報を確認しています。
[参考]マイクロソフトサポート技術情報
https://support.microsoft.com/ja-jp/kb/3084568
○ STEP2 動作確認
該当ホストにアクセスし、認証が行われないことを確認します。
補足
認証除外された場合は、アクセスログの9カラム目が「-」で出力されます。
44
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-6-2 特定クライアントを認証除外
運用要件
NTLM認証環境でドメインに参加していない特定のクライアント端末を認証除外に設定
除外対象IPアドレス:
192.168.2.1~192.168.232.254
172.16.0.0~172.31.255.255
10.3.233.1
10.3.234.100 ○ STEP1 除外設定
管理画面:[システム設定/ユーザー認証/除外設定]
「除外クライアントIP」を以下のように設定します。設定後、「保存」ボタンをクリックします。
除外クライアントIP
有効にする
192.168.2.1- 192.168.232.254
172.16.0.0-172.31.255.255
10.3.233.1
10.3.234.100 部分一致
○ STEP2 動作確認
除外対象のクライアントからアクセスし、認証が行われないことを確認します。
補足
認証除外された場合は、アクセスログの9カラム目が「-」で出力されます。
45
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-6-3 特定Webブラウザー以外からのアクセスを認証除外
運用要件
OSやアプリケーションのアップデーターなどWebブラウザー以外からの通信を認証除外に設定
認証対象のWebブラウザー:
Internet Explorer
Firefox
Google Chrome
Microsoft Edge
○ STEP1 ルールパーツを作成 管理画面:[ルールセット / ルールパーツ / ブラウジング情報セット]
認証対象Webブラウザーを識別するルールパーツを4点作成します。設定後、「保存」ボタンをクリックします。
1.Internet Explorer
2.Firefox
3.Google Chrome
4.Microsoft Edge
設定名
UA(IE)
UA(Firefox)
UA(Chrome)
UA(Edge)
ブラウジング情報
User-Agentヘッダーの値
User-Agentヘッダーの値
User-Agentヘッダーの値
User-Agentヘッダーの値
検索タイプ
部分一致
部分一致
部分一致
部分一致
値
Trident
Firefox
Chrome
Edge
46
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP2 除外設定
管理画面:[システム設定 / ユーザー認証 / 除外設定]
「高度な設定」タブに切り替え、「行の追加」ボタンから以下の設定を追加します。
タイプ
認証
ルールパーツ
ブラウジング情報セット(User-Agentヘッダーの値・完全/部分一致)
!UA(Chrome) ※1
!UA(Edge) ※1
!UA(IE) ※1
!UA(Firefox) ※ 1
AND ※2
利用設定
除外
※1 すべてのルールパーツを逆条件に変更します。選択したルールパーツをダブルクリックするか「逆条件に変更」を
クリックしてください。逆条件の場合ルールパーツ名の先頭に「!」が表示されます。
※2 条件選択は「AND」を指定します(初期設定)。
設定後、「保存」ボタンをクリックします。
○ STEP3 動作確認
除外対象のクライアントアプリケーションからアクセスし、認証が行われないことを確認します。また、認証対象のWebブラウ
ザーからアクセスし、認証が行われることを確認します。
補足
認証除外された場合は、アクセスログの9カラム目が「-」で出力されます。
47
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
3-7 認証詳細モード
運用要件
社外ネットワークはLDAPサーバーAを利用したLDAP認証を設定
社内ネットワークはLDAPサーバーBを利用したLDAP認証を設定
公共ネットワークは独自認証を設定
ネットワーク範囲
社外ネットワーク
10.3.0.1~10.3.255.255
認証サーバー
LDAPサーバーA(192.168.244.183)
ドメイン「daj.co.jp」
社内ネットワーク
192.168.0.1~192.168.255.255
LDAPサーバーB(192.168.244.184)
ドメイン「daj.local」
公共ネットワーク
172.168.16.1~172.168.16.255
なし(独自認証)
Microsoftアップデート関連のドメインを認証除外に設定
○ STEP1 詳細モードを選択 管理画面:[システム設定/ユーザー認証/基本設定]
「ユーザー認証方式」を詳細モードに変更します。設定後、「保存」ボタンをクリックします。
○ STEP2 LDAPサーバー設定
管理画面:[システム設定/ユーザー認証/LDAPサーバー設定]
ネットワーク別に2件のLDAPサーバー設定を登録します。設定後、「保存」ボタンをクリックします。
設定1(LDAPサーバーA)
設定2(LDAPサーバーB)
(設定名)
daj.co.jp
daj.local
アドレス:ポート番号
192.168.244.183:389
192.168.244.184:389
LDAPバージョン
2
2
BIND DN
cn=Administrator,cn=Users,dc=daj,dc=co,dc=jp
cn=Administrator,cn=Users,dc=daj,dc=local
BINDパスワード
password
password
Search Base
dc=daj,dc=co,dc=jp
dc=daj,dc=local
Search Filter
(sAMAccountName=%1)
(sAMAccountName=%1)
48
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP3 LDAPグループ設定
管理画面:[システム設定/ユーザー認証/LDAPグループ設定]
「STEP1」で登録したLDAPサーバーを1台ずつ登録した2点のLDAPグループを追加します。設定後、「保存」ボタンをクリック
します。
LDAPグループ設定1
LDAPグループ設定2
グループ名
社外ネットワーク
社内ネットワーク
LDAP設定(タブ)
※初期設定
※初期設定
LDAPサーバー登録(タブ)
daj.co.jp
daj.local
○ STEP4 独自認証ユーザー登録
管理画面:[システム設定/ユーザー認証/独自認証設定]
認証ユーザーを登録します。設定後、「保存」ボタンをクリックします。
ユーザー名
public01
パスワード
public01
49
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP5 IPアドレスリストを登録
管理画面:[ルールセット/ルールパーツ/IPアドレスリスト]
ネットワーク範囲を指定したIPアドレスリストを3件登録します。設定後、「保存」ボタンをクリックします。
IPアドレスリスト1
IPアドレスリスト2
IPアドレスリスト3
設定名
社外IPアドレス
社内IPアドレス
公共IPアドレス
ディレクション
アクセス元
アクセス元
アクセス元
IPアドレス
10.3.0.1-10.3.255.255
192.168.0.1-192.168.255.255
172.168.16.1-172.168.16.255
○ STEP6 識別名リストを登録
管理画面:[ルールセット/ルールパーツ/識別名リスト]
認証除外ホスト用の識別名リストを登録します。設定後、「保存」ボタンをクリックします。
設定名
認証除外ホスト
タイプ
アクセス先(DST)
識別名
※除外対象ホスト名を登録
download.microsoft.com
login.live.com
mp.microsoft.com
ntservicepack.microsoft.com
update.microsoft.com
windowsupdate.com
wustat.windows.com
形式
部分一致
50
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
○ STEP7 詳細設定
管理画面:[システム設定/ユーザー認証/詳細設定]
認証ユーザーを4行登録します。設定後、「保存」ボタンをクリックします。
1行目
2行目
3行目
4行目
利用設定
除外
利用
利用
利用
ルールパーツ
識別名リスト(アクセス先)
IPアドレスリスト(アクセス元)
IPアドレスリスト(アクセス元)
IPアドレスリスト(アクセス元)
認証除外ホスト
社外IPアドレス
社内IPアドレス
公共IPアドレス
独自認証
認証方式
-
LDAP認証
LDAP認証
認証グループ
-
社外ネットワーク
社内ネットワーク
-
補足
どの条件にも該当しない場合は認証除外となります(登録がない場合はすべての通信が認証除外となります)。
認証詳細モードでは[システム設定/ユーザー認証/除外設定]が動作しないため、[詳細設定]で除外設定行を追加する必
要があります。
○ STEP8 サービス再起動
管理画面:トップ
「i-FILTER」サービスを管理画面より再起動します。
○ STEP9 動作確認
アクセスログからを確認し、意図した動作になっているかを確認します。
① 社外ネットワークからのアクセスをLDAPサーバーAで認証
② 社内ネットワークからのアクセスをLDAPサーバーBで認証
③ 公共ネットワークからのアクセスを独自認証で認証
④ 認証除外ホストに登録したアクセス先が認証されない
※別のネットワークの認証設定が適用されないこともあわせて確認してください
51
「i-FILTER」Ver.9 運用マニュアル
第3章 ユーザー認証設定
52
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
第4章 グループ/ルール設定
4-1 基本モード
4-1-1 全ユーザーで同一のフィルタリング設定
4-1-2 グループ別のフィルタリング設定
4-1-3 別グループでルール設定を共有
4-1-4 SNS投稿やWebメール送信を制御
4-1-5 特定Webサービスの機能を許可
4-1-6 特定URLへのアクションを変更
4-1-7 特定クライアントからのアクセスを制限
4-1-8 フィルターポリシーをスケジューリング
4-2 詳細モード
4-2-1 レスポンスサイズ制限
4-2-2 リクエストサイズ制限
4-2-3 特定条件でブロック画面を変更
4-2-4 特定条件でメール通知
53
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1 基本モード
「i-FILTER」のフィルタリング動作は、グループに個別の設定や「ルールセット」、「共通設定」を組み合わせて実施されています。
グループ設定初期はルールセットを参照せずに、グループ個別の「フィルター」とデフォルトの「ブロック画面」が動作します。
【図:グループ動作概念(ブラックリストモード)】
本項では基本モードの設定方法および、ルールセットや共通設定の変更方法を説明します。
54
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-1 全ユーザーで同一のフィルタリング設定
「i-FILTER」ではグループに所属しないユーザーは、「<<標準のグループ>>」および「共通設定」のフィルタリング設定が適用され
ます。本項では<<標準のグループ>>に対するフィルタリング設定を変更しています。
運用要件
グループは<<標準のグループ>>のみ
URLに「www.testblock.local」を含むWebサイトをフィルタリング
ブロック画面の背景色を「灰色」に設定
ブロック画面表示後にURL「http://www.daj.co.jp/」にリダイレクト
○ STEP1 共通リストの設定
管理画面:[共通設定/基本モード/ユーザー定義リスト]
「www.testblock.local」を含むURLをブロックする設定を追加します。設定後、「保存」ボタンをクリックします。
URLテキストボックス
www.testblock.local
タイプ
部分一致
アクション
ブロック
メール通知
しない
55
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP2 ブロック画面の設定
管理画面:[ルールセット/基本プリセット/ブロック画面]
サイドメニューの「追加」ボタンからブロック画面設定を登録します。本項では以下のように設定しています。設定後、
「保存」ボタンをクリックします。
設定名
TEST_ブロック画面
タイトル名
ブロックしました。
背景色
a9a9a9 (灰色)
メッセージ1
TEST_ブロック画面です。
表示項目
[URL]、[ブロック理由]にチェックを入れます。
メッセージ2
TEST_ブロック画面を表示しています。
指定したURLへリダイレクトする
有効
URLテキストボックス
http://www.daj.co.jp/
□秒後に転送
3
56
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP3 <<標準のグループ>>の設定
管理画面:[グループ設定/基本モード]
<<標準のグループ>>を選択します。また、動作モードが「ブラックリストモード(初期設定)」になっていることを確認します。
また、「ブロック画面」タブをクリックして「ブロック画面選択」で、「STEP1」で登録したブロック画面設定を選択します。
設定後、「保存」ボタンをクリックします。
○ STEP4 動作確認
登録したURL「www.testblock.local」にアクセスすると背景色が変更されたブロック画面が表示されます。
57
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-2 グループ別のフィルタリング設定
「i-FILTER」グループを複数作成し、ユーザーを登録することでグループ別にフィルタリング設定をすることが可能です。本項ではグ
ループごとに別々のルールを設定する手順を記載します。
運用要件
営業部グループに Active Directoryドメインのセキュリティグループ「SalesGroup」を追加 ※
営業部グループにデフォルトのフィルタリングルールを設定(ブラックリストモード) 開発部グループに Active Directoryドメインのセキュリティグループ「DevelopmentGroup 」を追加 ※
開発部グループはすべての閲覧を許可(フィルタリングOFFモード) グループに該当しないユーザーは閲覧を禁止(ホワイトリストモード) ※ NTLM認証設定については、「3-2 NTLM認証 」を参照してください。
○ STEP1 営業グループを設定
管理画面:[グループ設定/基本モード]
サイドメニュー「追加」ボタンからグループを新規作成し、[ユーザー]タブでActive Directoryドメインの「SalesGroup」セキ
ュリティグループを追加します。
編集モード
認証ユーザー参照
NTLMグループ
SalesGroup
また、[ モード]タブで「 ブラックリストモード」が選択されていることを確認します(初期設定)。また、グループ名を「営業グ
ループ」に設定します。
設定後、「保存」ボタンをクリックします。
58
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP2 開発グループを設定
管理画面:[グループ設定/基本モード]
サイドメニュー「追加」ボタンからグループを新規作成し、[ ユーザー]タブでActive Directoryドメインの
「DevelopmentGroup」セキュリティグループを追加します(「STEP1」と同様の手順)。
[モード]タブで「 ブラックリストモード」を「 フィルタリングOFFモード」に変更します。また、グループ名を
「開発グループ」に設定します。
設定後、「保存」ボタンをクリックします。
○ STEP3 <<標準のグループ>>を設定
管理画面:[グループ設定/基本モード]
サイドメニューから<<標準のグループ>>を選択し、[モード ] タブの「ブラックリストモード」を「 ホワイトリストモード」に
変更します。設定後、「保存」ボタンをクリックします。
補足
<<標準のグループ>>をホワイトリストモードにした場合、閲覧許可URLは
[共通設定/基本モード/ユーザー定義リスト]でホワイトリストを選択して登録します。
59
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-3 別グループでルール設定を共有
プリセットを使用することで共通のルールを異なるグループで共有することが可能です。
運用要件
フィルタープリセット「Test_フィルタープリセット」を作成し、営業グループと開発グループに適用
開発グループのみ「http://okserver.testdaj.jp」の閲覧を許可
営業グループのみ「http://ngserver.testdaj.jp」の閲覧を禁止
○ STEP1 フィルタープリセットを作成
管理画面:[ルールセット/基本プリセット/フィルタープリセット]
サイドメニュー「追加」ボタンからプリセットを新規作成します。
設定名
「Test_フィルタープリセット」
URLフィルター
任意にカスタマイズ
コンテンツフィルター
○ STEP2 開発グループを設定(モード)
管理画面:[グループ設定/基本モード]
開発グループの[モード]タブに「STEP1」で作成したフィルタープリセットを適用します。フィルタープリセットはブラックリ
ストモード利用時に選択が可能です。設定後、「保存」ボタンをクリックします。
モード
ブラックリストモード
フィルタープリセット選択
「Test_フィルタープリセット」
60
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP3 開発グループを設定(個別リスト)
管理画面:[グループ設定/基本モード]
続けて[個別リスト]タブの「ブラック除外リスト」に許可URL「http://okserver.testdaj.jp」を追加します。設定後、「保存」
ボタンをクリックします。
個別リスト設定
ブラック除外リスト
URL
http://okserver.testdaj.jp
○ STEP4 営業グループを設定 (モード)
管理画面:[グループ設定/基本モード]
営業グループの[モード]タブに「STEP1」で作成したフィルタープリセットを適用します。 設定後、「保存」ボタンをクリック
します。
モード
ブラックリストモード
フィルタープリセット選択
「Test_フィルタープリセット」
○ STEP5 営業グループを設定 (個別リスト)
管理画面:[グループ設定/基本モード]
続けて[個別リスト]タブの「ブラックリスト(カテゴリ1)」に禁止URL「http://ngserver.testdaj.jp」を追加します。 設定後、
「保存」ボタンをクリックします。
個別リスト設定
ブラックリスト(カテゴリ1)
URL
http://ngserver.testdaj.jp
61
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-4 SNS投稿やWebメール送信を制御
POSTフィルターを設定することで、SNS投稿やWebメール送信などのデータアップロードを制御することが可能です。
運用要件
営業グループは[Webメール]および[SNS]カテゴリでアップロードを禁止
開発グループはURLに「www.testblock.local」を含むWebサイトでアップロードを禁止
○ STEP1 営業グループを設定 管理画面:[グループ設定/基本モード]
営業グループの[フィルター]タブから対象カテゴリのPOSTフィルターを有効にします。設定後、「保存」ボタンをクリックしま
す。 カテゴリ名
有効
アクション
POSTフィルター
Webメール
[ ] ブロック
[〆] 「0」バイト
SNS
[ ] ブロック
[〆] 「0」バイト
○ STEP2 開発グループを設定 管理画面:[グループ設定/基本モード]
開発グループの[個別リスト]タブから「www.testblock.local」のPOSTフィルターを有効にします。設定後、「保存」ボタンを
クリックします。 個別リスト設定
ブラック除外リスト
URL
www.testblock.local
POSTフィルター
[〆]「0」バイトより大きい場合ブロックする 62
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-5 特定Webサービスの機能を許可
Webサービス制御設定により、Webサービスの特定機能を詳細にフィルタリングすることが可能です。
運用要件
営業グループは[Webメール]および[SNS]カテゴリの閲覧を禁止
[SNS]カテゴリ内のFacebookサービスについては、ログインや閲覧を許可
投稿等その他の機能を禁止
○ STEP1 URL(カテゴリ)フィルターを設定 管理画面:[グループ設定/基本モード]
営業グループを選択し、[フィルター]タブで[SNS]カテゴリのアクションをブロックに設定します。 カテゴリ名
有効
アクション
SNS
[〆] ブロック
○ STEP2 Webサービスを設定 管理画面:[グループ設定/基本モード]
[Webサービス]タブに切り替え、「追加」ボタンからFacebookサービスを追加し、閲覧とログインを許可アクションに設定しま
す。設定後、「保存」ボタンをクリックします。 サービス名
機能名
アクション
Facebook
Facebook 閲覧
許可
Facebook ログイン
許可
【その他の機能】
ブロック
補足
Facebookは[SNS]カテゴリに該当しますが、WebサービスフィルターはURLフィルターより高い優先度でフィルタリングする
ため、[SNS]カテゴリがブロック設定でも閲覧やログインが可能です。
63
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-6 特定URLへのアクションを変更
「共通リスト」「個別リスト」を使用することでWebフィルタリングデータベースに存在しないURLのブロックや除外アクションのカ
スタマイズが可能です。
運用要件
カテゴリでブロックされている「abc.daj.jp」を含むURLを会社全体で許可
開発グループは「xyz.daj.jp」を含むURLも許可
営業グループは「000.abc.daj.jp」を含むURLをブロック
○ STEP1 共通リストを設定
管理画面:[共通設定/基本モード/ユーザー定義リスト]
「ブラック除外リスト」に「abc.daj.jp」を追加します(会社全体の設定)。設定後、「保存」ボタンをクリックします。
○ STEP2 開発グループの個別リストを設定 管理画面:[グループ設定/基本モード]
開発グループの[個別リスト]タブで「ブラック除外リスト」に「xyz.daj.jp 」を追加します。設定後、「保存」ボタンをクリッ
クします。
○ STEP3 営業グループの個別リストを設定 管理画面:[グループ設定/基本モード]
営業グループの[個別リスト]タブで「ブラックリスト(優先カテゴリ)」に「000.abc.daj.jp」を追加します。 設定後、
「保存」ボタンをクリックします。
補足
ブラックリスト(優先カテゴリ)は、ブラック除外リストより高い優先度で動作します。
ブラックリスト優先順
①ブラックリスト(優先カテゴリ) > ②ブラック除外リスト > ③ブラックリスト(カテゴリ1~3)
64
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-7 特定クライアントからのアクセスを制限
ルールパーツを使用することでOSやWebブラウザーの情報を含むHTTPヘッダーによるフィルタリングが可能です。
運用要件
会社全体でWindows XP端末からのアクセスを制限
営業グループのみFirefoxからのアクセスを制限
○ STEP1 ルールパーツを作成
管理画面:[ルールセット/ルールパーツ/ブラウジング情報セット]
サイドメニュー「追加」ボタンからルールパーツを新規作成します。設定後、「保存」ボタンをクリックします。
設定名
UA_WindowsXP
ブラウジング情報
User-Agentヘッダーの値
検索タイプ
部分一致
値
Windows NT 5
○ STEP2 優先フィルタリング設定
管理画面:[共通設定/優先フィルタリング設定]
「行の追加」ボタンから「STEP1」で作成したルールパーツをブロックアクションで追加します(共通設定)。設定後、「保存」
ボタンをクリックします。
ルールパーツ
ブラウジング情報セット(User-Agentヘッダーの値・完全/部分一致)
UA_WindowsXP
アクション
ブロック
65
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP3 ルールパーツを作成
管理画面:[ルールセット/ルールパーツ/ブラウジング情報セット]
サイドメニュー「追加」ボタンからルールパーツを2つ新規作成します。 設定後、「保存」ボタンをクリックします。
設定名
UA_Firefox
ブラウジング情報
User-Agentヘッダーの値
検索タイプ
部分一致
値
Firefox/
○ STEP4 高度な設定
管理画面:[グループ設定/基本モード]
営業グループの[高度な設定]タブで「行の追加」ボタンから「STEP2」で作成したルールパーツをブロックアクションで追加し
ます(個別設定)。設定後、「保存」ボタンをクリックします。
ルールパーツ
ブラウジング情報セット(User-Agentヘッダーの値・完全/部分一致)
UA_Firefox
アクション
ブロック
66
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-1-8 フィルターポリシーをスケジューリング
時間割設定により事前に設定したルールプリセットをスケジューリングすることが可能です。本項では以下の要件で時間割設定を運用
します。
運用要件
開発グループは昼休憩時間のみ「ショッピング」と「コミュニケーション」カテゴリへのアクセスを許可
○ STEP1 管理画面:[ルールセット/基本プリセット/ルールプリセット]
サイドメニュー「追加」ボタンから2点のルールプリセットを作成します。
設定名
就業時間ルールプリセット
フィルター
ショッピング
すべてオン
コミュニケーション
すべてオン
設定名
昼休憩ルールプリセット
フィルター
ショッピング
すべてオフ
コミュニケーション
すべてオフ
設定後、「保存」ボタンをクリックします。
67
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP2 開発グループを設定
管理画面:[グループ設定/基本モード]
開発グループの[モード]タブで「時間割設定」に作成したルールプリセットを追加します。設定後、「保存」ボタンをクリック
します。
行
曜日
時刻
使用するルールプリセット
1行目
月~金
12時~13時
昼休憩ルールプリセット
2行目
月~金
9時~18時
就業時間ルールプリセット
※12時~13時までは1行目のルールが優先されます
※1行目と2行目以外の時間は既存のルールでフィルターが行われます(下記図の場合[個別のフィルター強度])
68
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-2 詳細モード
詳細モードでは「ルール」(条件、アクション)にルールセットを参照させことで複雑なフィルタリング設定を実現します。
【図:グループ動作概念「詳細モード」】
注意
基本モードと詳細モードの設定内容は同時に閲覧することができません。基本モードと詳細モードの併用は管理が煩雑になり
ます。
■ 詳細モードの有効化
「詳細モード」は初期設定で無効になっています。有効化する場合はルート管理者による権限変更が必要です。
参照
設定手順は「6-4 詳細モード利用設定」を参照してください。
69
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-2-1 レスポンスサイズ制限
詳細モードではレスポンスサイズによるフィルタリングが可能です。
運用要件
営業グループ(詳細モード)で500MB以上のデータダウンロードを制御
○ STEP1 営業グループを設定 管理画面:[グループ設定/詳細モード]
営業グループの[ルール]タブからレスポンスサイズ制限の設定行を追加します。設定後、「保存」ボタンをクリックします。 タイプ
レスポンスサイズ制限
ルールパーツ
(未選択)
最大サイズ
524288000
70
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-2-2 リクエストサイズ制限
リクエストサイズ制限によりデータアップロードの制御が可能です。また、詳細モードではルールパーツを併用したPOSTフィルター
が可能です。
運用要件
開発グループはHTTPS通信で100KB以上のアップロード(POST)を禁止
営業グループはドメインに「www.testblock.local」を含むWebサイトで10MB以上のアップロード(POST)を禁止
○ STEP1 アクセス情報セットを作成
管理画面:[ルールセット/ルールパーツ/アクセス情報セット]
サイドメニューの「追加」ボタンから、HTTPS通信を指定したルールパーツを作成します。設定後、「保存」ボタンをクリック
します。 設定名
HTTPS
アクセス情報
プロトコル
値
https
○ STEP2 営業グループを設定 管理画面:[グループ設定/詳細モード]
営業グループ(詳細モード)の[ルール]タブからリクエストサイズ制限の設定行を追加します。設定後、「保存」ボタンをクリック
します。
タイプ
リクエストサイズ制限
ルールパーツ
アクセス情報セット(プロトコル)
HTTPS
最大サイズ
102400
アクション
ブロック
71
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP3 ルールパーツ識別名リストを作成 管理画面:[ルールセット/ルールパーツ/識別名リスト]
サイドメニューの「追加」ボタンから、ドメイン「www.testblock.local」を指定したルールパーツを作成します。設定後、
「保存」ボタンをクリックします。
設定名
サイズ制限ドメイン
タイプ
アクセス先(DST)
識別名
www.testblock.local
○ STEP4 開発グループを設定 管理画面:[グループ設定/詳細モード]
開発グループ(詳細モード)の[ルール]タブからリクエストサイズ制限の設定行を追加します。設定後、「保存」ボタンをクリック
します。 タイプ
リクエストサイズ制限
ルールパーツ
識別名リスト(アクセス先)
サイズ制限ドメイン
最大サイズ
10485760
72
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-2-3 特定条件でブロック画面を変更
詳細モードではURLカテゴリごとに異なるブロック画面を設定することが可能です。
運用要件
営業グループで「動画配信」カテゴリをブロック
「動画配信」カテゴリでブロックされた場合の背景色とメッセージを変更
○ STEP1 URLカテゴリセットを作成 管理画面:[ルールセット/ルールパーツ/URLカテゴリセット]
サイドメニュー「追加」ボタンから「動画配信」カテゴリのみを有効にしたルールパーツを作成します。
設定名
動画配信カテゴリ
カテゴリ
動画配信
補足
選択カテゴリが少ない場合は、一度「全てOFF」を適用することで素早く設定ができます。
73
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP2 ブロック画面プリセットを作成 管理画面:[ルールセット/基本プリセット/ブロック画面]
サイドメニュー「追加」ボタンから「背景色」と「メッセージ1」を編集したブロック画面プリセットを作成します。設定後、
「保存」ボタンをクリックします。 設定名
動画配信用ブロック画面
背景色
#ffc0cb
メッセージ1
「動画配信コンテンツの閲覧は禁止されています。」
○ STEP3 営業グループのフィルタリング設定 管理画面:[グループ設定/詳細モード]
営業グループ(詳細モード)の[ルール]タブから、URLカテゴリフィルタリングのリンクをクリックして「動画配信」にチェックを
入れます。設定後、「保存」ボタンをクリックします。 74
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP4 営業グループのブロック画面設定
管理画面:[グループ設定/詳細モード](同画面)
続けて「行の追加ボタン」から「動画配信」カテゴリのみを条件にしたブロック画面設定を追加します。
タイプ
メッセージ画面
ルールパーツ
URLカテゴリセット
動画配信カテゴリ
画面設定
動画配信用ブロック画面
また、追加した行をマウス操作にて既存のメッセージ画面設定行より上に移動します。設定後、「保存」ボタンをクリックしま
す。 ○ STEP5 動作確認 対象サイトにアクセスし、設定したブロック画面が表示されるかを確認します。
75
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
4-2-4 特定条件でメール通知
詳細モードでは細かい条件設定によるメール通知が可能です。
運用要件
営業グループでは「求人情報」「アダルトマテリアル」カテゴリでブロックされた場合、送信先リスト「ML営業部管理者」
に通知する
○ STEP1 メール通知設定 メール通知設定を実施します。設定手順は「7-1 メール通知」を参照してください。
○ STEP2 URLカテゴリセットを作成 管理画面:[ルールセット/ルールパーツ/URLカテゴリセット]
サイドメニュー「追加」ボタンから「求人情報」「アダルトマテリアル」カテゴリを有効にしたルールパーツを作成します。設
定後、「保存」ボタンをクリックします。 設定名
カテゴリ
メール通知対象カテゴリ
ポルノ・アダルトサイト
ヌード・アダルトグッズ
グラビア・写真集
性教育・性の話題
求人情報
76
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
○ STEP3 営業グループのフィルタリング設定 管理画面:[グループ設定/詳細モード]
「行の追加ボタン」から作成したURLカテゴリセットを条件にメール通知設定を実施します。
タイプ
フィルタリング
ルールパーツ
URLカテゴリセット
メール通知対象カテゴリ
アクション
ブロック
メール送信先
ML営業部管理者
また、追加した行をマウス操作にて既存のフィルタリング(URLカテゴリ)設定行より上に移動します。設定後、「保存」ボタンを
クリックします。 ○ STEP4 動作確認 対象サイトにアクセスし、ブロックアクションおよびメール通知が実施されるかを確認します。
77
「i-FILTER」Ver.9 運用マニュアル
第4章 グループ/ルール設定
78
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
第5章 ネットワーク連携設定
5-1 多段プロキシ構成
5-1-1 上位プロキシサーバー設定
5-1-2 冗長構成「アクティブ/アクティブ」
5-1-3 冗長構成「アクティブ/スタンバイ」
5-1-4 上位通信のルーティング
5-1-5 上位にクライアントIPアドレスを転送
5-1-6 下位からクライアントIPアドレスを取得
5-2 設定同期構成
5-2-1 マスター/スレーブ構成で設定同期
5-2-2 マルチマスター構成で設定同期
5-2-3 同期サーバー別に上位プロキシを設定(IncomingIP利用)
5-3 「AV Adapter」連携構成(ウイルス対策)
5-3-1 ダウンロードコンテンツをスキャン(RESPMOD)
5-3-2 アップロードコンテンツをスキャン(REQMOD)
79
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-1 多段プロキシ構成
「i-FILTER」の上位もしくは、下位に別のプロキシサーバーを設置する場合の設定手順を記載します。
5-1-1 上位プロキシサーバー設定
運用要件
「i-FILTER」の上位に1台のプロキシサーバー「192.168.232.142:8080」を設置
上位プロキシサーバーでは認証を必要とする(ユーザー名:ifilter、パスワード:password)
○ STEP1 上位プロキシサーバーの設定
管理画面:[システム設定/上位プロキシサーバー/サーバー設定]
サイドメニュー「追加」ボタンから上位プロキシサーバー設定を追加します。設定後、「保存」ボタンをクリックします。
アドレス:ポート番号
192.168.232.142:8080
サーバー状態
利用
「i-FILTER通信」
[〆] 利用する
認証設定
[〆] 認証を行う
アカウント
ユーザー名
ifilter
新パスワード
password
新パスワード(確認) password
80
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP2 上位プロキシサーバー通信を有効にする
管理画面:[システム設定/上位プロキシサーバー/基本設定]
上位プロキシサーバーを有効にします。設定後、「保存」ボタンをクリックします。
81
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-1-2 冗長構成「アクティブ/アクティブ」
複数の上位プロキシサーバーに通信を振り分ける場合の設定手順について解説します。
運用要件
「i-FILTER」の上位に2台のプロキシサーバー「192.168.232.142:8080」「192.168.232.184:8090」を設置
1:1の比率で上位プロキシサーバーに通信を振り分け
○ STEP1 上位プロキシサーバーを設定
管理画面:[システム設定/上位プロキシサーバー/サーバー設定]
サイドメニュー「追加」ボタンから2点の上位プロキシサーバー設定を追加します。設定後、「保存」ボタンをクリックします。
上位プロキシサーバー設定①
上位プロキシサーバー設定②
アドレス:ポート番号
192.168.232.142:8080
アドレス:ポート番号
192.168.232.184:8090
サーバー状態
利用
サーバー状態
利用
「i-FILTER通信」
[〆] 利用する
「i-FILTER通信」
[ ] 利用する
○ STEP2 上位プロキシサーバー通信を有効にする
管理画面:[システム設定/上位プロキシサーバー/基本設定]
上位プロキシサーバーを有効にします。設定後、「保存」ボタンをクリックします。
82
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-1-3 冗長構成「アクティブ/スタンバイ」
上位プロキシサーバーへの通信に異常が発生した場合に待機系のプロキシサーバーに通信を切り替える場合の設定手順について解説し
ます。
運用要件
「i-FILTER」の上位に2台のプロキシサーバー「192.168.232.142:8080」「192.168.232.184:8090」を設置
通常時は「192.168.232.142:8080」を使用
障害発生時に「192.168.232.184:8090」に切り替えを実施
○ STEP1 上位プロキシサーバーを設定
管理画面:[システム設定/上位プロキシサーバー/サーバー設定]
サイドメニュー「追加」ボタンから2点の上位プロキシサーバー設定を追加します。設定後、「保存」ボタンをクリックします。
上位プロキシサーバー設定①
上位プロキシサーバー設定②
アドレス:ポート番号
192.168.232.142:8080
アドレス:ポート番号
192.168.232.184:8090
サーバー状態
利用
サーバー状態
待機
「i-FILTER通信」
[〆] 利用する
「i-FILTER通信」
[ ] 利用する
○ STEP2 接続エラー判定を有効にする
管理画面:[システム設定/上位プロキシサーバー/基本設定]
上位プロキシルール設定を変更します。本項では以下の設定を初期値から変更しています。
接続エラー判定
[〆] 接続エラー回数で判定する
挙動設定
[〆] 待機サーバーに切り替える
[〆] 待機サーバーがない場合、一時的に接続を中断する
83
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP3 上位プロキシサーバー通信を有効にする
管理画面:[システム設定/上位プロキシサーバー/サーバー設定](同画面)
上位プロキシサーバーを有効にします。設定後、「保存」ボタンをクリックします。
補足
「STEP2」の条件に合致した場合、[ログ/実行ログ/if_proxy実行ログ]に以下を出力し、待機サーバーに切り替わります。
[INFO] YYYY/MM/DD/hh:mm:dd 上位プロキシサーバーの接続失敗回数が上限に達したため、一時的に待機サーバーに切り替えます。
(192.168.232.142:8080 -> 192.168.232.184:8090)
84
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-1-4 上位通信のルーティング
「i-FILTER」の上位にプロキシサーバーを設置する場合の設定手順について解説します。
運用要件
「i-FILTER」の上位に2台のプロキシサーバー「192.168.232.142:8080」「192.168.232.184:8090」を設置
社内ネットワーク「192.168.232.xxx」宛の通信は上位プロキシサーバーを使用しない
特定ドメイン「abc.daj.jp」宛の通信は「192.168.232.184:8090」を使用
その他の通信は「192.168.232.142:8080」を使用
○ STEP1 上位プロキシサーバーを設定
管理画面:[システム設定/上位プロキシサーバー/サーバー設定]
サイドメニュー「追加」ボタンから2点の上位プロキシサーバー設定を追加します。設定後、「保存」ボタンをクリックします。
上位プロキシサーバー設定①
上位プロキシサーバー設定②
アドレス:ポート番号
192.168.232.142:8080
アドレス:ポート番号
192.168.232.184:8090
サーバー状態
利用
サーバー状態
利用
「i-FILTER通信」
[〆] 利用する
「i-FILTER通信」
[ ] 利用する
○ STEP2 IPアドレスリストを作成(宛先IPアドレス設定)
管理画面:[ルールセット/ルールパーツ/IPアドレスリスト]
サイドメニュー「追加」ボタンからIPアドレスリストを作成します。設定後、「保存」ボタンをクリックします。
設定名
社内ネットワーク
ディレクション
アクセス先(DST)
新規IPアドレス
「192.168.232.1」-「192.168.232.255」
85
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP3 識別名リストを作成(宛先ドメイン設定)
管理画面:[ルールセット/ルールパーツ/識別名リスト]
サイドメニュー「追加」ボタンから識別名リストを作成します。 設定後、「保存」ボタンをクリックします。
設定名
識別名リスト「abc」
タイプ
アクセス先(DST)
識別名
abc.daj.jp
形式
部分一致 ○ STEP4 ルーティング設定
管理画面:[システム設定/上位プロキシサーバー/ルーティング設定]
上位プロキシサーバーのルーティング設定を3行追加します。設定後、「保存」ボタンをクリックします。
1行目
2行目
IPアドレスリスト(アクセス先)
識別名リスト(アクセス先)
(未選択)
社内ネットワーク
識別名リスト「abc」
(未選択)
利用設定
除外
利用
利用
設定値
(任意)
192.168.232.184:8090
192.168.232.142:8080
ルールパーツ
3行目
○ STEP5 上位プロキシサーバー設定を有効化
管理画面:[システム設定/上位プロキシサーバー/基本設定]
上位プロキシサーバーを有効にします。設定後、「保存」ボタンをクリックします。
86
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-1-5 上位にクライアントIPアドレスを転送
「i-FILTER」は上位プロキシサーバーへリクエストする際に、「X-Forwarded-For」ヘッダーにクライアントのIPアドレスを付与する
ことが可能です。上位プロキシサーバーやWebサーバーは「X-Forwarded-For」ヘッダーの情報を元にアクセスログ出力等クライアン
ト個別の処理を実施します。
運用要件
すべてのリクエストに対して「X-Forwarded-For」ヘッダーにクライアントのIPアドレスを付与
○ STEP1 上位プロキシサーバーの設定
管理画面:[システム設定/ヘッダーコントローラー設定]
「X-Forwarded-For」ヘッダーにクライアントIPアドレスを付与する設定を追加します。設定後、「保存」ボタンをクリックし
ます。
タイプ
HTTPリクエストヘッダーの値を操作する
ルールパーツ
(未選択)
ヘッダー名
X-Forwarded-For
アクション
追加
ヘッダー値
client_ip
補足
クライアント端末のIPアドレスは、X-Forwarded-Forリクエストヘッダーフィールドに記載され上位に送信されます。
87
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-1-6 下位からクライアントIPアドレスを取得
「i-FILTER」は、X-Forwarded-ForヘッダーのIPアドレスをクライアント情報として認識する設定ができます。この設定により下位プ
ロキシサーバーが存在する場合でも、クライアント端末のIPアドレス別のアクセスログ出力やグルーピング等の処理が可能です。
運用要件
下位プロキシサーバーが付与したX-Forwarded-ForヘッダーのIPアドレスをクライアント情報として認識
上位通信へのリクエストヘッダーからX-Forwarded-Forヘッダーを削除
○ STEP1 ヘッダーコントローラー設定①
管理画面:[システム設定/ヘッダーコントローラー設定]
「X-Forwarded-For」ヘッダーからクライアントのIPアドレスを取得するよう設定します。
タイプ
通信設定をHTTPリクエストヘッダーの値で変更する
ルールパーツ
(未選択)
通信設定
IPアドレス
クライアントIPアドレス
ヘッダー名
X-Forwarded-For
【図:ヘッダーコントローラー設定①】
88
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP2 ヘッダーコントローラー設定②
管理画面:[システム設定/ヘッダーコントローラー設定]
上位通信へのリクエストヘッダーから「X-Forwarded-For」ヘッダーを削除します(外部にクライアントIPアドレス情報が流れな
いようにするための設定です)。設定後、「保存」ボタンをクリックします。
タイプ
HTTPリクエストヘッダーの値を操作する
ルールパーツ
(未選択)
ヘッダー名
X-Forwarded-For
アクション
削除
【図:ヘッダーコントローラー設定①】
【図:ヘッダーコントローラー設定一覧】
89
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-2 設定同期構成
設定同期により、複数「i-FILTER」を同じ設定に保つことが可能です。複数の「i-FILTER」を一元管理することで冗長化や負荷分散に
よる複数台構成の管理が容易になります。
5-2-1 マスター/スレーブ構成で設定同期
運用要件
サーバー①「192.168.232.183」をマスターサーバーとして設定
サーバー②「192.168.232.184」をスレーブサーバーとして設定
同期可能な設定をすべて同期
設定同期ポート番号として「15083」(初期値)を使用
○ STEP1 設定をバックアップ
管理画面:[システム設定/設定バックアップ]
「今すぐバックアップ」ボタンをクリックして設定ファイルをバックアップします(サーバー①、サーバー②共通)。
○ STEP2 設定同期ポートを確認 管理画面:[システム設定/システムパラメーター設定/システム機能設定]
「設定同期」を初期値の「15083」に設定します(サーバー①、サーバー②共通)。 設定後、「保存」ボタンをクリックします。
90
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP3 設定同期対象の「i-FILTER」を登録
管理画面:[システム設定/設定同期/同期ホスト登録]
同期対象の「i-FILTER」を登録します。この際、自身の「i-FILTER」は登録しません。設定後、「保存」ボタンをクリックしま
す。
サーバー①「192.168.232.183」
サーバー②「192.168.232.184」
IPアドレス
192.168.232.184
IPアドレス
192.168.232.183
ポート番号
15083
ポート番号
15083
○ STEP4 設定同期を有効化
管理画面:[システム設定/設定同期/基本設定]
設定同期の内容を指定して有効化します。設定後、「保存」ボタンをクリックします。
サーバー①「192.168.232.183」
基本設定
サーバー②「192.168.232.184」
すべてのチェックボックスをオン
マスターを選択
基本設定
すべてのチェックボックスをオン
スレーブを選択
自動同期
「自動同期を有効にする」をオン
自動同期
「自動同期を有効にする」をオン
同期内容
「同期可能な設定を全て同期」を選択
同期内容
「同期可能な設定を全て同期」を選択
91
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP5 サービス再起動
管理画面:トップ
「i-FILTER」サービスをサーバー②(スレーブ)→サーバー①(マスター)の順に再起動します。
○ STEP6 手動同期
管理画面:[システム設定/設定同期/手動同期] サーバー① (マスター)
以下を選択して「同期実行」をクリックします。
同期ホスト
手動同期
192.168.232.184を選択して反転
自ホストの設定を同期させる
同期可能な設定を全て同期
○ STEP7 スレーブ機の「i-FILTER」サービスを再起動
管理画面:[システム設定/設定同期/手動同期] サーバー① (マスター)
続けて以下を選択して「同期実行」をクリックします。この作業により再起動が必要な設定が反映されます。
同期ホスト
手動同期
192.168.232.184を選択して反転
選択したホストを再起動する
92
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP8 動作確認 管理画面:トップ サーバー①とサーバー②の同期状態を確認します。
サーバー①「192.168.232.183」
サーバー②「192.168.232.184」
トップ
正常に状態表示されているかを確認
正常に状態表示されているかを確認
各設定
以下の設定内容および設定変更が同期がされるかを確認
グループ設定
ルールセット
システム設定
オプション
93
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-2-2 マルチマスター構成で設定同期
冗長構成など複数の「i-FILTER」サーバーから設定変更が必要な場合はマルチマスター構成に設定します。
運用要件
マスター/スレーブ構成のサーバー①「192.168.232.183」、サーバー②「192.168.232.184」をマルチマスター構成に変更
スレーブ機(サーバー②)「192.168.232.184」をマスター構成に変更
○ STEP1 設定をバックアップ
事前に設定をバックアップします(スレーブ機は管理画面から手動バックアップができません)。
サーバー① 「192.168.232.183」
管理画面:[システム設定/設定バックアップ]
「今すぐバックアップ」を実行
サーバー② 「192.168.232.184」 設定ファイル保存ディレクトリをコピー 【Windows】
C:¥Program Files¥Digital Arts¥i-FILTER Proxy Server Ver.9¥conf¥ 【Linux】
/usr/local/ifilter9/conf/
94
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP2 スレーブ構成からマスター構成に変更
管理画面:[システム設定/設定同期/基本設定]
スレーブ機(サーバー②)の設定を変更します。 本項では以下をマスター機(サーバー①)と同じ設定に変更しています。設定後、
「保存」ボタンをクリックします。
サーバー①「192.168.232.183」
基本設定
サーバー②「192.168.232.184」
すべてのチェックボックスをオン
マスターを選択
基本設定
すべてのチェックボックスをオン
マスターを選択
自動同期
「自動同期を有効にする」をオン
自動同期
「自動同期を有効にする」をオン
同期内容
「同期可能な設定を全て同期」を選択
同期内容
「同期可能な設定を全て同期」を選択
○ STEP3 サービス再起動
管理画面:[システム設定/設定同期/手動同期] サーバー①
サーバー②の「i-FILTER」サービスを再起動します。
同期ホスト
手動同期
192.168.232.184を選択して反転
選択したホストを再起動する
95
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP4 動作確認 管理画面:トップ
サーバー①とサーバー②の同期状態を確認します。
サーバー①「192.168.232.183」
サーバー②「192.168.232.184」
トップ
正常に状態表示されているかを確認
正常に状態表示されているかを確認
各設定
以下の設定内容および設定変更が同期がされるかを確認
グループ設定
ルールセット
システム設定
オプション
96
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-2-3 同期サーバー別に上位プロキシを設定(IncomingIP利用)
「i-FILTER」設定同期環境で、同期対象を「再起動が不要な設定のみ同期」もしくは「同期可能な設定を全て同期」とした場合、上位
プロキシサーバー設定は同期対象となります。本項では同期対象設定に関わらず「i-FILTER」ごとに異なる上位プロキシサーバーを設
定する手順を記載します。
運用要件
同期対象を「同期可能な設定を全て同期」で運用中
設定同期構成の「i-FILTER」2台で別々の上位プロキシサーバーに接続
「i-FILTER」サーバー
接続先上位プロキシサーバー
サーバー①「192.168.244.181」
192.168.10.1:8080
サーバー②「192.168.244.182」
192.168.20.1:8080
○ STEP1 IncomingIPを設定
管理画面:[システム設定システムパラメーター設定システムIPアドレス設定]
「incoming IPアドレスリスト」に、各「i-FILTER」自身のローカルIPアドレスを設定します。設定後、「保存」ボタンをクリッ
クします。
設定項目
incoming IPアドレスリスト
サーバー①
サーバー②
192.168.244.181
192.168.244.182
補足
本設定は同期対象外 となるため、各サーバーで別々の設定を実施します。
97
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP2 ルールパーツを作成
管理画面:[ルールセット/ルールパーツ/IPアドレスリスト]
「STEP1」のIPアドレスで「ローカルホスト」ルールパーツを同期台数分作成します。今回は2台同期のため以下2点のルールパ
ーツを作成します。設定後、「保存」ボタンをクリックします。
設定名
ローカルホスト(1)
ディレクション
ローカルホスト
IPアドレス
192.168.244.181
設定名
ローカルホスト(2)
ディレクション
ローカルホスト
IPアドレス
192.168.244.182
補足
本設定は同期対象となるため、マスターサーバー1台で設定を実施します。
○ STEP3 上位プロキシサーバーを登録
管理画面:[システム設定/上位プロキシサーバー/サーバー設定]
各「i-FILTER」サーバーが使用する上位プロキシサーバーを登録します。今回は2台の上位プロキシサーバーを登録します。設定
後、「保存」ボタンをクリックします。
192.168.10.1:8080
192.168.20.1:8080
補足
本設定は同期対象となるため、マスターサーバー1台で設定を実施します。
98
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP4 上位プロキシサーバー設定を有効化
管理画面:[システム設定/上位プロキシサーバー/基本設定]
上位プロキシサーバーを有効にします。設定後、「保存」ボタンをクリックします。
補足
本設定は同期対象となるため、マスターサーバー1台で設定を実施します。
○ STEP5 上位プロキシサーバーのルーティングを設定
[システム設定/上位プロキシサーバー/ルーティング設定]
「STEP2」で作成したルールパーツを条件に2点のルーティング設定を追加します。設定後、「保存」ボタンをクリックします。
ルールパーツ
設定値
設定①
設定②
IPアドレスリスト(ローカルホスト)
IPアドレスリスト(ローカルホスト)
ローカルホスト(1)
ローカルホスト(2)
192.168.10.1:8080
192.168.20.1:8080
補足
本設定は同期対象となるため、マスターサーバー1台で設定を実施します。
※ ルーティング設定は同期されますが、各「i-FILTER」サーバーのローカルIPアドレスで上位プロキシを判断します
99
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-3 「AV Adapter」連携構成(ウイルス対策)
AV Adapter(有償オプション)の利用により、ICAP通信に対応したウイルススキャン製品と連携し、不正通信をブロックすることが可
能です。
ダウンロードコンテンツをスキャンする場合はRESPMODを有効にし、アップロードコンテンツをスキャンする場合はREQMODを有効
にします。
100
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-3-1 ダウンロードコンテンツをスキャン(RESPMOD)
運用要件
ウイルススキャンサーバー「192.168.232.1」をICAPサーバーとして連携
ウイルススキャン対象:ダウンロードコンテンツ
○ STEP1 ウイルススキャンサーバーを登録
管理画面:[オプション/AV Adapter/ICAPサービス設定]
サイドメニュー「追加」ボタンからウイルススキャンサーバーを追加します。設定後、「保存」ボタンをクリックします。
(設定名)
ICAPサーバー設定(RESPMOD)
サービスURL
icap://192.168.232.1:1344/resp
※入力後「設定取得」ボタンをクリック
補足
サービスURLはウイルススキャン製品によって異なります。詳細は製品提供元に確認してください。
○ STEP2 転送ポリシーを設定
管理画面:[オプション/AV Adapter/ICAPサーバー転送ポリシー設定]
「STEP1」で登録したICAPサーバーの利用設定を追加します。設定後、「保存」ボタンをクリックします。
タイプ
RESPMOD
ルールパーツ
(未選択)
利用設定
利用
設定値
デフォルト設定
101
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP3 AV Adapterを有効化
管理画面:[オプション/AV Adapter/基本設定]
「ICAPクライアント機能」を有効にします。設定後、「保存」ボタンをクリックします。
○ STEP4 サービス再起動
管理画面:トップ
「i-FILTER」サービスを管理画面より再起動します。
○ STEP5 動作確認
動作確認用テストウイルスをダウンロードして正常に検出されるかを確認します。
テストウイルス提供元
「EICAR(http://www.eicar.org/)」
http://www.eicar.org/85-0-Download.html
ダウンロードURL
http://www.eicar.org/download/eicar.com
正常にブロックされた場合、管理画面[ログ/ブロックログ]に以下の様に表示されます。
Webブラウザーには、以下のブロック画面が表示されます(ページ構成によっては表示されない場合もあります)。
102
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
5-3-2 アップロードコンテンツをスキャン(REQMOD)
運用要件
ウイルススキャンサーバー「192.168.232.1」をICAPサーバーとして連携
ウイルススキャン対象:アップロードコンテンツ
○ STEP1 ウイルススキャンサーバーを登録
管理画面:[オプション/AV Adapter/ICAPサービス設定]
サイドメニュー「追加」ボタンからウイルススキャンサーバーを追加します。設定後、「保存」ボタンをクリックします。
(設定名)
ICAPサーバー設定(REQMOD)
サービスURL
icap://192.168.232.1:1344/REQ-Service
※入力後「設定取得」ボタンをクリック
補足
サービスURLはウイルススキャン製品によって異なります。詳細は製品提供元に確認してください。
○ STEP2 転送ポリシーを設定
管理画面:[オプション/AV Adapter/ICAPサーバー転送ポリシー設定]
「STEP1」で登録したICAPサーバーの利用設定を追加します。設定後、「保存」ボタンをクリックします。
タイプ
REQMOD
ルールパーツ
(未選択)
利用設定
利用
設定値
デフォルト設定
103
「i-FILTER」Ver.9 運用マニュアル
第5章 ネットワーク連携設定
○ STEP3 AV Adapterを有効化
管理画面:[オプション/AV Adapter/基本設定]
「ICAPクライアント機能」が無効の場合は有効にチェックを入れます。設定後、「保存」ボタンをクリックします。
○ STEP4 サービス再起動
管理画面:トップ
「i-FILTER」サービスを再起動します。
○ STEP5 動作確認
動作確認用テストウイルスをWebメール送信やアップロード等で正常に検出されるかを確認します。
テストウイルス提供元
「EICAR(http://www.eicar.org/)」
http://www.eicar.org/85-0-Download.html
ダウンロードURL
http://www.eicar.org/download/eicar.com
正常にブロックされた場合、管理画面[ログ/ブロックログ]に以下の様に表示されます。
104
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
第6章 管理者設定
6-1 管理者パスワードを変更
6-2 グループ管理者を作成
6-3 LDAP認証ユーザーを管理者に登録
6-4 詳細モード利用設定
105
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
6-1 管理者パスワードを変更
管理ユーザーのパスワードはルート権限の管理者により変更できます。セキュリティのために初期設定の管理者パスワードは必ず変更
してください。
運用要件
全体管理者のパスワードを変更
ルート管理者のパスワードを変更
○ STEP1 ルート管理者でログイン
ルート管理者でログインします。インストール初期設定は「ユーザー名:root」「パスワード:password」です。
○ STEP2 全体管理者のパスワードを変更する 管理画面(ルート権限):[システム設定/管理者設定/アドミニストレーター設定]
画面サイドメニューより「テンプレート:全体管理者」を以下の様に変更します。設定後、「上書き保存」ボタンをクリックし
ます。
ユーザーリスト
「admin」を選択
旧パスワード
password ※初期設定
新パスワード
(新パスワードを入力)
新パスワード(確認)
(新パスワードを再入力)
○ STEP3 ルート管理者のパスワードを変更する 管理画面(ルート権限):[システム設定/管理者設定/ルート管理者設定]
ルート管理者のパスワードを変更します。
旧パスワード
password ※初期設定
新パスワード
(新パスワードを入力)
新パスワード(確認)
(新パスワードを再入力)
106
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
6-2 グループ管理者を作成
グループ管理者を作成し、一部権限を付与することで管理者の負荷を分散することが可能です。
運用要件
営業グループ用の権限ロール「営業グループ管理者」を作成
「営業グループ管理者」に営業グループの編集権限を付与
「営業グループ管理者」にユーザー「sadmin」を追加
○ STEP1 ルート管理者でログイン ルート管理者でログインします。インストール初期設定は「ユーザー名:root」「パスワード:password」です。 ○ STEP2 新規権限ロールを作成 管理画面(ルート権限):[システム設定/管理者設定/アドミニストレーター設定]
サイドメニュー「追加」より新規権限ロールを作成します。 設定後、「新規保存」ボタンをクリックします。
(設定名)
営業グループ管理者
権限設定
グループ
管理対象グループ
「営業グループ」を選択
基本
全体編集権限
「編集可能」を選択
個別編集権限
「編集可能」を選択(全項目)
107
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
○ STEP3 ユーザーを追加
管理画面(ルート権限):[システム設定/管理者設定/アドミニストレーター設定](同画面)
続けてユーザーリスト編集項目より、ユーザー名およびパスワードを設定し、「追加」ボタンをクリックします。設定後、「上
書き保存」ボタンをクリックします。
ユーザー名
sadmin
新パスワード
(新パスワードを入力)
新パスワード(確認)
(新パスワードを再入力)
○ STEP4 動作確認
管理画面:[グループ設定基本モード]
作成した「sadmin」でログインし、管理対象グループのグループ設定のみが編集可能なことを確認します。
108
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
6-3 LDAP認証ユーザーを管理者に登録
LDAPサーバーのユーザーを管理ユーザーに登録することが可能です。
運用要件
LDAPサーバーにActive Directoryドメインコントローラー「192.168.232.184」を指定
営業部OU「佐々木」を「営業グループ管理者」権限ロールに追加
○ STEP1 LDAPサーバー設定
管理画面:[システム設定/ユーザー認証/LDAPサーバー設定]
LDAP認証サーバーの情報を入力します。設定後、「保存」ボタンをクリックします。
(設定名)
LDAP01
任意のLDAP認証サーバー名を入力します。
アドレス:ポート番号
192.168.232.184:389
LDAP認証サーバー名のアドレスを入力します。
LDAPバージョン
2
LDAPバージョンを「2」に変更します。
BIND DN
cn=Administrator,cn=Users,dc=daj,dc=co ,dc=jp
LDAP認証サーバーの管理者アカウントのDNを入力します。
BINDパスワード
password
BIND DNで設定したアカウントのパスワードを入力します。
Search Base
dc=daj,dc=co ,dc=jp
本項ではドメイン全体を指定しています。
Search Filter
(sAMAccountName=%1)
LDAP認証サーバーがActive Directoryの場合は
「(sAMAccountName=%1)」を入力します。
○ STEP2 サービス再起動
管理画面:トップ
「i-FILTER」サービスを再起動します。
109
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
○ STEP3 管理者認証を有効にする
管理画面(ルート権限):[システム設定/管理者設定/ルート管理者設定]
「LDAP認証で管理者の認証を行う」を有効にします。設定後、「保存」ボタンをクリックします。
○ STEP4 認証ユーザーを登録
管理画面(ルート権限):[システム設定/管理者設定/アドミニストレーター設定]
「営業グループ管理者」を選択して、以下を設定します。設定後、「上書き保存」ボタンをクリックします。
ユーザーリスト編集
「LDAPサーバー参照」を選択
サーバー選択
「LDAP01」を選択
LDAPグループ
「OU=営業部・・・」を選択して「ユーザーの取得」ボタンをクリック
LDAPユーザー
「CN=佐々木・・・」を選択して「追加」ボタンをクリック
○ STEP5 動作確認
「佐々木」のユーザー名/パスワードでログインできることを確認します。
110
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
6-4 詳細モード利用設定
「i-FILTER」初期設定では、詳細モードによる操作が制限されています。変更を可能にする場合は、ルート管理者による権限変更が必
要です。
運用要件
adminユーザーで、詳細モードの設定を可能にする
○ STEP1 ルート管理者でログイン ルート管理者でログインします。インストール初期設定は「ユーザー名:root」「パスワード:password」です。 ○ STEP2 新規権限ロールを編集
管理画面(ルート権限):[システム設定/管理者設定/アドミニストレーター設定]
「テンプレート:全体管理者」の権限設定を変更します。設定後、「上書き保存」ボタンをクリックします。
グループ
詳細
全体編集権限
編集可能
共通設定
詳細
編集権限
編集可能
111
「i-FILTER」Ver.9 運用マニュアル
第6章 管理者設定
○ STEP3 設定確認
管理画面:トップ
「admin」で再ログイン後、グループ設定と共通設定に「詳細モード」が表示され、編集可能なことを確認します。
112
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
第7章 その他の機能
7-1 メール通知
7-2 公開申請機能
7-2-1 公開申請設定(管理者作業)
7-2-2 ブロック解除依頼(ユーザー作業)
7-2-3 ブロック解除(管理者作業)
7-3 Info Board
7-4 Test Board
7-4-1 Test Board設定
7-4-2 Test Board設定(有償機能)
7-5 IPv6ネットワーク接続設定
7-6 SSL代理証明書を同期
7-7 応用設定
7-7-1 Google Appsで一般アカウントを制御
7-7-2 特定のYouTube動画のみを閲覧許可
7-7-3 「i-FILTER」を経由せずにアクセス
7-7-4 検索サイトのセーフサーチを強制適用
7-7-5 YouTubeの制限付きモードを強制適用
113
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-1 メール通知
メール送信設定をすることで、「i-FILTER」のシステムログやフィルターアクション、公開申請等の通知をメールで受け取ることがで
きます。
運用要件
SMTPサーバー「192.168.232.1:25」に通知メールを送信
システムログのエラーメッセージを通知
送信先を「[email protected]」に設定
○ STEP1 宛先設定 管理画面:[システム設定/メール送信設定/送信先リスト]
メールアドレスを登録します。本項では以下の様に設定しています。設定後、「保存」ボタンをクリックします。
(設定名)
mail1
(メールアドレス)
[email protected]
○ STEP2 送信ルール設定 管理画面:[システム設定/メール送信設定/送信ルール設定]
通知設定を確認します。本項では以下の初期値に設定しています。設定を変更した場合は、「保存」ボタンをクリックします。
114
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 メール送信設定の有効化
管理画面:[システム設定/メール送信設定/基本設定]
メール送信設定を有効化します。設定後、「保存」ボタンをクリックします。
メール送信
[〆] 送信する
必須
SMTPサーバー
アドレス:「192.168.232.1」 ポート番号:「25」
必須
Subject
i-FILTER NOTICE
任意
名前
ifadmin
任意
メールアドレス
[email protected]
任意
○ STEP4 動作確認 管理画面:[システム設定/メール送信設定/基本設定](同画面)
続けて「設定確認」から確認メールを送信します。
設定した内容でメールが送信されるかを確認します。
115
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-2 公開申請機能
7-2-1 公開申請設定(管理者作業)
公開申請機能を利用することで、ユーザーからアクセスの許可もしくは禁止を申請できるようになります。
運用要件
営業グループのブロック画面に公開申請のリンクを表示
申請時に「営業グループ管理者([email protected])」へ通知メールを送信
「営業グループ管理者」はブロックログの確認が可能
参照
メール通知設定手順は「7-1 メール通知」を参照してください。
○ STEP1 申請設定を確認
管理画面:[システム設定/公開申請/基本設定]
「申請受付」項目が「受け付ける」(初期設定)になっていることを確認します。設定後、「保存」ボタンをクリックします。
○ STEP2 ブロック画面設定を変更
管理画面:[グループ設定/基本モード]
営業グループを選択し「ブロック画面設定」で以下を設定します。設定後、「保存」ボタンをクリックします。
申請リンク
表示する
116
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 ルート管理者でログイン
管理画面をログアウト後、ルート管理者(初期設定「root」)で再ログインします。
○ STEP4 グループ管理者設定
管理画面(ルート権限):[システム設定/管理者設定/アドミニストレーター設定]
営業グループの権限ロール「営業グループ管理者」で公開申請に関する設定をします。設定後、「保存」ボタンをクリックしま
す。
公開申請
[〆] 公開申請管理のみ許可
ログ
[〆] ブロックログ
メールアドレス
[email protected]
117
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-2-2 ブロック解除依頼(ユーザー作業)
管理者が設定した公開申請機能をユーザーが利用する場合の手順を説明します。
運用要件
ブロック時に表示された「申請」リンクからアクセス許可を依頼
申請結果をメールで受信
参照
メール通知設定手順は「7-1 メール通知」を参照してください。
○ STEP1 禁止サイトにアクセス
ブロック画面で「申請」リンクをクリックします。
○ STEP2 アクセス許可を申請
[公開申請登録]画面でメールアドレスを入力して「登録」ボタンをクリックします。
118
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 申請結果を確認
管理者が申請を処理した場合、「STEP2」で登録したメールアドレス宛に通知が送信されます。
補足
公開申請は<http://inetnf.dweb/demand/>にアクセスすることでも、申請の確認や新規申請が可能です。
○ STEP4 グループ管理者設定
対象サイトにアクセスし、閲覧が許可されていることを確認します。
119
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-2-3 ブロック解除(管理者作業)
ユーザーからの公開申請を管理者が承認する手順を説明します。サイトによっては承認時のブラック除外リスト登録以外に対象サービ
スへのアクセス許可が必要な場合があります。
運用要件
ユーザーからのアクセス許可申請を承認
対象URLを含むサービスを閲覧許可設定
○ STEP1 通知を確認
ユーザーからのアクセス許可申請をメール等で確認します。
○ STEP2 申請管理を確認
管理画面:[システム設定/公開申請/申請管理]
対象の申請の「処理」リンクをクリックします。
○ STEP3 承認処理を実施
以下の内容で承認処理を登録します。
処理
「承認する」を選択
リストに登録
営業グループの個別リストに「ブラック除外リスト」として登録
120
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
注意
複数のURLで構成されているサイトは申請された単一URLをブラック除外リストに登録しても閲覧できない場合があり
ます。対象サイトが、Webサービスフィルターデータベースに登録されている場合は、「STEP4」の手順にてサービス
の許可が可能です。
○ STEP4 サービスを許可
管理画面:[グループ設定/基本モード]
「Webサービス」より、「追加」ボタンをクリックして対象サービスを検索します。
サービスを追加後、アクションをすべて「許可」に設定します。設定後、「保存」ボタンをクリックします。
121
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-3 Info Board
Info Boardを利用することでWebブラウザーに任意の情報を表示させ、効率的な情報共有が可能です。
運用要件
営業グループのWeb閲覧画面に「ノー残業DAY」の周知連絡を表示
毎週水曜日9時~13時、15時~18時の2回表示
労務規定に関する社内サイト「http://www.daj.local/kitei.html」をリンク表示
社内サイト「www.daj.local」をInfo Board表示の除外対象に設定
○ STEP1 Info Boardメッセージ画面を編集
管理画面:[オプション/Info Board/メッセージ画面]
サイドメニューより、(サンプル)ノー残業DAYを編集します。本項目では以下のように変更しています。設定後、「保存」ボタ
ンをクリックします。
メッセージ1
初期設定
A href="http://ここにURLを記述する"
変更後
A href="http://www.daj.local/kitei.html"
○ STEP2 Info Board除外URLを設定 管理画面:[オプション/Info Board/除外URLリスト]
画面で社内サイト「www.daj.local」を除外URLに設定します。設定後、「保存」ボタンをクリックします。
122
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 営業グループを設定
管理画面:[グループ設定/基本モード]
サイドメニューより営業グループを選択し、Info Boardを以下のように設定します。 行
曜日
時刻
表示するInfo Board画面
1行目
水
9時~13時
(サンプル)ノー残業DAY
2行目
水
15時~18時
(サンプル)ノー残業DAY
設定後、「保存」ボタンをクリックします。
○ STEP4 動作確認 営業グループのユーザーから対象の時間帯にWebアクセスを行い、設定したInfo Board画面が表示されるかを確認します。
123
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-4 Test Board
Test Boardを利用することでWebブラウザーに『情報セキュリティ』『セキュリティに関するIT知識と技術スキル』『インターネット
のルールとマナー』などのサンプル問題や、作成したオリジナル問題を表示させ、効率的な教育機能を提供することが可能です。
また、有償オプションInfo Boardを保有するライセンスをご利用の場合、Test Boardの拡張機能により柔軟な設定が可能です。
7-4-1 Test Board設定
運用要件
営業グループのWeb閲覧画面に情報セキュリティに関するサンプル問題「JNSA」を表示
過去に実施した社内研修に関するオリジナル問題「DAJ_TEST」を作成し、営業グループのWeb閲覧画面に表示
○ STEP1 テスト問題を作成
以下のフォーマットでテスト問題のデータファイルをカンマ区切りのCSV形式で作成します。
問題文 * カテゴリ1 カテゴリ2 カテゴリ3 選択肢1 * 選択肢2 * 選択肢3 選択肢4 正解選択肢番号 * 解説 ヒント
* は入力必須項目
1行につき1問を作成
データファイルは任意のエディターで作成します。下記図はMicrosoft Excelで作成した場合の画面です。
補足
始めて作成する場合は、[システム設定/Test Board/データ管理]からサンプルデータファイルをエクスポートすると編
集が容易となります。
作成後、ファイル名「DAJ_TEST.csv」で保存します。
○ STEP2 テスト問題をインポート
管理画面:[システム設定/Test Board/データ管理]
作成したテスト問題「DAJ_TEST.csv」をインポートします。
124
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 TEST Boardプリセットを設定
管理画面:[ルールセット/基本プリセット/Test Boardプリセット]
サイドメニュー[追加]から以下のプリセットを新規作成します。設定後、「保存」ボタンをクリックします。 設定名
DAJ_TESTプリセット
画面設定タブ
初期設定から変更なし
問題設定タブ
「DAJ_TEST」を追加
○ STEP4 営業グループを設定
管理画面:[グループ設定/基本モード]
サイドメニューより営業グループを選択し、Test Boardを以下のように設定します。 設定後、「保存」ボタンをクリックしま
す。
行
曜日
時刻
表示するTest Board画面
1行目
月~金
08時00分~11時59分
*JNSA
2行目
月~金
12時00分~13時00分
DAJ_TESTプリセット
○ STEP5 動作確認 営業グループのユーザーから対象の時間帯にWebアクセスを行い、設定したTest Board画面が1回ずつ表示されるかを確認しま
す。
125
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-4-2 Test Board設定(有償機能)
運用要件
営業グループのWeb閲覧画面に問題を表示
テンプレートから任意の問題5問をひとつの画面に表示
合格ラインを5問中3問正解に設定
「後で解答する」メニューを表示し、解答を一時的にスキップしてWeb閲覧できるように設定
○ STEP1 TEST Boardプリセットを作成 管理画面:[ルールセット/基本プリセット/Test Boardプリセット]
サイドメニュー[追加]から以下のプリセットを新規作成します。設定後、「保存」ボタンをクリックします。
設定名
Org_TESTプリセット
画面設定タブ
出題モード
試験
後で機能
[〆]有効
合格点
3点
問題設定タブ
任意の問題を5問追加
○ STEP2 営業グループを設定
管理画面[グループ設定/基本モード]
サイドメニューより営業グループを選択し、Test Boardを以下のように設定します。 設定後、「保存」ボタンをクリック
します。
行
曜日
時刻
1行目
月~金
08時00分~18時00分
表示するTest Board画面
Org_TESTプリセット
126
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 動作確認 営業グループのユーザーから対象の時間帯にWebアクセスを行い、設定したTest Board画面が表示されるかを確認します。
127
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-5 IPv6ネットワーク接続設定
「i-FILTER」はIPv6ネットワークとの通信が可能です。また、上位プロキシがIPv6通信に対応していない場合には直接通信することも
可能です。
運用要件
IPv6ネットワークを優先して接続
接続先がIPv4の場合は上位プロキシサーバーを経由して接続
接続先がIPv6の場合は上位プロキシサーバーを経由せずに接続
注意
「i-FILTER」がインストールされているOSがIPv6通信に対応している必要があります。
○ STEP1 プロキシ機能パラメーターを設定
管理画面:[システム設定/システムパラメーター設定/システム機能設定]
プロキシ機能パラメーターを設定します。
上位プロキシサーバー
経由時のDNS引き
[〆]有効
プロトコル変換ルール
(ファミリー)
IPv6を優先(IPv4/IPv6利用)
○ STEP2 「IPアドレスリスト」ルールパーツを作成
管理画面:[ルールセット/ルールパーツ/IPアドレスリスト]
宛先のIPv6グローバルアドレスを指定したIPアドレスリストを作成します。
設定名
IPv6グローバルアドレス
ディレクション
アクセス先(DST)
開始IPアドレス
2001:0:0:0:0:0:0:0
終了IPアドレス
2001:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF
補足
「2001」から始まるIPv6アドレスは、グローバルアドレスを意味します。
128
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 ルーティング設定
管理画面:[システム設定/上位プロキシサーバー/ルーティング設定]
IPv6グローバルアドレスを条件にした除外設定を追加します。
ルールパーツ
IPアドレスリスト(アクセス先)
IPv6グローバルアドレス
利用設定
除外
○ STEP4 動作確認
IPv6対応のサイトにアクセス後、上位プロキシサーバーのアクセスログや「i-FILTER」のアクセスログ等でIPv6アドレス通信が
直接接続されているかを確認します。「i-FILTER」では、アクセスログ6カラム目を確認します。
①
上位プロキシサーバーを経由している場合は、上位プロキシサーバーのIPアドレスが表示されます。
②
上位プロキシサーバーを経由していない場合は、「-」と表示されます。
③
[システム設定/ログ設定]-「接続先サーバーのIPアドレスを出力する」が有効かつ、
上位プロキシサーバーを経由していない場合は、接続先のIPアドレスが表示されます。 注意
コンテンツキャッシュの使用により接続先IPアドレスが存在しない場合も6カラム目に「-」が出力されます。正確に確
認する場合には、パケットキャプチャの確認等が必要です。
129
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-6 SSL代理証明書を同期
「i-FILTER」は、設定同期環境において初期設定でSSL代理証明書をサーバー個別に保持します。Firefoxでは、前回アクセス時と異な
る証明書を受け取ることで接続エラーになりWebページの表示ができなくなります。 SSL代理証明書同期機能を使用することで別々の「i-FILTER」サーバーで同一のSSL代理証明書をクライアントに送付します。この処
理によりFirefox固有の問題に対応することが可能です。
運用要件
WebブラウザーにFirefoxを使用
設定同期3台構成の環境でSSL代理証明書を同期
A(マスター)
B(スレーブ)
C(スレーブ)
192.168.244.181
192.168.244.182
192.168.244.183
○ STEP1 SSL代理証明書同期を有効にする
管理画面:[システム設定/設定同期/基本設定]
「SSL代理証明書同期」を有効にします。設定後、「保存」ボタンをクリックします。
○ STEP2 SSL代理証明書同期を有効にする
管理画面:[システム設定/SSL代理証明書/同期ホスト登録]
同期ホストとローカルIPアドレスを以下のように登録します。設定後、「保存」ボタンをクリックします。
サーバーA
サーバーB
サーバーC
同期ホスト
192.168.244.181 【デフォルトマスター】
192.168.244.182
192.168.244.183
ローカルIPアドレス
192.168.244.181
192.168.244.182
192.168.244.183
【図:同期ホスト設定(サーバーA)】
130
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 サービス再起動
【スレーブ機】
マスター機の [システム設定/設定同期/手動同期]画面より、以下を選択後して「同期実行」をクリックします。
同期ホスト
手動同期
スレーブ機を選択して反転
選択したホストを再起動する
【マスター機】 「i-FILTER」サービスを管理画面より再起動します。 ○ STEP4 動作確認
FirefoxにてHTTPSサイトへのアクセスができることを確認します。
補足
本項の設定が正しく行われていない場合は、Firefoxで以下のエラーが表示されます。
【図:証明書表示エラー(Firefox)】
131
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-7 応用設定
7-7-1 Google Appsで一般アカウントを制御
Googleサービスではプロキシサーバーが付与した特定のHTTPヘッダーを認識して自社ドメインのGoogle Appsアカウント以外のアク
セスを制限する機能があります。本項では「i-FILTER」でGoogleサービス指定のHTTPヘッダーを付与する手順を説明します。
運用要件
業務で利用する自社ドメイン「daj.jp」「daj.co.jp」のGoogle Appsの利用を許可する
自社ドメイン以外のGoogle Appsの利用を禁止する
無償版Google Apps(Gmail、Google Docs等)の利用を禁止する
補足
本設定は下記Google Apps管理者ヘルプページ記載のHTTPヘッダーを「i-FILTER」で付与する場合の手順です。
https://support.google.com/a/answer/1668854?hl=ja
HTTPS通信のヘッダーを操作するために「SSL Adapter」オプションを有効にする必要があります(初期設定:有効)。
○ STEP1 「識別名リスト」 ルールパーツを作成
管理画面:[ルールセット/ルールパーツ/識別名リスト]
「google.com」ドメインを指定したルールパーツを作成します。設定後、「保存」ボタンをクリックします。
設定名
GoogleApps利用制限
タイプ
アクセス先(DST)
識別名
google.com
形式
部分一致
132
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP2 ヘッダーコントローラー設定
管理画面:[システム設定/ヘッダーコントローラー設定]
「google.com」ドメインに対して、Google社指定のヘッダー名を付与する設定を追加します。設定後、「保存」ボタンをクリッ
クします。
タイプ
HTTPリクエストヘッダーの値を操作する
ルールパーツ
識別名リスト(アクセス先)
GoogleApps利用制限
※ 「STEP1」で作成したルールパーツを選択
ヘッダー名
任意のヘッダー
X-GoogApps-Allowed-Domains
※ Google社指定のヘッダー名
アクション
追加
ヘッダー値
daj.jp,daj.co.jp
※ 複数ドメインはカンマ区切り
○ STEP3 動作確認
一般アカウントでGoogleにログイン後、Gmail等のサービスへのアクセスでGoogleサイトよりエラーが返されることを確認しま
す。
133
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-7-2 特定のYouTube動画のみを閲覧許可
YouTubeサイトの特定動画のみを閲覧許可する場合、YouTube全体をブロックした上で動画URLに含まれる固有の文字列(ビデオID)を
除外する設定が必要です。
運用要件
営業グループは動画配信サイトへのアクセスをブロックする
YouTube動画<https://www.youtube.com/watch?v=Ka8QNBKejmQ>の閲覧はブロック除外する
補足
本項記載の情報は、YouTubeサイト側の仕様変更により利用できなくなる場合があります。
○ STEP1 「URLリスト」ルールパーツを作成
管理画面:[ルールセット/ルールパーツ/URLリスト]
ブロック除外対象URLのルールパーツを作成します。
設定名
YouTube動画許可リスト
URL 【形式】
説明
www.youtube.com/watch?v=Ka8QNBKejmQ 【部分一致】
動画コンテンツ用URL
除外動画を追加するごとに青部分(ビデオID)を変更して追加
s.ytimg.com/ 【部分一致】
googlevideo.com/ 【部分一致】
www.youtube.com/html5_player_template 【部分一致】
www.youtube.com/yva_video? 【部分一致】
ページ構成コンテンツURL
一度のみ追加
補足
ビデオIDは対象動画URLから確認します。許可する動画URLが
<https://www.youtube.com/watch?v=Ka8QNBKejmQ>の場合、「Ka8QNBKejmQ」がビデオIDとなります。
YouTubeサイト内の関連動画サムネイル画像の表示を許可する場合は、「s.ytimg.com/」の替わりに「.ytimg.com/」
を登録します。
○ STEP2 「動画配信」カテゴリをブロック
管理画面:[グループ設定/基本モード]
営業グループを選択し、「フィルター」から「動画配信」をブロック対象にします。
134
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 除外設定
管理画面:[グループ設定/基本モード]
「高度な設定」タブに移動し、以下の行を追加します。
ルールパーツ
URLリスト
YouTube動画許可リスト
アクション
許可
設定後、「保存」ボタンをクリックします。
○ STEP4 動作確認
除外対象のURLが閲覧できることを確認します。また、その他の動画配信カテゴリがブロックされることを確認します。
【除外URL】
【動画配信カテゴリのブロック】
135
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
■ その他のURLパターン
YouTubeではひとつの動画に対して用途別に複数のURLを提供しています。
<https://www.youtube.com/watch?v=Ka8QNBKejmQ>以外のURLパターンを許可する場合は、「STEP1」で作成するURLリ
ストに追加が必要です。 ◯ URLパターン: http://www.youtube.com/embed/Ka8QNBKejmQ URL 【形式】
説明
www.youtube.com/embed/Ka8QNBKejmQ 【部分一致】
.+www.youtube.com/get_video_info.+video_id=Ka8QNBKejmQ.+ 【正規表現】
動画コンテンツ用URL
除外動画を追加するごとに青部分(ビデオID)を
変更して追加
s.ytimg.com/ 【部分一致】
googlevideo.com/ 【部分一致】
www.youtube.com/crossdomain.xml 【部分一致】
ページ構成コンテンツURL
一度のみ追加
リストに存在する場合は追加不要
◯ URLパターン: http://www.youtube.com/v/Ka8QNBKejmQ?color2=FBE9EC&version=3 URL 【形式】
説明
www.youtube.com/v/Ka8QNBKejmQ?color2=FBE9EC&version=3 【部分一致】
動画コンテンツ用URL
除外動画を追加するごとに青部分(ビデオID)を
変更して追加
s.ytimg.com/ 【部分一致】
googlevideo.com/ 【部分一致】
i1.ytimg.com/ 【部分一致】
s.youtube.com/ 【部分一致】
www.youtube.com/ptracking 【部分一致】
www.youtube.com/crossdomain.xml 【部分一致】
www.youtube.com/get_video_info 【部分一致】
ページ構成コンテンツURL
一度のみ追加
リストに存在する場合は追加不要
補足
YouTube動画の提供元(ユーザー)によって閲覧を許可する場合は、『YouTube対応「URLリスト抽出ツール」』をご利用くだ
さい。ツールの詳細については下記ページを参照してください。
https://download.daj.co.jp/user/ifilter/V9/tools/
※ ページ閲覧には製品の「シリアルNo.」とお客様「E-Mailアドレス」 によるログインが必要です
136
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-7-3 「i-FILTER」を経由せずにアクセス
「i-FILTER」ではHTTPリクエスト後の通信を制御するため、リクエスト前の除外設定をするにはクライアント(Webブラウザー)側
の設定が必要です。PAC(Proxy Auto-Config)をWebブラウザーに設定することで、特定のURLのみ「i-FILTER」を経由しない動作
が可能です。
運用要件
プロキシサーバーに「i-FILTER」(192.168.232.183)を使用
URLのドメイン部分が「192.168」から始まるURLは「i-FILTER」を経由しない
URLのドメイン部分が「.daj.local」で終わるURLは「i-FILTER」を経由しない
URLのドメイン部分が「dajtest」を含むURLは「i-FILTER」を経由しない
Webブラウザーは、Internet Explorerを使用
(PACを使用する場合)社内Webサーバー「http://server/」にPACを設置
注意
本項記載の内容は「i-FILTER」の動作保証外となるため、手順に関する質問や設定変更によって生じた問題等について弊社に
て責任を負いかねます。あらかじめご了承ください。
本項記載のグループポリシーは「ドメインの機能レベル:Windows Server 2012 R2」、Windows7、Windows10で動作を
確認しています。
上記、運用要件を満たす手順として4つの方法を記載します。いずれの方法も運用要件を満たした同様の動作となります。
■ 設定手順
【方法1】クライアント個別に例外を設定
例外設定をInternet Explorer個別に実施する方法です。クライアントごとに設定が必要なため小規模環境に向いています。
【方法2】クライアント個別に自動構成スクリプトを設定
事前に作成したPAC(Proxy Auto-Config)をInternet Explorer個別に設定する方法です。クライアントごとに設定が必要なため
小規模環境に向いています。また、PACにより詳細な設定が可能です。
【方法3】グループポリシーで例外設定を配信
Windowsドメイン環境でActive Directoryのグループポリシーにより、Internet Explorerの例外設定を配信する方法です。クライアントごとの
設定が不要なため大規模環境に向いています。
【方法4】グループポリシーで自動構成スクリプト設定を配信
Windowsドメイン環境でActive Directoryのグループポリシーにより、事前に作成したPACの参照設定をする方法です。クライアントごとの
設定が不要なため大規模環境に向いています。また、PACにより詳細な設定が可能です。
137
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
1. クライアント個別に例外を設定
○ STEP1 Internet Explorerを設定
Internet Explorer[ツール]から「インターネットオプション」を起動し以下を設定します。
[接続(タブ)/LANの設定/詳細設定/例外]
192.168.*;*.daj.local;*dajtest*
※ セミコロン区切りで複数指定
2. クライアント個別に自動構成スクリプトを設定
○ STEP1 PACファイルを作成
テキストエディターで以下のファイルを作成し、ファイル名「proxy.pac」で保存します。
function FindProxyForURL(url,host)
{
if (shExpMatch(host, "192.168.*")) {return "DIRECT";}
if (shExpMatch(host, "*.daj.local")) {return "DIRECT";}
if (shExpMatch(host,"*dajtest*")) {return "DIRECT";}
else {return "PROXY 192.168.232.183:15080";}
}
注意
「isInNet」「dnsResolve」「isResolvable」のような名前解決を行うPAC記述は遅延発生の原因になります。詳細は
「製品FAQ.1408」を参照してください。
○ STEP2 PACファイルを設置 社内のHTTPサーバーに「STEP1」で作成したPACファイルを設置します。
URL例
http://server/proxy.pac
138
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 Internet Explorerを設定 Internet Explorer[ツール]から「インターネットオプション」を起動し以下を設定します。
[接続(タブ)/LANの設定]
[〆]自動構成スクリプトを使用する
アドレス
http://server/proxy.pac
3. グループポリシーで例外設定を配信
○ STEP1 グループポリシーの管理を起動
ドメインコントローラーサーバーで「グループポリシーの管理」を起動します。
139
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP2 「Default Domain Policy」を編集 [対象のドメイン/グループポリシーオブジェクト/Default Domain Policy]を右クリックし、「編集」を選択します。
○ STEP3 「グループポリシーの基本設定」を編集 [ユーザーの構成/基本設定/コントロールパネルの設定/インターネット設定]を右クリックし、「新規作成」「Internet Explorer 10」を選択します。
補足
「Internet Explorer 10」には、「Internet Explorer 11」の設定も含まれます。
140
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP4 Internet Explorer 設定を編集
[接続(タブ)/LANの設定]をクリックし、以下の様に設定します。
設定
備考
[〆] LANにプロキシサーバーを設定する プロキシ設定を有効化
アドレス
192.168.232.183
「i-FILTER」のIPアドレスを指定
ポート
15080
「i-FILTER」のポート番号を指定
[〆] ローカルアドレスにはプロキシサーバーを使用しない [詳細設定](ボタンクリック) - [例外]
192.168.*;*.daj.local;*dajtest*
設定変更後、「ローカルエリアネットワーク(LAN)の設定」画面の任意のテキストエリアを選択し、[F5]キーをクリック
します。
注意
[F5]キーをクリックすることで設定項目の下線が赤(配布対象外)から緑(配布対象)に変更されます。その他の設定につ
いて配布対象外にする場合は[F8]キーをクリックで下線が赤に切り替わります。
▽参考サイト[Microsoft社TechNet]
http://technet.microsoft.com/en-us/library/cc754299(v=ws.10).aspx 補足
ユーザーによるプロキシ設定の変更を禁止する場合はグループポリシー「ユーザーの構成(コンピューターの構成)/
ポリシー/管理用テンプレート/Windowsコンポーネント/Internet Explorer」にて「プロキシの設定を変更できないよ
うにする」を有効にします。
141
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP5 設定を確認 ドメインに参加しているクライアント端末にログオンし、設定が反映されているかを確認します。
4. グループポリシーで自動構成スクリプト設定を配信
○ STEP1 PACファイルを作成
テキストエディターで以下のファイルを作成し、ファイル名「proxy.pac」で保存します。
function FindProxyForURL(url,host)
{
if (shExpMatch(host, "192.168.*")) {return "DIRECT";}
if (shExpMatch(host, "*.daj.local")) {return "DIRECT";}
if (shExpMatch(host,"*dajtest*")) {return "DIRECT";}
else {return "PROXY 192.168.232.183:15080";}
}
注意
「isInNet」「dnsResolve」「isResolvable」のような名前解決を行うPAC記述は遅延発生の原因になります。詳細は
「製品FAQ.1408」を参照してください。
○ STEP2 PACファイルを設置 社内のHTTPサーバーに「STEP1」で作成したPACファイルを設置します。
URL例
http://server/proxy.pac
142
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 グループポリシーの管理を起動 ドメインコントローラーサーバーで「グループポリシーの管理」を起動します。
○ STEP4 「Default Domain Policy」を編集 [対象のドメイン/グループポリシーオブジェクト/Default Domain Policy]を右クリックし、「編集」を選択します。 ○ STEP5 「グループポリシーの基本設定」を編集 [ユーザーの構成/基本設定/コントロールパネルの設定/インターネット設定]を右クリックし、「新規作成」「Internet Explorer 10」を選択します。 補足
「Internet Explorer 10」には、「Internet Explorer 11」の設定も含まれます。
143
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP6 Internet Explorer 設定を編集 [接続(タブ)/LANの設定]をクリックし、以下の様に設定します。 設定
[自動構成] - [アドレス]
備考
http://server/proxy.pac
「STEP2」で設置したHTTPサーバーのURLを記載
設定変更後、[F5]キーをクリックします。 注意
[F5]キーをクリックすることで設定項目の下線が赤(配布対象外)から緑(配布対象)に変更されます。その他の設定につ
いて配布対象外にする場合は[F8]キーをクリックで下線が赤に切り替わります。
▽参考サイト[Microsoft社TechNet]
http://technet.microsoft.com/en-us/library/cc754299(v=ws.10).aspx
「自動構成スクリプトを使用する」はグレーアウトしていても設定保存後に自動的にチェックが入ります。
補足
ユーザーによるプロキシ設定の変更を禁止する場合はグループポリシー「ユーザーの構成(コンピューターの構成)/
ポリシー/管理用テンプレート/Windowsコンポーネント/Internet Explorer」にて「プロキシの設定を変更できないよ
うにする」を有効にします。
○ STEP7 設定を確認 ドメインに参加しているクライアント端末にログオンし、設定が反映されているかを確認します。 144
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-7-4 検索サイトのセーフサーチを強制適用
セーフサーチとは、検索結果からアダルトコンテンツや残虐なコンテンツ等を除外する検索サイト各社が提供しているサービスです。
セーフサーチはユーザーの設定で有効/無効を設定しますが、「i-FILTER」ではこの機能を強制的に有効に設定することが可能です。
運用要件
検索サイトが提供するセーフサーチを強制的に有効
「生徒グループ」ではセーフサーチを提供している「Google」「Yahoo!」のみ検索サイトの利用を許可
注意
セーフサーチは検索サイトが提供する機能となるため、除外対象コンテンツ等の仕様についてご案内は致しかねます。また、
サイトの仕様変更により設定が有効にならない場合があります。
○ STEP1 セーフサーチ有効化設定
セーフサーチ有効化設定には設定ファイルの編集および「i-FILTER」サービスの再起動が必要です。
1. 「i-FILTER」を停止 Windows
「i-FILTER Ver.9」サービスを停止
Linux
# /etc/init.d/ifilter9 stop
2. 設定ファイルを編集
対象ファイル
<「i-FILTER」インストールディレクトリ>/conf/ifilter.conf
編集内容
変更前
enable_safe_search = off
変更後
enable_safe_search = on
3. 「i-FILTER」を開始
Windows
「i-FILTER Ver.9」サービスを開始
Linux
# /etc/init.d/ifilter9 start
○ STEP2 URLフィルター設定 管理画面:[グループ設定/基本モード]
「生徒グループ」を選択し、[フィルター]タブで以下のようにブロック設定にします。
画像・動画検索エンジン
ブロック
検索エンジン
ブロック
145
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP3 Webサービス設定 管理画面:[グループ設定/基本モード]
続けて[Webサービス]タブで以下のように許可設定にします。設定後、「保存」ボタンをクリックします。
Google
「Google検索」「Google閲覧」を許可
Yahoo! JAPAN
「Yahoo! JAPAN ポータル」「Yahoo!検索」を許可
146
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP4 動作確認 Webブラウザーにて以下の点を確認します。
「Google」「Yahoo!」以外の検索サイトがブロックされるかを確認
「Google」「Yahoo!」でセーフサーチが有効になっているかを確認
補足
Google検索の設定<https://www.google.co.jp/preferences?hl=ja>でセーフサーチがオフになっている場合も
セーフサーチがオンの状態で検索結果が表示されます。
147
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
7-7-5 YouTubeの制限付きモードを強制適用
YouTubeでは不適切なコンテンツの閲覧を禁止させる制限付きモードを提供しています。 制限付きモードはユーザーによって有効/無
効を切り替えますが、「i-FILTER」ではこの機能を強制的に有効に設定することが可能です。
運用要件
検索サイトが提供する制限付きモードを強制的に適用
生徒グループでは制限付きモードを提供している「YouTube」のみ動画配信サイトの利用を許可
注意
制限付きモードはYouTubeが提供する機能となるため、除外対象コンテンツ等の仕様についてご案内は致しかねます。また、
サイトの仕様変更により設定が有効にならない場合があります。
○ STEP1 制限付きモード有効化設定
制限付きモード有効化設定には設定ファイルの編集および「i-FILTER」サービスの再起動が必要です。
1. 「i-FILTER」を停止 Windows
「i-FILTER Ver.9」サービスを停止
Linux
# /etc/init.d/ifilter9 stop
2. 設定ファイルを編集
対象ファイル
<「i-FILTER」インストールディレクトリ>/conf/ifilter.conf
編集内容
変更
enable_safe_search = on (初期設定「off」)
追加
safe_search_setting[10] = www.youtube.com/ 3 0 PREF f2 =8000000
補足
数値[10]は既存設定「safe_search_setting[xx]の」最大値から1を足した値を記述します。上記値は既存設定
が[9]であることを想定していますが、既に[10]が存在する場合は[11]と記述します。
3. 「i-FILTER」を開始
Windows
「i-FILTER Ver.9」サービスを開始
Linux
# /etc/init.d/ifilter9 start
148
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP2 URLフィルター設定 管理画面:[グループ設定/基本モード]
生徒グループを選択し、[フィルター]タブで以下のようにブロック設定にします。
動画配信
ブロック
○ STEP3 Webサービス設定 管理画面:[グループ設定/基本モード]
続けて、[Webサービス]タブで以下のように許可設定にします。
YouTube (Google)
「YouTube 動画閲覧」を許可
149
「i-FILTER」Ver.9 運用マニュアル
第7章 その他の機能
○ STEP4 動作確認 Webブラウザーにて以下の点を確認します。
YouTube以外の検索サイトがブロックされるかを確認
YouTubeで制限付きモードが有効になっているかを確認
150
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
第8章 システムメンテナンス
8-1 フィルタリング動作をテスト
8-2 同時接続数(スレッド数)をチューニング
8-3 ユーザー登録情報を確認・変更
8-4 設定バックアップ
8-5 設定ロールバック
8-6 「i-FILTER」をアップデート
8-6-1 管理画面からアップデート(自動更新)
8-6-2 インストーラーを使用したアップデート(手動更新)
8-6-3 アップデート前のバージョンにロールバック
8-7 「i-FILTER」サーバーのリプレース
8-8 サポートサイト
151
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-1 フィルタリング動作をテスト
デジタルアーツのテスト用コンテンツを利用することで、フィルター設定の動作確認が可能です。
運用要件
URL「https://www.facebook.com/」がどのカテゴリに所属するかを確認
「i-FILTER」のフィルター設定が正常に動作するかを確認
○ STEP1 カテゴリチェックツールにアクセス
以下のサイトにアクセスします。
URLフィルターデータベース カテゴリチェックツール(i-FILTER Ver.9)
https://download.daj.co.jp/user/filter_category_check/
○ STEP2 登録カテゴリ確認
URL欄に「https://www.facebook.com/」を入力して「チェック」ボタンをクリックすることで登録カテゴリを確認します。
注意
複数カテゴリに登録されているURLの場合、ひとつのカテゴリのみ表示されます。
補足
動作テストに適切なURLがない場合は、「フィルタリング設定確認ページ
<http://www.daj.jp/webfilteringdb_category_block_check/ifb9/>」をご利用ください。
こちらはテスト用ページのため、カテゴリ名に該当するコンテンツは存在しません。
152
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP3 動作確認
Webブラウザーから「i-FILTER」経由で「https://www.facebook.com/」にアクセスしてフィルター設定が正常に動作するか
を確認します。
153
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-2 同時接続数(スレッド数)をチューニング
「i-FILTER」は、クライアントからのHTTPリクエスト1セッションに対して1スレッドで処理をするため、リクエスト量が多い環境で
はスレッド不足によるWebアクセス遅延が発生する場合があります。本項では適切なスレッド数を設定するためのチューニング手順を
説明します。
運用要件
Webアクセス遅延が発生している環境でスレッド数をチューニング
アクセス量が多い時間帯の使用スレッド数を確認
使用スレッド数にあわせて設定を変更
○ STEP1 使用スレッドを確認
アクセスが多い時間帯(業務開始時間や昼休憩時間等)に、以下のいずれかの手順で使用中スレッド数を確認します。この作業を複
数回繰り返して平均値を算出します。
簡易確認方法
「i-FILTER」管理画面トップのi-FILTER情報から「使用中スレッド数」を確認します。
詳細確認方法
コマンドプロンプト(コマンドライン)にて、以下の手順で確認します。
1. 「i-FILTER」サーバーで、現象再現時に以下のコマンドを実施します。
# netstat -an > netstat.txt
2. 出力されたファイルをテキストエディターで開きます。
3. 「i-FILTER」のサービスポート番号(初期値:15080)が含まれる行を抽出します。
4. 「3.」からステータスが「ESTABLISHED」が含まれる行を抽出します。
○ STEP2 スレッド数を設定
[システム設定/システムパラメーター設定/システム機能設定]でスレッド数を確認します。設定しているスレッド数が
「STEP1」で確認した数値と近い場合はスレッド数枯渇によるWebアクセス遅延の可能性があるため、スレッド数を変更
します。設定後、「保存」ボタンをクリックします。 スレッド数
変更前
400
変更後
600
○ STEP3 サービス再起動 管理画面:トップ
「i-FILTER」サービスを再起動します。 154
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP4 スレッド数を調整
「使用中スレッド数」が常に「スレッド数設定」を上回る状態に安定するまで「STEP1」~「STEP3」を繰り返します。
155
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-3 ユーザー登録情報を確認・変更
製品に登録しているシリアル情報やユーザー情報の確認・変更はルート権限の管理者で「i-FILTER」にログインする必要があります。
運用要件
登録している「製品シリアルNo.」を確認
ライセンス更新に伴い変更した「利用ライセンス数」を変更
○ STEP1 ルート管理者でログイン
ルート管理者でログインします。インストール初期設定は「ユーザー名:root」「パスワード:password」です。 ○ STEP2 製品シリアルNo.を確認 管理画面(ルート権限):[システム設定/ユーザー登録・確認]
画面から製品シリアルNo.を確認します。
156
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP3 利用ライセンス数を変更
管理画面(ルート権限):[システム設定/ユーザー登録・確認]
同画面で、利用ライセンス数を更新内容と同じ値に変更します。
設定後、「入力内容確認」ボタンをクリックします。
○ STEP4 利用ライセンス数を変更 確認画面で内容に問題がなければ「送信する」をクリックします。
登録が正常に完了した場合、以下の表示となります。
157
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-4 設定バックアップ
「i-FILTER」設定を定期的にバックアップすることで、誤った設定をしてしまった場合などにロールバックが可能です。
運用要件
月曜日~日曜日23時00分に設定ファイルをバックアップするようスケジュール
現在の設定もバックアップ
○ STEP1 バックアップスケジュールを設定する
管理画面:[システム設定/設定バックアップ]
「追加」ボタンをクリックし、自動バックアップ設定を追加します。
有効設定
[〆]このスケジュールを有効にする
実施曜日
[〆]月~金
コメント
定時バックアップ(任意)
バックアップ内容
[〆]設定ファイル
158
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP2 現在の設定をバックアップする
現在の設定をバックアップする場合は、以下の手順を実施します。
■ 管理画面操作によるバックアップ
[システム設定/設定バックアップ]画面から「今すぐバックアップ」を実施します。
補足
管理画面からバックアップを実行した場合は、下記ディレクトリ配下にバックアップファイルが保存されます。
「i-FILTER for Windows」
C:¥Program Files¥Digital Arts¥i-FILTER Proxy Server Ver.9¥conf¥backup¥
「i-FILTER for Linux」
/usr/local/ifilter9/conf/backup/
■ ファイル操作によるバックアップ
「i-FILTER」サービス停止後、以下ディレクトリを任意のディレクトリに保存します。
「i-FILTER for Windows」
C:¥Program Files¥Digital Arts¥i-FILTER Proxy Server Ver.9¥conf¥
「i-FILTER for Linux」
/usr/local/ifilter9/conf/
159
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-5 設定ロールバック
設定バックアップ機能で取得したバックアップは、管理画面からロールバックすることが可能です。また、非圧縮のバックアップファ
イルは、ファイル操作によるロールバックも可能です。
運用要件
設定バックアップ機能で取得したバックアップをロールバック
非圧縮のバックアップ「../backup/ifbk20160119230014/conf/」をファイル操作でロールバック
■ 管理画面操作によるロールバック
○ STEP1 バックアップデータを選択
管理画面:[システム設定/設定バックアップ]
任意のバックアップデータを選択し、「編集」ボタンをクリックします。
○ STEP2 ロールバックを実施
「ロールバック」ボタンをクリックしてロールバックを実施します。
ロールバックを実行すると、自動的にサービスが再起動されます。
160
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
■ ファイル操作によるロールバック
スレーブ機のロールバックや障害復旧など、管理画面からの操作が行えない場合はファイル操作によるロールバックを実施します。
○ STEP1 「i-FILTER」を停止
「i-FILTER」をシステムから停止します。
Windows
「i-FILTER」Ver.9 サービスを停止
Linux
# /etc/init.d/ifilter9 stop
○ STEP2 既存の設定ファイルを退避 現在の設定ファイルを任意の名前にリネームします。ここでは「_conf」に変更しています。
変更前
<「i-FILTER」インストールディレクトリ>/conf/
変更後
<「i-FILTER」インストールディレクトリ>/_conf/
○ STEP3 バックアップファイルをコピー
バックアップファイルをインストールディレクトリにコピーおよびリネームします。
コピー元
<「i-FILTER」インストールディレクトリ>/backup/ifbk20160119230014/conf/
コピー先
<「i-FILTER」インストールディレクトリ>/conf/
補足
ロールバックの際は、バックアップ時と同一の「i-FILTER」バージョンを利用する必要があります。バックアップ時の
バージョンは、バックアップの「conf/ifilter.conf」から確認可能です。
○ STEP4 「i-FILTER」を開始 「i-FILTER」をシステムから停止します。 Windows
「i-FILTER」Ver.9 サービスを開始
Linux
# /etc/init.d/ifilter9 start
161
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-6 「i-FILTER」をアップデート
「i-FILTER」を最新バージョンにすることで、新機能のご利用や既知の問題解決が可能です。システムの安定稼動のために常に最新バ
ージョンをご利用ください。
■ 利用バージョン確認
現在ご利用の「i-FILTER」バージョンは、管理画面トップページから確認ができます。
バージョンは「Ver.9.30R02」のように表記され、それぞれ以下を意味します。
表記
内容
更新時の主な変更点
Ver.9
メジャーバージョン
大幅な仕様変更、機能追加
.30
マイナーバージョン
仕様変更、機能追加
R02
リビジョン
不具合修正
■ 最新バージョン確認
最新の「i-FILTER」バージョンは、サポート情報サイトから確認できます(閲覧には「シリアルNo.」と
「お客様E-Mailアドレス」によるログインが必要です)。
サポート情報サイト
https://download.daj.co.jp/user/ifilter/
162
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
■ 更新履歴(リリースノート)
最新バージョンのリリースノートは、製品ダウンロードページに記載されています。また、「更新履歴」のリンクより過去バー
ジョンのリリースノートが確認できます(閲覧には 「シリアルNo.」と「お客様E-Mailアドレス」によるログインが必要です )。 最新版ダウンロード
https://download.daj.co.jp/user/ifilter/V9/
8-6-1 管理画面からアップデート(自動更新)
管理画面からのアップデートでは、最新版モジュールのダウンロードからサービス再起動までの動作を自動で行うことができます。
運用要件
管理画面からバージョンアップを実施
「Ver.9.20R02」から「Ver.9.30R02」へバージョンアップ
注意
アップデート処理中は「i-FILTER」とのプロキシ通信は行えなくなります。
○ STEP1 ルート管理者でログイン ルート管理者でログインします。インストール初期設定は「ユーザー名:root」「パスワード:password」です。 163
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP2 アップデート画面に遷移
管理画面:トップ
「i-FILTER」の更新確認画面に遷移します。
1. 『バージョン情報』をクリック
2. 『「i-FILTER」の更新』をクリック
3. 『アップデート実施』をクリック
164
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP3 アップデートを開始 確認にチェックを入れ、『アップデート開始』をクリックします。
アップデートが開始されると以下のダイアログが表示されます(表示までに時間がかかる場合があります)。
○ STEP4 更新確認 アップデート完了後、「i-FILTER」トップ画面で最新バージョンになっていることを確認します。
■ ログオンアカウントを変更(Windows版NTLM認証利用時) 「i-FILTER for Windows」でNTLM認証機能をご利用の場合は、ドメインの管理者アカウントに変更したサービスログオンアカ
ウントが初期値に戻るため、再設定が必要です。 165
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-6-2 インストーラーを使用したアップデート(手動更新)
何らかの理由で管理画面から最新バージョンへのアップデートが行えない場合には、インストーラーによるバージョンアップを行いま
す。
運用要件
インストーラーからバージョンアップを実施
「Ver.9.20R02」から「Ver.9.30R02」へバージョンアップ
○ STEP1 インストーラーを取得
最新バージョンのインストーラーをサポート情報サイトよりダウンロードします(サポート情報サイトへのアクセスには 「シリア
ルNo.」と「お客様E-Mailアドレス」によるログインが必要です )。 最新版ダウンロード「サポート情報サイト」
https://download.daj.co.jp/user/ifilter/V9/
案内ページ確認のチェックボックスをクリック後、インストーラーのダウンロードボタンが表示されます。
166
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP2 インストーラーを実行
ダウンロードしたインストーラーを「i-FILTER」サーバーの任意のディレクトリに保存して実行します。
【Windows】
ウィザードに従ってインストールを進めます。
注意
インストール先を変更している場合は、セットアップタイプ画面で「カスタム」を選択して既存のインストール
先を指定してください。インストール先に既存の設定情報がない場合、初期状態でインストールされます。
ウィザード終了時に「i-FILTER」サービスが起動します。
【Linux】
rpmコマンドを-Uvhオプションで実行します。
# rpm -Uvh i-FILTER-Proxy-9.30_jp-R02_20151203.x86_64.rpm アップデート完了後、サービスを開始します。
# /etc/init.d/ifilter9 start
○ STEP3 更新確認 アップデート完了後、「i-FILTER」トップ画面で最新バージョンになっていることを確認します。 167
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
■ ログオンアカウントを変更(Windows版NTLM認証利用時) 「i-FILTER for Windows」でNTLM認証機能をご利用の場合は、ドメインの管理者アカウントに変更したサービスログオンアカ
ウントが初期値に戻るため、再設定が必要です。 168
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-6-3 アップデート前のバージョンにロールバック
バージョンアップ後に何らかの問題が発生した場合は、アップデート前のバージョンにロールバックが可能です。
運用要件
「Ver.9.30R03」から「Ver.9.30R04」バージョンアップ後に、「Ver.9.30R03」へロールバック
注意
ロールバック作業中は「i-FILTER」とのプロキシ通信は行えなくなります。
ロールバックには、対象バージョンのインストーラーが必要です。インストーラーがお手元にない場合にはサポートセンター
までお問い合わせください。
○ STEP1 アンインストール
システムから「i-FILTER」Ver.9.30R04をアンインストールします。
【Windows】
「プログラムと機能」から「i-FILTER Ver.9」をアンインストールします。
再起動を促された場合はアンインストール後にOSを再インストールします。
【Linux】
rpmコマンドを-eオプションで実行します。 # rpm -e i-FILTER-Proxy9
169
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
○ STEP2 設定ファイル更新
「Ver.9.30R03」運用時のバックアップ(「conf」ディレクトリ)を下記ディレクトリと差し替えます。バックアップ手順は「8-4
設定バックアップ」 を参照してください。 <インストールディレクトリ>/conf/
補足
管理画面からアップデートを実施した場合は、アップデート時に作成されるバックアップの利用も可能です。
<インストールディレクトリ>/update/bkup/conf/
バックアップ時のバージョンは、バックアップの「conf/ifilter.conf」から確認可能です。
○ STEP3 再インストール
「Ver.9.30R03」のインストーラーを「i-FILTER」サーバー任意のディレクトリに保存して実行します。
【Windows】
ウィザードに従ってインストールを進めます。
注意
インストール先を変更している場合は、セットアップタイプ画面で「カスタム」を選択して既存のインストール
先を指定してください。インストール先に既存の設定情報がない場合、初期状態でインストールされます。
ウィザード終了時に「i-FILTER」サービスが起動します。
170
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
【Linux】
rpmコマンドを-Uvhオプションで実行します。
# rpm -Uvh i-FILTER-Proxy-9.30_jp-R04_20160304.x86_64.rpm
アップデート完了後、サービスを開始します。
# /etc/init.d/ifilter9 start
○ STEP4 更新確認 管理画面:トップ
再インストール後、「i-FILTER」トップ画面で「Ver.9.30R03」になっていることを確認します。 ■ ログオンアカウントを変更(Windows版NTLM認証利用時) 「i-FILTER for Windows」でNTLM認証機能をご利用の場合は、ドメインの管理者アカウントに変更したサービスログオンアカ
ウントが初期値に戻るため、再設定が必要です。 171
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-7 「i-FILTER」サーバーのリプレース
サーバーリプレース時に「i-FILTER」サーバーの設定を別サーバーに移行する場合の手順を説明します。
運用要件
「i-FILTER」を「192.168.232.183(Windows Server 2008)」から「192.168.232.184(Windows Server 2012)」に移行
「ライセンス情報」「設定」「ログ」「フィルターデータベース」「バックアップ」を移行
○ STEP1 再アクティベーション申請
現在利用しているシリアルNo.を新サーバーで利用可能にするため、ライセンス情報サイトにアクセスし再アクティベーション申
請を実施します。 1. ライセンス情報サイトにアクセスします。
ライセンス情報サイト
<https://sec2.daj.co.jp/license/ifilterV9/>
2. シリアルNo.とパスワードでログインします。
補足
シリアルNo.とパスワードはルート権限のユーザー(初期設定「root」)でログイン後、[ システム設定/ユー
ザー登録・確認]から確認可能です。
3. 『「i-FILTER」再アクティベーション申請』をクリックします。
172
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
4. 申請確認にチェックを入れ『申請』ボタンをクリックします。
○ STEP2 「i-FILTER」サーバーの新規構築
移行先の新規サーバーに「i-FILTER」をインストールします。
1. 「i-FILTER」をインストールします。
最新バージョンのインストーラーはサポート情報サイトよりダウンロードします(サポート情報サイトへのアクセス
には 「シリアルNo.」と「お客様E-Mailアドレス」によるログインが必要です )。 最新版ダウンロード「サポート情報サイト」
<https://download.daj.co.jp/user/ifilter/V9/>
2. 管理画面<http://192.168.232.184:15081>にアクセスし「STEP1」でアクティベーション申請したシリアルNo.で
ユーザー登録します。
3. 「i-FILTER」サービスを停止します。
○ STEP3 データ移行
「i-FILTER」設定や、その他必要な情報を移行します。
1. 旧サーバーの以下のディレクトリを新サーバーの同ディレクトリにコピーします。
情報
場所
備考
設定ファイル
<「i-FILTER」インストールディレクトリ>/conf/
必須
ログファイル
<「i-FILTER」インストールディレクトリ>/logs/
任意
フィルターデータベース
<「i-FILTER」インストールディレクトリ>/filterdata/
任意
バックアップ設定
<「i-FILTER」インストールディレクトリ>/backup/
任意
補足
ログ出力先は[システム設定/ログ設定]にて変更されている場合があります。
2. 移行先サーバーの「i-FILTER」サービスを開始して、必要な情報が移行されているかを確認します。
173
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
■ IPアドレス/ホスト名変更による影響
基本的にIPアドレス/ホスト名変更による影響はありませんが、明示的にサーバー固有の情報(変更前のIPアドレス/ホスト名)を設
定している場合は変更が必要です。
例
[システム設定/設定同期/同期ホスト登録]
[システム設定/SSL代理証明書/同期ホスト登録]
[ システム設定/システムパラメーター設定/システム動作設定]
[システム設定/システムパラメーター設定/システムIPアドレス設定]
[ルールセット/ルールパーツ/IPアドレスリスト]
■ 旧「i-FILTER」の動作
移行先の新規「i-FILTER」サーバーでライセンス登録(アクティベーション)を実施した場合、移行前の旧「i-FILTER」は、ラ
イセンス自動更新のタイミング(当日~1週間)でライセンスエラーとなります。
旧サーバーで「i-FILTER」を一時的に並行して運用する場合には、下記ページより試用シリアルNo.を取得して[ システム設定/
ユーザー登録・確認]から更新してください。
「i-FILTER」試用版ダウンロードページ
<http://www.daj.jp/bs/if/trial/>
174
「i-FILTER」Ver.9 運用マニュアル
第8章 システムメンテナンス
8-8 サポートサイト
本マニュアルや「関連ドキュメント」にて解決しない問題やその他、用途に応じてサポートサイトをご利用ください。
■ デジタルアーツサポートサイト
http://www.daj.jp/bs/support.htm
サポートサイトでは、以下の情報を提供しています。
FAQ検索サイト
テクニカルサポートセンターに頻繁に寄せられるお問い合わせ事例を掲載しています。
動作環境から設定手順、トラブルシューティングまで、お客様に最適な
サポートソリューションをご提供します。
トラブルシューティングガイド
想定される事象やお問い合わせ内容から、公開FAQによる解決策をご提供します。
サポートトピックス
製品に関連するライブラリの脆弱性対応等、最新のトピックを掲載しています。
サポート情報サイト
最新バージョンの製品ダウンロード、アップデートの詳細情報、各種マニュアルなどを
ご確認いただけます。最新のバージョンにアップデートすることで問題が解決する場合があります。
※ 製品の「シリアルNo.」とお客様「E-Mailアドレス」 によるログインが必要です。ログイン情報の
確認方法は本マニュアル「8-3 ユーザー登録情報を確認・変更」 を参照してください。
製品サポート期間一覧
デジタルアーツ製品のサポートサービス情報を掲載しています。
お問い合わせ先一覧
上記情報にて問題解決に至らない場合のお問い合わせ先やお問い合わせ方法を
掲載しています。お問い合わせの際には、「FAQ:2830」を参考に各種情報をご用意ください。
175
「i-FILTER」Ver.9 運用マニュアル
www.daj.jp