Anwendungsfall: URL-Filterung mithilfe benutzerdefinierter URL-Sets

Wenn Sie ein Unternehmenskunden sind, der nach einer Möglichkeit zum Steuern des Zugriffs auf bestimmte Websites und Websitekategorien sucht, können Sie dies tun, indem Sie einen benutzerdefinierten URL-Satz verwenden, der an eine Responderrichtlinie gebunden ist. Die Netzwerkinfrastruktur Ihres Unternehmens kann einen URL-Filter verwenden, um den Zugriff auf bösartige oder gefährliche Websites wie Websites mit Erwachsenen, Gewalt, Spielen, Drogen, Politik oder Jobportalen zu blockieren. Zusätzlich zum Filtern der URLs können Sie eine benutzerdefinierte Liste von URLs erstellen und in die ADC-Appliance importieren. Beispielsweise könnten die Richtlinien Ihrer Organisation dazu führen, den Zugriff auf bestimmte Websites wie soziale Netzwerke, Shoppingportale und Jobportale zu blockieren.

Jede URL in der Liste kann eine benutzerdefinierte Kategorie in Form von Metadaten enthalten. Die Organisation kann die Liste der URLs als URL auf der Citrix ADC Appliance hosten und die Appliance so konfigurieren, dass sie den Satz regelmäßig aktualisiert, ohne dass ein manueller Eingriff erforderlich ist.

Nach der Aktualisierung des Satzes erkennt die Citrix ADC-Appliance automatisch die Metadaten, und die Responderrichtlinie verwendet die URL-Metadaten (Kategoriedetails), um die eingehende URL auszuwerten und eine Aktion wie Zulassen, Blockieren, Umleiten oder Benachrichtigen des Benutzers anzuwenden.

Um diese Konfiguration in Ihrem Netzwerk zu implementieren, können Sie die folgenden Aufgaben ausführen:

  1. Importieren eines benutzerdefinierten URL-Sets
  2. Hinzufügen eines benutzerdefinierten URL-Sets
  3. Konfigurieren Sie eine benutzerdefinierte URL-Liste im SSL-Forward-Proxy-Assistenten.

Importieren eines benutzerdefinierten URL-Sets mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv

Hinzufügen eines benutzerdefinierten URL-Sets mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add urlset <urlset_name>

Beispiel:

add urlset test1

Konfigurieren einer URL-Liste mithilfe des SSL-Forward-Proxy-Assistenten

Citrix empfiehlt, den SSL-Forward-Proxyassistenten als bevorzugte Option zum Konfigurieren einer URL-Liste zu verwenden. Verwenden Sie den Assistenten, um einen benutzerdefinierten URL-Satz zu importieren und an eine Responderrichtlinie zu binden.

  1. Navigieren Sie zu Sicherheit > SSL-Forward-Proxy > URL-Filter > URL-Listen.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie auf der Seite URL-Listenrichtlinie den Richtliniennamen an.
  4. Wählen Sie eine Option aus, um einen URL-Satz zu importieren.
  5. Aktivieren Sie auf der Registerkarte URL-Listenrichtlinie das Kontrollkästchen URL-Satz importieren, und geben Sie die folgenden URL-Set-Parameter an.
    1. URL-Set-Name — Name des benutzerdefinierten URL-Sets.
    2. URL — Webadresse des Ortes, an dem auf den URL-Satz zugegriffen werden soll.
    3. Überschreiben — Überschreiben Sie einen zuvor importierten URL-Satz.
    4. Trennzeichen — Zeichenfolge, die einen CSV-Dateidatensatz abgrenzt.
    5. Zeilentrennzeichen — Zeilentrennzeichen, das in der CSV-Datei verwendet wird.
    6. Intervall — Intervall in Sekunden, abgerundet auf die nächsten 15 Minuten, bei denen der URL-Satz aktualisiert wird.
    7. Private Set — Option, um den Export des URL-Sets zu verhindern.
    8. Kanarische URL — Interne URL zum Testen, ob der Inhalt des eingestellten URLs vertraulich behandelt werden soll. Die maximale Länge der URL beträgt 2047 Zeichen.
  6. Wählen Sie eine Responder-Aktion aus der Dropdownliste aus.
  7. Klicken Sie auf Erstellen und Schließen.

lokalisiertes Bild

Metadatensemantik für benutzerdefinierte URL-Sets

Um einen benutzerdefinierten URL-Satz zu importieren, fügen Sie die URLs zu einer Textdatei hinzu und binden Sie sie an eine Responderrichtlinie, um URLs für soziale Netzwerke zu blockieren.

Im Folgenden finden Sie Beispiele für URLs, die Sie der Textdatei hinzufügen können:

cnn.com,News

bbc.com,News

google.com,Search Engine

yahoo.com,Search Engine

facebook.com,Social Media

twitter.com,Social Media

Konfigurieren einer Responder-Richtlinie zum Blockieren von Social-Media-URLs mit der CLI

add responder action act_url_unauthorized respondwith '"HTTP/1.1 451 Unavailable For Legal Reasons\r\n\r\nURL is NOT authorized\n"

add responder policy pol_url_meta_match 'HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).GET_URLSET_METADATA("u1").EQ("Social Media")' act_url_meta_match