URL-Liste

Mit der URL-Listenfunktion können Unternehmenskunden den Zugriff auf bestimmte Websites und Websitekategorien steuern. Das Feature filtert Websites, indem eine Responder-Richtlinie angewendet wird, die an einen URL-Abgleichsalgorithmus gebunden ist. Der Algorithmus gleicht die eingehende URL mit einem URL-Satz ab, der aus bis zu einer Million (1.000.000) Einträgen besteht. Wenn die eingehende URL-Anforderung mit einem Eintrag in der Gruppe übereinstimmt, verwendet die Appliance die Responderrichtlinie, um die Anforderung (HTTP/HTTPS) auszuwerten und den Zugriff darauf zu steuern.

URL-Set-Typen

Jeder Eintrag in einem URL-Satz kann eine URL und optional deren Metadaten (URL-Kategorie, Kategoriegruppen oder andere verwandte Daten) enthalten. Bei URLs mit Metadaten verwendet die Appliance einen Richtlinienausdruck, der die Metadaten auswertet. Weitere Informationen finden Sie unter URL-Satz.

SSL-Forward-Proxy unterstützt benutzerdefinierte URL-Sätze und URL-Sätze im IWF-Style. Sie können auch Mustersätze verwenden, um URLs zu filtern.

Benutzerdefinierter URL-Satz. Sie können einen benutzerdefinierten URL-Satz mit bis zu 1.000.000 URL-Einträgen erstellen und als Textdatei in Ihre Appliance importieren.

URL-Set im IWF-Stil. Sie können einen URL-Satz importieren, der von IWF oder Internet-Enforcement Agenturen verwaltet wird. Um das Set in Ihre Appliance zu importieren, können Sie die Website-URL angeben.

Musterset Eine ADC-Appliance kann Pattern-Sets verwenden, um URLs zu filtern, bevor sie Zugriff auf Websites gewähren. Ein Mustersatz ist ein Zeichenfolge-Matching-Algorithmus, der nach einer genauen Übereinstimmung zwischen einer eingehenden URL und bis zu 5000 Einträgen sucht. Weitere Informationen finden Sie unter Musterset.

Jede URL in einem importierten URL-Satz kann eine benutzerdefinierte Kategorie in Form von URL-Metadaten aufweisen. Ihre Organisation kann das Set hosten und die ADC-Appliance so konfigurieren, dass das Set regelmäßig aktualisiert wird, ohne dass ein manueller Eingriff erforderlich ist.

Nach der Aktualisierung des Satzes erkennt die Citrix ADC-Appliance automatisch die Metadaten, und die Kategorie steht als Richtlinienausdruck zur Verfügung, um die URL auszuwerten und eine Aktion wie Zulassen, Blockieren, Umleiten oder Benachrichtigen des Benutzers anzuwenden.

Erweiterte Richtlinienausdrücke, die mit URL-Sets verwendet werden

In der folgenden Tabelle werden die grundlegenden Ausdrücke beschrieben, die Sie zum Auswerten des eingehenden Datenverkehrs verwenden können.

  1. .URLSET_MATCHES_ANY - Wertet TRUE aus, wenn die URL genau mit einem Eintrag im URL-Set übereinstimmt.
  2. .GET_URLSET_METADATA () - Der Ausdruck GET_URLSET_METADATA () gibt die zugeordneten Metadaten zurück, wenn die URL genau einem Muster innerhalb des URL-Sets entspricht. Eine leere Zeichenfolge wird zurückgegeben, wenn keine Übereinstimmung vorhanden ist.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(‘,’).GET(0).EQ() - Ist TRUE, wenn sich die übereinstimmenden Metadaten am Anfang der Kategorie befindet. Dieses Muster kann verwendet werden, um separate Felder innerhalb von Metadaten zu codieren, aber nur mit dem ersten Feld übereinstimmen.
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - Verbindet die Host- und URL-Parameter, die dann als für die Übereinstimmung verwendet werden können.

Responder-Aktionstypen

Hinweis: In der Tabelle wird HTTP.REQ.URL als <URL expression> verallgemeinert.

In der folgenden Tabelle werden die Aktionen beschrieben, die auf eingehenden Internetverkehr angewendet werden können.

Responderaktion Beschreibung
Allow Erlauben Sie der Anforderung, auf die Ziel-URL zuzugreifen.
Redirect Leiten Sie die Anforderung an die URL um, die als Ziel angegeben ist.
Block Verweigern Sie die Anfrage.

Voraussetzungen

Sie müssen einen DNS-Server konfigurieren, wenn Sie einen URL-Satz von einer Hostnamen-URL importieren. Dies ist nicht erforderlich, wenn Sie eine IP-Adresse verwenden.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Beispiel:

add dns nameServer 10.140.50.5

Konfigurieren einer URL-Liste

Zum Konfigurieren einer URL-Liste können Sie den Citrix SSL-Forward-Proxyassistenten oder die Citrix ADC Befehlszeilenschnittstelle (CLI) verwenden. Auf der Citrix ADC Appliance müssen Sie zuerst die Responder-Richtlinie konfigurieren und dann die Richtlinie an einen URL-Satz binden.

Citrix empfiehlt, den Citrix SSL-Forward-Proxyassistenten als bevorzugte Option zum Konfigurieren einer URL-Liste zu verwenden. Verwenden Sie den Assistenten, um eine Responder-Richtlinie an einen URL-Satz zu binden. Alternativ können Sie die Richtlinie an einen Mustersatz binden.

Konfigurieren einer URL-Liste mithilfe des SSL-Forward-Proxy-Assistenten

So konfigurieren Sie die URL-Liste für HTTPS-Datenverkehr mit der GUI:

  1. Navigieren Sie zur Seite Sicherheit > SSL-Forward-Proxy .
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    1. Klicken Sie auf SSL-Forward-Proxy-Assistent.
    2. Wählen Sie eine vorhandene Konfiguration aus, und klicken Sie auf Bearbeiten.
  3. Klicken Sie im Abschnitt URL-Filterung auf Bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen URL-Liste, um die Funktion zu aktivieren.
  5. Wählen Sie eine URL-Listen richtlinie aus, und klicken Sie auf Binden .
  6. Klicken Sie auf Weiter und dann Fertig.

Weitere Informationen finden Sie unter Erstellen einer URL-Listenrichtlinie.

Konfigurieren einer URL-Liste mit der CLI

Gehen Sie folgendermaßen vor, um eine URL-Liste zu konfigurieren.

  1. Konfigurieren Sie einen virtuellen Proxyserver für HTTP- und HTTPS-Datenverkehr.
  2. Konfigurieren Sie SSL-Interception zum Abfangen des HTTPS-Datenverkehrs.
  3. Konfigurieren Sie eine URL-Liste, die einen URL-Satz für HTTP-Datenverkehr enthält.
  4. Konfigurieren Sie die URL-Liste mit URL-Satz für HTTPS-Datenverkehr.
  5. Konfigurieren Sie einen privaten URL-Satz.

Hinweis:

Wenn Sie bereits eine ADC-Appliance konfiguriert haben, können Sie die Schritte 1 und 2 überspringen und mit Schritt 3 konfigurieren.

Konfigurieren eines virtuellen Proxyservers für den Internetverkehr

Die Citrix ADC Appliance unterstützt transparente und explizite Proxy-Server. Gehen Sie folgendermaßen vor, um einen virtuellen Proxyserver für den Internetverkehr im expliziten Modus zu konfigurieren:

  1. Fügen Sie einen virtuellen SSL-Proxyserver hinzu.
  2. Binden Sie eine Responderrichtlinie an den virtuellen Proxyserver.

So fügen Sie einen virtuellen Proxyserver mit der CLI hinzu:

Geben Sie an der Eingabeaufforderung Folgendes ein:

add cs vserver <name> <serviceType> <IPAddress> <port>

Beispiel:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

So binden Sie eine Responder-Richtlinie mit der CLI an einen virtuellen Proxyserver:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

Hinweis:

Wenn Sie den SSL-Interceptor bereits als Teil der Citrix ADC Konfiguration konfiguriert haben, können Sie das folgende Verfahren überspringen.

Konfigurieren der SSL-Interception für HTTPS-Datenverkehr

Gehen Sie folgendermaßen vor, um SSL-Interception für HTTPS-Datenverkehr zu konfigurieren:

  1. Binden Sie ein Zertifizierungsstellen-Schlüsselpaar an den virtuellen Proxyserver.
  2. Aktivieren Sie das standardmäßige SSL-Profil.
  3. Erstellen Sie ein Front-End-SSL-Profil, binden Sie es an den virtuellen Proxyserver und aktivieren Sie SSL-Interception im Front-End-SSL-Profil.

So binden Sie ein Zertifizierungsstellen-Schlüsselpaar mit der Befehlsschnittstelle an den virtuellen Proxyserver:

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

So konfigurieren Sie ein Front-End-SSL-Profil mit der Befehlszeilenschnittstelle:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>

So binden Sie ein Front-End-SSL-Profil mit der Befehlszeilenschnittstelle an einen virtuellen Proxyserver

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl vserver <vServer name>  -sslProfile <name>

Konfigurieren einer URL-Liste durch Importieren eines URL-Sets für HTTP-Datenverkehr

Hinweise zum Konfigurieren eines URL-Sets für HTTP-Datenverkehr finden Sie unterURL-Satz.

Explizite Subdomain-Übereinstimmung durchführen

Sie können jetzt eine explizite Subdomain-Übereinstimmung für einen importierten URL-Satz durchführen. Dazu wird dem Befehl import policy URLset ein neuer Parameter subdomainExactMatch hinzugefügt.

Wenn Sie den Parameter aktivieren, führt der URL-Filteralgorithmus eine explizite Subdomain-Übereinstimmung aus. Wenn beispielsweise die eingehende URL news.example.com ist und der Eintrag im URL-Satz example.com, erkennt der Algorithmus die URLs nicht als übereinstimmend.

Geben Sie an der Eingabeaufforderung Folgendes ein: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Beispiel import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Konfigurieren eines URL-Sets für HTTPS-Datenverkehr

So konfigurieren Sie einen URL-Satz für HTTPS-Datenverkehr mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]

Beispiel:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT

So konfigurieren Sie einen URL-Satz für HTTPS-Datenverkehr mithilfe des SSL-Forward-Proxy-Assistenten

Citrix empfiehlt, den SSL-Forward-Proxyassistenten als bevorzugte Option zum Konfigurieren einer URL-Liste zu verwenden. Verwenden Sie den Assistenten, um einen benutzerdefinierten URL-Satz zu importieren und an eine Responderrichtlinie zu binden.

  1. Navigieren Sie zu Sicherheit > SSL-Forward-Proxy > URL-Filter > URL-Listen.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie auf der Seite URL-Listenrichtlinie den Richtliniennamen an.
  4. Wählen Sie eine Option aus, um einen URL-Satz zu importieren.
  5. Aktivieren Sie auf der Registerkarte URL-Listenrichtlinie das Kontrollkästchen URL-Satz importieren, und geben Sie die folgenden URL-Set-Parameter an.
    1. URL-Set-Name — Name des benutzerdefinierten URL-Sets.
    2. URL — Webadresse des Ortes, an dem auf den URL-Satz zugegriffen werden soll.
    3. Überschreiben — Überschreiben Sie einen zuvor importierten URL-Satz.
    4. Trennzeichen — Zeichenfolge, die einen CSV-Dateidatensatz abgrenzt.
    5. Zeilentrennzeichen — Zeilentrennzeichen, das in der CSV-Datei verwendet wird.
    6. Intervall — Intervall in Sekunden, abgerundet auf die nächste Anzahl von Sekunden, die 15 Minuten entspricht, bei der der URL-Satz aktualisiert wird.
    7. Private Set — Option, um den Export des URL-Sets zu verhindern.
    8. Kanarische URL — Interne URL zum Testen, ob der Inhalt des URL-Sets vertraulich behandelt werden soll. Die maximale Länge der URL beträgt 2047 Zeichen.
  6. Wählen Sie eine Responder-Aktion aus der Dropdownliste aus.
  7. Klicken Sie auf Erstellen und Schließen.

Konfigurieren eines privaten URL-Sets

Wenn Sie einen privaten URL-Satz konfigurieren und den Inhalt vertraulich behandeln, kennt der Netzwerkadministrator möglicherweise die in der Liste enthaltenen URLs nicht. In solchen Fällen können Sie eine Canary-URL konfigurieren und sie dem URL-Satz hinzufügen. Mit der Canary-URL kann der Administrator den privaten URL-Satz für jede Lookup-Anfrage anfordern. Beschreibungen der einzelnen Parameter finden Sie im Assistentenabschnitt.

So importieren Sie einen URL-Satz mit der CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

Beispiel:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr

Importierte URL-Satz anzeigen

Sie können nun zusätzlich zu den hinzugefügten URL-Sets importierte URL-Sets anzeigen. Dazu wird dem Befehl show urlset ein neuer Parameter imported hinzugefügt. Wenn Sie diese Option aktivieren, zeigt die Appliance alle importierten URL-Sets an und unterscheidet die importierten URL-Sets von den hinzugefügten URL-Sets.

Geben Sie an der Eingabeaufforderung Folgendes ein: show policy urlset [<name>] [-imported]

Beispiel show policy urlset -imported

Auditprotokoll-Messaging konfigurieren

Mit der Auditprotokollierung können Sie eine Bedingung oder eine Situation in einer beliebigen Phase des URL-Listenprozesses überprüfen. Wenn eine Citrix ADC-Appliance eine eingehende URL empfängt und die Responderrichtlinie über einen erweiterten Richtlinienausdruck URL-Sets verfügt, erfasst das Auditprotokoll-Feature URL-Set-Informationen in der URL und speichert die Details als Protokollnachricht für jedes Ziel, das durch die Auditprotokollierung zulässig ist.

Die Protokollmeldung enthält die folgenden Informationen:

  1. Zeitstempel.
  2. Protokollnachrichtentyp.
  3. Die vordefinierten Protokollstufen (Critical, Error, Notice, Warning, Informational, Debug, Alert und Emergency).
  4. Protokollieren von Nachrichteninformationen, wie URL-Set-Name, Richtlinienaktion, URL.

Um die Auditprotokollierung für URL-Listenfunktion zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

  1. Auditprotokoll aktivieren.
  2. Aktion “Auditprotokoll erstellen”
  3. Legen Sie die Richtlinie für URL-Listen-Responder mit Auditprotokoll-Nachrichtenaktion fest.

Weitere Informationen finden Sie unter Auditprotokollierung.