Webアクセス拒否通知の機能説明
Webアクセス拒否通知は、特定端末からのWebアクセスを拒否し、端末に対して拒否されたことを示すWebページを応答する機能です。
対象端末は、拡張エキスパートアクセスリストで以下のように設定します。
- web-deny-notify tcp指定で設定。
- 送信元IPv4アドレス、または送信元MACアドレス条件はhost指定で特定端末を設定。マスク指定は未サポート。
- 宛先IPv4アドレス条件と宛先MACアドレス条件はanyで設定。
- 宛先TCPポート番号は、web-deny-notify http-port(デフォルト80)、およびweb-deny-notify https-port(デフォルト443)で指定された宛先TCPポート番号と一致するように設定。
web-deny-notifyで設定したエントリーにマッチしたIPv4パケットは、CPU宛てにリダイレクトされるようになります。対象端末からのそれ以外のトラフィック中継も制限する場合は、web-deny-notifyで指定したエントリーよりも後にマッチするシーケンス番号で、deny指定のエントリーを設定してください。
Webアクセス拒否通知機能は、NP2100の1.09.02以降、NP2000の1.09.01以降、NP2500の1.10.01以降でサポートしています。
拡張エキスパートアクセスリストの対象は、IPv4パケットです。
Webアクセス拒否通知は、IPv4アドレスでの使用をサポートしています。IPv6アドレスには対応していません。
Webアクセス拒否通知を使用する場合は、IPv4アドレスを設定した任意のVLANインターフェースを少なくとも1つ作成してください。また、IPv4アドレスを設定したVLANインターフェースが1つもアップしていない場合、Webアクセス拒否通知ページは応答できません。
対象VLANの実IPv4アドレスを利用する方法
対象端末が所属するVLANのVLANインターフェースにIPv4アドレスを設定し、そのIPv4アドレスで応答処理をする場合の使用例を示します。
対象VLANの実IPv4アドレスを利用する場合
この例の場合、IPv4アドレスが192.168.10.101の端末からHTTP(80)アクセスをポート1/0/1で受信すると、シーケンス番号10のエントリーにマッチするため、HTTP(80)アクセスはCPU宛てに中継されます。 また、Webアクセス拒否通知ページ「http://192.168.10.50/www/web-deny-notify.html」にリダイレクトするよう、装置から応答が返されます。
同様に、IPv4アドレスが192.168.10.101の端末からHTTPS(443)アクセスをポート1/0/1で受信すると、シーケンス番号11のエントリーにマッチするため、HTTPS(443)アクセスはCPU宛てに中継されます。 また、Webアクセス拒否通知ページ「https://192.168.10.50/www/web-deny-notify.html」にリダイレクトするよう、装置から応答が返されます。
仮想IPv4アドレスを利用する方法
Web認証のweb-authentication http-ip ipv4コマンドを利用して仮想IPv4アドレスを設定し、その仮想IPv4アドレスで応答処理をする場合の使用例を示します。この場合は、web-deny-notify redirect urlコマンドで、リダイレクト先URLを以下のいずれかに設定する必要があります。
- http://「web-authentication http-ip ipv4コマンドの設定値」:「web-deny-notify http-portコマンドの設定値」/www/web-deny-notify.html
- https://「web-authentication http-ip ipv4コマンドの設定値」:「web-deny-notify https-portコマンドの設定値」/www/web-deny-notify.html
リダイレクト先が装置のWebアクセス拒否通知ページの場合の「/www/web-deny-notify.html」は、装置内部の設定値を参照しており、変更できません。
対象VLANの実IPv4アドレスを利用する場合
この例の場合、MACアドレスが00:00:5E:00:53:11の端末からHTTP(80)アクセスをポート1/0/2で受信すると、シーケンス番号10のエントリーにマッチするため、HTTP(80)アクセスはCPU宛てに中継されます。 また、Webアクセス拒否通知ページ「http://192.0.2.100/www/web-deny-notify.html」にリダイレクトするよう、装置から応答が返されます。
同様に、MACアドレスが00:00:5E:00:53:11の端末からHTTPS(443)アクセスをポート1/0/2で受信すると、シーケンス番号11のエントリーにマッチするため、HTTPS(443)アクセスはCPU宛てに中継されます。 また、Webアクセス拒否通知ページ「http://192.0.2.100/www/web-deny-notify.html」にリダイレクトするよう、装置から応答が返されます。
外部Webサーバーにリダイレクトする方法
Webアクセス拒否通知ページを外部Webサーバーに用意してリダイレクトする場合の使用例を示します。この場合は、拡張エキスパートアクセスリストのweb-deny-notifyで指定したエントリーよりも先にマッチするシーケンス番号で、外部Webサーバー宛ての通信をpermitまたはpermit authentication-bypassで許可してください。
外部Webサーバーにリダイレクトする場合
この例の場合、IPv4アドレスが192.168.10.103の端末からHTTP(80)アクセスをポート1/0/3で受信すると、シーケンス番号10のエントリーにマッチするため、HTTP(80)アクセスはCPU宛てに中継されます。 また、Webアクセス拒否通知ページ「http://172.16.1.200/」にリダイレクトするよう、装置から応答が返されます。
同様に、IPv4アドレスが192.168.10.103の端末からHTTPS(443)アクセスをポート1/0/3で受信すると、シーケンス番号11のエントリーにマッチするため、HTTPS(443)アクセスはCPU宛てに中継されます。 また、Webアクセス拒否通知ページ「http://172.16.1.200/」にリダイレクトするよう、装置から応答が返されます。
Webアクセス拒否通知ページのカスタマイズ
カスタマイズしたWebアクセス拒否通知ページを装置にダウンロードするには、copyコマンドでweb-access-deny-pageパラメーターを指定して実施します。
装置にダウンロードしたカスタマイズしたWebアクセス拒否通知ページを削除するには、access-defender erase web-access-deny-pageコマンドを使用します。
Webアクセス拒否通知ページでは、Web認証ページ用として装置にダウンロードできる画像ファイル(webpage-image01~webpage-image10)は使用できません。