WebBlocker のベストプラクティス
これらのベストプラクティスに従って、WebBlocker の効率とパフォーマンスを最適化します。
ポリシー構成
アウトバウンド HTTP と HTTP プロキシに WebBlocker を使用します。また、TCP-UDP プロキシで WebBlocker を使用して、80 および 443 以外のポートのサイトを分類できます。
WebBlocker 例外について
最高のパフォーマンスを実現するために、正規表現で WebBlocker 例外を定義することをお勧めします。パターン マッチまたは完全一致を使用する際、各サイトを評価する前に、Firebox デバイスはこれを正規表現に変換する必要があります。正規表現を使用する際にこのステップは必要ではなく、WebBlocker 検索がより迅速になります。詳細および構成の方法については、ナレッジ ベースの記事 プロキシ定義で正規表現を使用する を参照してください。
使用される WebBlocker アクションに関わらず、WebBlocker で特定の Web サイトへのアクセスが常に許可または拒否されるようにする場合は、そのサイトにグローバル WebBlocker 例外を追加して、WebBlocker アクションから重複する例外を削除することをお勧めします。グローバル WebBlocker 例外により、構成ファイルのサイズを小さくすることができます。グローバル例外についての詳細は、次を参照してください:WebBlocker グローバル設定を構成する。
WebBlocker は、HTTP 要求にクエリ文字列 (疑問符の後に続くすべてのテキスト) を評価しません。HTTP プロキシの URL パス構成を使って特定のクエリを拒否できます。HTTP プロキシを使って特定のパスに関する詳細については、次を参照してください:HTTP 要求:URL パス。
非標準ポートのトラフィックに対して WebBlocker 例外を作成するには、ナレッジ ベースの記事 非標準ポート上のトラフィックに WebBlocker 例外を追加する を参照してください。
HTTP プロキシ例外または WebBlocker 例外
WebBlocker を使って HTTP プロキシ ポリシーを構成する際、HTTP プロキシ例外は、ユーザーがプロキシ経由で取得するサイトのコンテンツにのみ適用されることを理解することが重要です。WebBlocker 例外は、サイトへのアクセスが WebBlocker によって拒否されるかどうかにのみ影響します。
サイトの HTTP プロキシ例外により WebBlocker でそのサイトが拒否されるのが阻止されることはありません。また、WebBlocker 例外は、HTTP プロキシ アクションにより、ユーザーが受信したコンテンツが変更または削除されるかどうかには影響しません。
特定の Web サイトのみへのアクセスを許可する
ユーザーに HTTP プロキシのある特定のサイトのみへのアクセスを許可しようと計画している場合、WebBlocker を使用する必要はありません。HTTP 要求で特定のパスのみを許可するように HTTP プロキシを構成することができます。詳細については、HTTP 要求:URL パス を参照してください。
コンテンツ インスペクションなしの WebBlocker over HTTPS
WebBlocker は、証明書交換中に Server Name Indication (SNI) と 一般名 (CN) フィールドの両方を検査し、Web アドレスを決定します。これにより、許可または拒否する Web サイトのドメインとサブドメインが WebBlocker で正常に識別されるようになります。
サーバー選択および DNS
WebBlocker クラウドのパフォーマンスを最適化する方法については、ナレッジ ベースの記事「WebBlocker パフォーマンスを最適化する」を参照してください。
URL 検索のための WebBlocker 接続
URL 検索のために WebBlocker Cloud に接続される場合は、最も近い場所でホストされている WebBlocker Cloud サーバーへの HTTPS 接続が Firebox で作成されます。
URL 検索のためにオンプレミスの WebBlocker Server に接続される場合は、WebBlocker グローバル設定で構成されているローカル WebBlocker Server への HTTPS 接続が Firebox で作成されます。詳細については、WebBlocker グローバル設定を構成する を参照してください。
WebBlocker のトラブルシューティング
WebBlocker は、トラブルシューティングに便利なログ メッセージを生成できます。WebBlocker に拒否されたサイトのログ メッセージが見つからない場合は、HTTP プロキシ アクションで使用されている WebBlocker アクションで、ログ記録が有効化されていることを確認します。
WebBlocker アクションでログ記録を有効化するには、以下の手順を実行します。
- HTTP プロキシ アクションで使用されている WebBlocker アクションを編集します。
- WebBlocker アクションで、カテゴリ タブを選択します。
- ユーザーがカテゴリまたはサブカテゴリのサイトにアクセスしようとして拒否されたときにログ メッセージが送信されるようにするには、ログ の列で該当するチェックボックスを選択します。
- ユーザーが未分類のサイトにアクセスしようとしたときにログ メッセージが送信されるようにするには、URL が未分類の場合 ドロップダウン リストの横にある このアクションをログ記録する チェックボックスを選択します。
詳細については、WebBlocker カテゴリを構成する を参照してください。
WebBlocker の問題をトラブルシューティングするには、まず問題の範囲を理解しておく必要があります:
- 特定のサイトのみに影響するか、すべての web トラフィックに影響するか?
- サイトが誤って許可または拒否されたことによる問題かどうか?
特定のサイトのみに影響する問題
いくつかのサイトが誤って拒否されている、あるいは拒否されていないと思える場合は、いくつか考えられる原因があります。
- これは、サイトが想定されたカテゴリと一致しない場合に発生します。サイトがどのカテゴリに当てはまるかをテストする方法、および変更を提案する方法の詳細については、WatchGuard Security Portal を参照してください。カテゴリ全体の処理方法を変更したくない場合は、いつでも WebBlocker 例外を作成してサイトを許可または拒否できることを覚えておいてください。
カテゴリに基づいてサイトが許可または拒否されたとき、トラフィック ログに次のようなメッセージが含まれることがあります:
Allow 1-Trusted 0-External tcp 10.0.1.2 50.16.210.117 50790 80msg="ProxyAllow:HTTP Request categories" proxy_act="HTTP-Client.2" cats="Reference Materials" op="GET"dstname="www.walkscore.com" arg="/" (HTTP-proxy-00)
- これは、HTTP プロキシに対して WebBlocker を有効化していない場合に発生します。HTTPS 経由でアクセスされる Web サイトは拒否されません。
- これは、HTTPS に対して WebBlocker が有効化されているにもかかわらず、それらの HTTPS プロキシ アクションでコンテンツ インスペクションは使用しない場合に発生します。詳細については、この既知の問題「WebBlocker は、ワイルドカード証明書を使って HTTPS サイトを拒否できない可能性があります」を参照してください。
すべてのサイトに影響する問題
すべてのユーザー トラフィックが許可された、またはすべてのトラフィックが拒否された場合は、考えられる理由がいくつかあります。
- ポリシー構成が正しくない可能性があります。WebBlocker アクションについて、ユーザー Web トラフィックが正しい HTTP、HTTPS、または TCP-UDP プロキシ ポリシーによって処理されていることを確認してください。
- WebBlocker Cloud を使用している場合は、Firebox からサーバーに到達できなかった可能性、または適時に応答が受信されていない可能性があります。WebBlocker クラウドの一般的な接続問題を解決する方法の詳細については、WebBlocker パフォーマンスを最適化する を参照してください。
- オンプレミス WebBlocker Server を使用する場合は、サーバーが稼働しており、応答できることを確認してください。
WebBlocker Server が非アクティブの場合、または WebBlocker の構成の IP アドレスが正しくない場合は、以下のようなログ メッセージが表示されます。
Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.23 23.21.224.150 60921 80 msg="ProxyDeny: HTTP Service unavailable" proxy_act="HTTP-Client.1" service="WebBlocker.1" details="Webblocker server is not available" (HTTP-proxy-00)