ADC

URL-Liste

Mit der URL-Listen-Funktion können Sie den Zugriff auf benutzerdefinierte URL-Listen (bis zu einer Million Einträge) steuern. Das Feature filtert Websites, indem eine URL-Filterrichtlinie angewendet wird, die an einen virtuellen Server gebunden ist.

Als Administrator müssen Sie die URL-Liste in die Citrix ADC Appliance importieren. Diese importierte Liste wird intern als Richtliniendatensatz gespeichert, der als URL-Setbezeichnet wird. Die Appliance wendet dann einen eindeutigen schnellen URL-Übereinstimmungsalgorithmus auf die eingehenden URL-Anforderungen an. Wenn die eingehende URL-Anforderung mit einem Eintrag in der Gruppe übereinstimmt, wendet die Appliance die zugeordnete Richtlinienaktion an, um den Zugriff zu steuern.

URL-Listentypen

Jeder Eintrag in einem URL-Satz kann eine URL und optional deren Metadaten (URL-Kategorie, Kategoriegruppen oder andere verwandte Daten) enthalten. Bei URLs mit Metadaten verwendet die Appliance einen Richtlinienausdruck, der die Metadaten auswertet. Weitere Informationen finden Sie unter URL-Sets.

Benutzerdefinierte URL-Liste. Sie können einen benutzerdefinierten URL-Satz mit bis zu 1.000.000 URL-Einträgen erstellen und als Textdatei in Ihre Appliance importieren. Die Liste kann URLs mit oder ohne Metadaten enthalten (was wie eine URL-Kategorie sein könnte). Die Citrix ADC-Plattform erkennt automatisch, ob Metadaten vorhanden sind. Es unterstützt auch das sichere Speichern der importierten Listen. Weitere Informationen finden Sie unter URL-Set.

Sie können die URL-Liste hosten und die Citrix ADC Appliance so konfigurieren, dass die Liste regelmäßig aktualisiert wird, ohne dass ein manueller Eingriff erforderlich ist. Sobald die URL-Liste aktualisiert wurde, kann die Appliance automatisch die Metadaten und Kategorien erkennen, indem sie Richtlinienausdrücke verwenden, um jede eingehende URL auszuwerten und dann Aktionen wie Zulassen, Blockieren, Umleiten oder Benachrichtigen des Benutzers anwenden.

URL-Listen-Richtlinienausdrücke

In der folgenden Tabelle werden die grundlegenden Ausdrücke beschrieben, die Sie zum Auswerten des eingehenden Datenverkehrs verwenden können. Nachdem Sie eine URL-Liste in die Appliance importiert haben, wird sie als URL-Setbezeichnet.

Ausdruck Vorgang
<URL expression>.URLSET_MATCHES_ANY(<URLSET>) Wertet TRUE aus, wenn die URL genau mit einem Eintrag im URL-Set übereinstimmt.
<URL expression>.GET_URLSET_METADATA(<URLSET>) Der Ausdruck GET_URLSET_METADATA () gibt die zugeordneten Metadaten zurück, wenn die URL genau einem Muster innerhalb des URL-Sets entspricht. Eine leere Zeichenfolge wird zurückgegeben, wenn keine Übereinstimmung vorhanden ist.
<URL expression>.GET_ URLSET_METADATA(<URLSET>).EQ(<METADATA>) Wertet TRUE aus, wenn die übereinstimmenden Metadaten gleich sind <METADATA>.
<URLexpression>.GET_URLSET_METADATA(<URLSET>).TYPECAST_LIST_T(‘,’).GET(0).EQ(<CATEGORY>) Wertet TRUE aus, wenn sich die übereinstimmenden Metadaten am Anfang der Kategorie befindet. Dieses Muster kann verwendet werden, um separate Felder innerhalb von Metadaten zu kodieren, aber nur mit dem1<sup>st</sup> Feld übereinstimmen.
HTTP.REQ.HOSTNAME.APPEND (HTTP.REQ.URL) Verbindet die Host- und URL-Parameter, die dann als<URL expression> Abgleich verwendet werden können.

URL-Listen-Richtlinienaktionen

Die häufigste Erzwingungsaktion für URLs, die einer URL-Liste entsprechen, besteht darin, den Zugriff zu beschränken. Erstellen Sie eine URL-Listenrichtlinie mit einem gewünschten URL-Listenausdruck und Erzwingungsaktion. Die Verwendung der Richtliniengruppe hängt vom Typ des eingehenden Datenverkehrs (HTTP oder HTTPS) und dem auf der Appliance konfigurierten virtuellen Server ab. Sie können eine Responder-Richtlinie für HTTP-Datenverkehr oder eine Videooptimierungsrichtlinie für HTTPS-Datenverkehr verwenden. Geben Sie Aktionen an, die auf die URLs angewendet werden sollen, die mit den Ausdrücken in den Richtlinien übereinstimmen. In der folgenden Tabelle sind die verfügbaren Aktionen aufgeführt.

Aktionstyp Richtlinie Beschreibung
ALLOW Responder Erlauben Sie der Anforderung, auf die Ziel-URL zuzugreifen.
REDIRECT Responder Leiten Sie die Anforderung an die URL um, die als Ziel angegeben ist.
DENY Responder Verweigern Sie die Anfrage.
RESET Responder, VideoOptimization Setzen Sie die Verbindung zurück.
DROP Responder, VideoOptimization Verlassen Sie die Verbindung.

Voraussetzungen

Um die URL-Listen-Funktion zu konfigurieren, stellen Sie sicher, dass Sie den folgenden Server konfiguriert haben.

DNS-Server für DNS-Anforderungen

Sie müssen einen DNS-Server konfigurieren, wenn Sie einen URL-Satz von einer Hostnamen-URL importieren.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]
<!--NeedCopy-->

Beispiel:

add dns nameServer 10.140.50.5
<!--NeedCopy-->

Importieren einer benutzerdefinierten URL-Liste

Informationen zum Importieren eines URL-Sets finden Sie unter Thema “URL-Sets” .

Konfigurieren einer URL-Liste für HTTP-Datenverkehr

Die Citrix ADC Appliance unterstützt HTTP- und HTTPS-Datenverkehr. Gehen Sie wie folgt vor, um einen virtuellen Lastausgleichsserver für HTTP-Datenverkehr zu konfigurieren und URL-Listenrichtlinien an den Server zu binden:

  • URL-Listen-Aktionen hinzufügen.
  • URL-Listen-Richtlinien hinzufügen.
  • Hinzufügen eines virtuellen HTTP-Lastausgleichsservers für HTTP-Datenverkehr
  • Binden Sie die URL-Listen-Richtlinien an den virtuellen HTTP-Lastausgleichsserver für HTTP-Datenverkehr

So fügen Sie eine URL-Listenaktion hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add responder action <name> <type> (<target> | <htmlpage>) [-comment <string>] [-responseStatusCode <positive_integer>] [-reasonPhrase <string>]
<!--NeedCopy-->

So fügen Sie einen virtuellen HTTP-Lastausgleichsserver für HTTP-Datenverkehr hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lb vserver <name> [-td <positive_integer>] <serviceType> [-cltT imeout <secs>]
<!--NeedCopy-->

Beispiel:

add lb vserver vsrv-HTTP HTTP * 80 -persistenceType NONE -cltTimeout 120
<!--NeedCopy-->

So binden Sie URL-Listenrichtlinie an den virtuellen HTTP-Lastausgleichsserver

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lb vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

URL-Liste für HTTPS-Datenverkehr konfigurieren

Die Citrix ADC Appliance unterstützt HTTP- und HTTPS-Datenverkehr. Gehen Sie folgendermaßen vor, um einen virtuellen SSL-Bridge-Lastausgleichsserver für HTTPS-Datenverkehr zu konfigurieren und URL-Listenrichtlinien an den Server zu binden:

  • URL-Listen-Aktionen hinzufügen.
  • URL-Listen-Richtlinien hinzufügen.
  • Hinzufügen eines virtuellen SSL-Bridge-Lastausgleichsservers für HTTP-Datenverkehr
  • Binden Sie die URL-Listen-Richtlinien an den virtuellen SSL-Bridge-Load Balancing Server für HTTP-Datenverkehr

So fügen Sie eine URL-Listen-Richtlinie für HTTPS-Datenverkehr hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add videooptimization detectionpolicy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]
<!--NeedCopy-->

So fügen Sie einen virtuellen SSL-Bridge-Lastausgleichsserver hinzu

Geben Sie an der Eingabeaufforderung Folgendes ein:

add lb vserver <name> [-td <positive_integer>] <serviceType> [-cltT imeout <secs>]
<!--NeedCopy-->

Beispiel:

add lb vserver vsrv-HTTPS SSL_BRIDGE * 443 -persistenceType NONE -cltTimeout 180
<!--NeedCopy-->

So binden Sie URL-Listen-Richtlinie mit SSL-Bridge-Lastenausgleich mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind lb vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Konfigurieren einer URL-Liste mit der GUI

Mit der GUI können Sie:

  • Importieren Sie eine URL-Liste.
  • Fügen Sie eine URL-Liste hinzu.
  • URL-Listenaktionen konfigurieren.
  • Konfigurieren Sie URL-Listenrichtlinien für HTTP-Datenverkehr.
  • Fügen Sie einen virtuellen HTTP-Lastausgleichsserver für HTTP-Datenverkehr hinzu.
  • Fügen Sie einen virtuellen SSL-Bridge-Load Balancing Server für HTTPS-Datenverkehr hinzu.
  • Binden Sie URL-Listenrichtlinien an den virtuellen HTTP-Lastausgleichsserver.
  • Binden Sie eine URL-Listen-Richtlinien an den virtuellen SSL-Bridge-Load Balancing Server.

So importieren Sie eine URL-Liste

  1. Erweitern Sie im Navigationsbereich AppExpert > URL-Sets.
  2. Klicken Sie im Detailbereich auf Importieren.
  3. Legen Sie auf der Seite URL-Set konfigurieren die folgenden Parameter fest.
    1. Name. Name des URL-Sets.
    2. URL. Webadresse des Speicherorts, an dem auf das URL-Set zugegriffen werden soll.
    3. Überschreiben. Überschreiben Sie einen zuvor importierten URL-Satz.
    4. Trennzeichen. Zeichensequenz, die einen CSV-Dateidatensatz abgrenzt.
    5. Zeilentrennzeichen. Zeilentrennzeichen, das in der CSV-Datei verwendet wird. Ein einzelner Zeichenwert ist zulässig, z. B. /n.
    6. Intervall. Intervall in Sekunden, abgerundet auf die nächsten 15 Minuten, in denen die URL-Einstellung aktualisiert wird.
    7. Privates Set. Option, um den Export des URL-Sets zu verhindern
    8. Kanarische URL. Interne URL zum Testen, ob der Inhalt des URL-Sets vertraulich behandelt werden soll. Die maximale Länge der URL beträgt 2047 Zeichen
  4. Klicken Sie auf Erstellenund dann auf Schließen.

So fügen Sie eine URL-Liste hinzu

  1. Erweitern Sie im Navigationsbereich AppExpert > URL-Sets.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Legen Sie auf der Seite URL-Set erstellen die folgenden Parameter fest.
    1. Name. Der Name des URL-Sets, der beim Importieren angegeben wurde.
    2. Kommentare. Eine kurze Beschreibung des URLs.
  4. Klicken Sie auf Erstellen.

So konfigurieren Sie eine URL-Listenaktion

  1. Melden Sie sich bei der Citrix ADC Appliance an, und navigieren Sie zur Registerkarte Konfiguration .
  2. Navigieren Sie im Menübereich zu AppExpert > Responder > Aktionen .
  3. Klicken Sie im Detailbereich auf Hinzufügen.
  4. Legen Sie auf der Seite Responder-Aktion erstellen die folgenden Parameter fest.
    1. Name. Name der Richtlinienaktion URL-Liste.
    2. Geben Sie ein. Wählen Sie einen Aktionstyp aus.
    3. Ausdruck. Verwenden Sie den Ausdruckseditor, um den Richtlinienausdruck zu erstellen.
    4. Kommentare. Eine kurze Beschreibung der Richtlinienaktion.
  5. Klicken Sie auf Erstellen und Schließen.

So konfigurieren Sie eine URL-Listenrichtlinie

  1. Erweitern Sie im Navigationsbereich AppExpert > Responder > Richtlinien .
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Legen Sie auf der Seite Responder-Richtlinie erstellen die folgenden Parameter fest.
    1. Name. Name der Richtlinienaktion URL-Liste.
    2. Aktion: Wählen Sie die URL-Liste Aktion aus, die Sie der Richtlinie zuordnen möchten.
    3. Aktion protokollieren. Wählen Sie die Protokollaktion aus.
    4. AppFlow. Wählen Sie eine AppFlow Aktion aus.
    5. Ausdruck. Verwenden Sie den Ausdruckseditor, um den Richtlinienausdruck zu erstellen.
    6. Kommentare. Eine kurze Beschreibung der Richtlinie.
  4. Klicken Sie auf Erstellen und Schließen.

So fügen Sie einen virtuellen HTTP-Lastausgleichsserver hinzu

  1. Navigieren Sie zur Seite Traffic Management > Load Balancing > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Legen Sie im Fenster Load Balancing Virtual Server die folgenden Parameter fest:
    1. Name. Name des virtuellen Lastenausgleichsservers.
    2. Protokoll. Wählen Sie den Protokolltyp als HTTP.
    3. Typ der IP-Adresse. IP-adressierbarer Typ.
    4. IP Adresse. IP 4 oder IP6 IP-Adresse, die dem virtuellen Server zugewiesen ist.
    5. Port. Portnummer des virtuellen Servers.
  4. Klicken Sie auf OK, um mit der Konfiguration anderer optionaler Parameter fortzufahren. Weitere Informationen finden Sie unter Erstellen eines virtuellen Servers.

So binden Sie eine URL-Listen-Richtlinie an den virtuellen HTTP-Lastausgleichsserver

  1. Navigieren Sie zu Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen Lastausgleichsserver aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie im Abschnitt Erweiterte Einstellungen auf Richtlinien.
  4. Klicken Sie im Abschnitt Richtlinien auf das Symbol +, um auf den Schieberegler Richtlinien zuzugreifen.
  5. Legen Sie im Abschnitt Richtlinien die folgenden Parameter fest.
    1. Wählen Sie Richtlinie. Wählen Sie eine URL-Kategorisierungsrichtlinie aus der Dropdownliste aus.
    2. Wählen Sie Typ aus. Wählen Sie den Richtlinientyp als Anforderung aus.
  6. Klicken Sie auf Weiter.
  7. Wählen Sie auf der Seite Richtlinien die URL-Listen-Richtlinie aus der Liste aus, und klicken Sie auf Auswählen.
  8. Klicken Sie im Schieberegler Richtlinien auf Binden und Schließen .

So fügen Sie URL-Listen-Richtlinie für HTTPS-Datenverkehr hinzu

  1. Melden Sie sich bei der Citrix ADC Appliance an, und navigieren Sie zu Konfiguration > Optimierung > Videooptimierung > Erkennung .
  2. Klicken Sie auf der Seite Erkennung auf den Link Richtlinien für die Erkennung von Videooptimierungen .
  3. Klicken Sie auf der Seite “ Richtlinien zur Videooptimierung “ auf Hinzufügen.
  4. Legen Sie auf der Seite Richtlinie zur Videooptimierung erstellen die folgenden Parameter fest.
    1. Name. Name der Optimierungsrichtlinie
    2. Ausdruck. Konfigurieren Sie die Richtlinie mithilfe benutzerdefinierter Ausdrücke.
    3. Aktion: Optimierungsaktion, die mit der Richtlinie für die Verarbeitung des eingehenden Videoverkehrs verknüpft ist.
    4. UNDEF Aktion. Undefiniertes Ereignis, wenn die eingehende Anforderung nicht mit der Optimierungsrichtlinie übereinstimmt.
    5. Kommentar. Eine kurze Beschreibung der Richtlinie.
    6. Aktion protokollieren. Wählen Sie eine Überwachungsprotokollaktion aus, die die Aktion angibt, die für die Protokollmeldungen ausgeführt werden soll.
  5. Klicken Sie auf Erstellen und Schließen.

So fügen Sie einen virtuellen SSL-Bridge-Lastausgleichsserver für HTTPS-Datenverkehr hinzu

  1. Navigieren Sie zur Seite Traffic Management > Load Balancing > Virtuelle Server.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Legen Sie im Fenster Load Balancing Virtual Server die folgenden Parameter fest:
    1. Name. Name des virtuellen Lastenausgleichsservers.
    2. Protokoll. Wählen Sie den Protokolltyp als SSL-Bridge aus.
    3. Typ der IP-Adresse. IP-Adresstyp: IPv4 oder IPv6.
    4. IP Adresse. IPv4- oder IP6VIP-Adresse, die dem virtuellen Server zugewiesen ist.
    5. Port. Portnummer des virtuellen Servers.
  4. Klicken Sie auf OK, um mit der Konfiguration anderer optionaler Parameter fortzufahren. Weitere Informationen finden Sie unter “Erstellen eines virtuellen Servers”.

So binden Sie eine URL-Listen-Richtlinie an den virtuellen SSL-Bridge-Lastausgleichsserver

  1. Navigieren Sie in das Fenster Traffic Management > Load Balancing > Virtuelle Server.
  2. Wählen Sie im Detailbereich den virtuellen SSL-Bridge-Load Balancing Server aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie im Abschnitt Erweiterte Einstellungen auf Richtlinien.
  4. Klicken Sie im Abschnitt Richtlinien auf das Symbol +, um auf den Schieberegler Richtlinien zuzugreifen.
  5. Legen Sie die folgenden Parameter fest.
    1. Wählen Sie Richtlinie. Wählen Sie in der Dropdownliste die Richtlinie zur Videoerkennung aus.
    2. Wählen Sie Typ aus. Wählen Sie den Richtlinientyp als Anforderung aus.
  6. Klicken Sie auf Weiter.
  7. Wählen Sie die Richtlinie zur Videoerkennung aus der Liste aus, und klicken Sie auf Schließen.

Konfigurieren von Überwachungsprotokoll-Messaging

Mit der Auditprotokollierung können Sie eine Bedingung oder eine Situation in einer beliebigen Phase des URL-Listenprozesses überprüfen. Wenn eine Citrix ADC-Appliance eine eingehende URL empfängt und die Responderrichtlinie über einen erweiterten Richtlinienausdruck URL-Sets verfügt, erfasst das Auditprotokoll-Feature URL-Set-Informationen in der URL und speichert die Details als Protokollnachricht für jedes Ziel, das durch die Auditprotokollierung zulässig ist.

Die Protokollmeldung enthält die folgenden Informationen:

  1. Zeitstempel.
  2. Protokollnachrichtentyp.
  3. Die vordefinierten Protokollstufen (Critical, Error, Notice, Warning, Informational, Debug, Alert und Emergency).
  4. Meldungsinformationen wie URL-Setname, Richtlinienaktion, URL protokollieren.

Um die Auditprotokollierung für URL-Listenfunktion zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

  1. Überwachungsprotokoll aktivieren.
  2. Aktion “Auditprotokoll erstellen”
  3. Legen Sie die Richtlinie für URL-Listen-Responder mit Auditprotokoll-Nachrichtenaktion fest.

Weitere Informationen finden Sie unter Audit-Protokollierung.

URL-Liste Semantik

In der folgenden Tabelle werden die URL-Übereinstimmungsmuster aufgeführt und beschrieben, wie die URLs in einer URL-Liste mit den URLs für einkommende Anfragen abgeglichen werden. Beispielsweise entspricht das Muster www.example.com/bar nur einer Seite unter www.example.com/bar. Um alle Seiten abzugleichen, deren URL mit ‘www.example.com/bar’ beginnt, fügen Sie am Ende der URL ein Sternchen (*) hinzu.

Semantik URL-Muster Abgestimmt Unübertroffen
Subdomain-Matching domain.com domain.com; www.domain.com; sub.one.domain.com yourdomain.com; wwwdomain.com
URL-Übereinstimmung, exakter Pfad domain.com/example/bar/index.html domain.com/example/bar/index.html; www.domain.com/example/bar/index.html; s.domain.com/example/bar/index.html wwwdomaincom/example/bar/index.html; domain.com/example/bar/index.html/one.jpg
URL-Übereinstimmung, exakter Pfad domain.com/example/bar/index.html domain.com/example/bar/index.html?key=value; www.domain.com/example/bar/index.html?; s.domain.com/example/bar/index.html wwwdomaincom/example/bar/index.html; domain.com/example/bar/index.html/one.jpg
URL-Abgleich, Unterpfadabgleich domain.com/example/bar/ domain.com/beispiel/bar/; domain.com/beispiel/bar/index.html; www.domain.com/example/bar/index.html; domain.com/beispiel/bar/index.html/one.jpg wwwdomaincom/example/bar/index.html