XG Firewall v18のポリシーをカスタマイズする

投稿日 編集日 カテゴリ

この記事で実現すること

XG FirewallのWebポリシーをカスタマイズし、コンテンツのカテゴリ(ギャンブル、アダルト、Webメール)毎にアクセス可否を設定します。また閲覧を拒否する情報をインターネット上にあるデータベース等から入手し、XGに取り込めます。

ポリシーのカスタマイズ

XGにおけるWebのポリシーというのはコンテンツのカテゴリを意味し、カテゴリによってアクセスを認めない制御が可能です。ギャンブル、アダルトからネットショッピングやチャットやWebメールまで多岐に渡ります。設定するには左ペインメニューのWebをクリックします。

”Default Policy”の内容がまず最初に表示されているはずです。初期値では、”Blocked URLs for Default Policy”と2番目の行に”Risky Downloads”および”Suspicious(※怪しいもの)”が選択されています。”Risky Downloads”、”Suspicious”が含まれていると、Google検索で”広告”という表示のあるページを正しく表示出来ない場合があります。レイヤ7Firewallルールのポリシーはこういった箇所のカスタマイズが重要となります。これらのポリシーは、SophosのWebカテゴリの記事にも日本語の解説があります。この内容を見ながらWebポリシーのカスタマイズを行ってください。この部分は防御というよりは倫理の概念です。膨大なサイトの分類が既に登録されている事は素晴らしい事ですが、さらに自分で分類を追加できます。

Sophos XG Firewall: Web カテゴリ
https://community.sophos.com/kb/ja-jp/134155

外部データベースを取り込む

(2021-10-16更新)
この章で説明しているモバイル広告ブロッカーは作者様の都合によって国内の企業に譲渡されました。長い間、一般ユーザーに貴重な情報をご提供いただいた事に感謝いたします。また、新しい引き継ぎ先でも当面ファイルの提供は継続されるとの事です。詳細は以下を参照してください。

280blocker -280blockerの今後の運営について-
https://280blocker.net/blog/20210921/3055/

XGは外部のデータベース(ドメインのリスト形式)を取り込む事が可能です。ここでは「280blocker | モバイル広告ブロッカー」のデータ(ドメインテキスト形式)を取り込んでみます。名称の通り、スマホでの広告をカットするために利用されるデータベースです。利用については、ダウンロードのページの注意事項の確認をいただき、ご自身で利用の判断をお願いします。

280blocker ダウンロードページ
https://280blocker.net/download/

 280blockerのページでは、ファイルのダウンロードLinkをクリックしてもダウンロードできません。”URL中の6桁のxを現在の年・月の6桁の数字へ変更してください。”と記載されている通り、URLの修正が必要です。

  1. ダウンロードするデータとして”ドメインテキスト形式”をダウンロードします
  2. XGの左ペインメニューのWebを選択し、”カテゴリ”のタブをクリックします
  3. 名前は”280blocker”とします
  4. 分類は”Objectionable”とします
  5. 設定のカテゴリはローカルのラジオボタンを選択します
  6. domainのインポートから、先ほどダウンロードしたファイルを選択し取り込みます
  7. “保存”ボタンをクリックします

引き続き、Webユーザーアクティビティをクリックします。

  1. 画面右上の追加ボタンをクリックします
  2. 名前は”280blocker”とします
  3. 先ほど”カテゴリ”で作成した”280blocker”を選択し適用します
  4. 最後に”保存”ボタンを押します

再びWebのポリシータブをクリックし、”Default Policy”の内容を表示します。ここで右側の編集(ペンのアイコン)を選択します。

  1. ルールの追加ボタンを押すと、先頭にルールが作成されます
  1. 先頭ルールのアクティビティを選択し”すべてのWebトラフィック”を削除し、”280blocker”を追加します
  2. “アクション”は”HTTPをブロックする”という赤い盾のバツ印が表示されていますが、そのままにします
  3. ステータスのトグルをOnにしてください
  4. 最後に画面を下にスクロールし、保存ボタンをクリックします

これでブラウザやスマホなどで広告のあるサイトを閲覧すると広告が消えている事がわかります。また、ログビューアからWebフィルタを選択すると、”カテゴリ”に280blockerとURLが表示され赤字で拒否されています。スマホに広告ブロッカーを導入する事と結果は同じですが、XGで一括管理できるのとクライアントOSの種類に限らずIoTにも有効ですので導入する価値はあります。