Citrix ADC

Konfigurieren einer Inhaltsfilterrichtlinie

Um die Inhaltsfilterung zu implementieren, müssen Sie mindestens eine Richtlinie konfigurieren, um der Citrix ADC Appliance mitzuteilen, wie die Verbindungen unterschieden werden, die Sie filtern möchten. Sie müssen zunächst mindestens eine Filteraktion konfiguriert haben, da Sie sie beim Konfigurieren einer Richtlinie einer Aktion zuordnen.

Inhaltsfilterrichtlinien prüfen eine Kombination aus einem oder mehreren der folgenden Elemente, um Anforderungen oder Antworten für die Filterung auszuwählen:

  • URL: Die URL in der HTTP-Anforderung.

  • URL-Abfrage: Nur der Abfrageteil der URL, der der Teil nach der Abfrage (?) ist -Symbol.

  • URL-Token: Nur die Token in der URL, falls vorhanden, sind die Teile, die mit einem kaufmännischen Und-Zeichen (&) beginnen und aus dem Token-Namen bestehen, gefolgt von einem Gleichheitszeichen (=), gefolgt vom Token-Wert.

  • HTTP-Methode: Die in der Anforderung verwendete HTTP-Methode, die normalerweise GET oder POST ist, kann aber eine der acht definierten HTTP-Methoden sein.

  • HTTP-Version: Die HTTP-Version in der Anforderung, die normalerweise HTTP 1.1 ist.

  • Standard-HTTP-Header: Alle Standard-HTTP-Header, die in der HTTP 1.1-Spezifikation definiert sind.

  • Standard-HTTP-Header-Wert: Der Werteteil des HTTP-Headers, der der Teil nach dem Doppelpunkt und Leerzeichen (:) ist.

  • Benutzerdefinierter HTTP-Header: Ein nicht standardmäßiger HTTP-Header, der von Ihrer Website ausgegeben wird oder in einer Benutzeranforderung angezeigt wird.

  • Benutzerdefinierter Header-Wert: Der Werteteil des benutzerdefinierten HTTP-Headers, der (wie beim Standard-HTTP-Header) der Teil hinter dem Doppelpunkt und Leerzeichen (:) ist.

  • Client-Quell-IP: Die IP, von der die Clientanforderung gesendet wurde.

Inhaltsfilterrichtlinien verwenden die einfacheren von zwei Citrix ADC Ausdruckssprachen, die sogenannten klassischen Ausdrücke. Eine vollständige Beschreibung der klassischen Ausdrücke, ihrer Funktionsweise und ihrer manuellen Konfiguration finden Sie unter Richtlinien und Ausdrücke.

Hinweis: Benutzer, die nicht mit der Konfiguration von Richtlinien in der Citrix ADC Befehlszeile vertraut sind, finden in der Regel die Verwendung des Konfigurationsdienstprogramms erheblich einfacher.

Konfigurieren einer Inhaltsfilterrichtlinie über die CLI

Geben Sie an der Eingabeaufforderung die folgenden Befehle ein, um eine Inhaltsfilterrichtlinie zu konfigurieren und die Konfiguration zu überprüfen:

-  add filter policy <name> -rule <expression> (-reqAction <action> | -resAction <string>
-  show filter policy <name>

Beispiel:

> add filter policy cf-pol -rule "REQ.HTTP.URL CONTAINS http://abc.com" -reqaction DROP
 Done
> show filter policy cf-pol
1)      Name: cf-pol    Rule: REQ.HTTP.URL CONTAINS http://abc.com
        Request action: DROP
        Response action:
        Hits: 0
 Done

Konfigurieren einer Inhaltsfilterrichtlinie über die GUI

  1. Navigieren Sie zu Sicherheit > Schutzfunktionen > Filter.
  2. Navigieren Sie zu Schutzfunktionen > Filter.
  3. Klicken Sie im Detailbereich auf Hinzufügen, um eine neue Richtlinie zu erstellen.
  4. Wenn Sie eine neue Richtlinie erstellen, geben Sie im Dialogfeld Filterrichtlinie erstellen im Textfeld Filtername einen Namen für die neue Richtlinie ein.
  5. Wählen Sie entweder Aktion anfordern oder Antwortaktion aus, um die Dropdownliste rechts neben dem Element zu aktivieren.
  6. Klicken Sie auf den Pfeil nach unten rechts neben der Dropdownliste, und wählen Sie die Aktion aus, die für die Anforderung oder Antwort ausgeführt werden soll. Die Standardoptionen sind RESET und DROP. Alle anderen Aktionen, die Sie erstellt haben, werden ebenfalls in dieser Liste angezeigt. Hinweis: Sie können auch auf Neu klicken, um eine neue Content-Filteraktion zu erstellen, oder auf Ändern, um eine vorhandene Content-Filteraktion zu ändern. Sie können nur Aktionen ändern, die Sie erstellt haben. Die Standardaktionen sind schreibgeschützt.
  7. Wenn Sie zum Definieren der Richtlinie einen vordefinierten Ausdruck (oder benannten Ausdruck) verwenden möchten, wählen Sie einen aus der Liste Benannte Ausdrücke aus.
    1. Klicken Sie auf den Pfeil nach unten rechts neben der ersten Dropdownliste Named Expressions, und wählen Sie die Kategorie der benannten Ausdrücke aus, die den benannten Ausdruck enthält, den Sie verwenden möchten.
    2. Klicken Sie auf den Pfeil nach unten rechts neben der zweiten Dropdownliste Named Expressions, und wählen Sie den gewünschten benannten Ausdruck aus. Wenn Sie einen benannten Ausdruck auswählen, wird die Definition des regulären Ausdrucks des benannten Ausdrucks im Bereich Vorschauausdruck unterhalb der Listenfelder benannter Ausdruck angezeigt.
    3. Klicken Sie auf Ausdruck hinzufügen, um den benannten Ausdruck der Liste Ausdruck hinzuzufügen. Hinweis: Sie sollten entweder diesen Schritt oder Schritt 7 ausführen, aber nicht beide.
  8. Wenn Sie einen neuen Ausdruck zum Definieren Ihrer Richtlinie erstellen möchten, verwenden Sie den Ausdruckseditor.
    1. Klicken Sie auf die Schaltfläche Add. Das Dialogfeld Ausdruck hinzufügen wird angezeigt.
    2. Wählen Sie im Dialogfeld Ausdruck hinzufügen den Verbindungstyp aus, den Sie filtern möchten. Der Flow Type ist standardmäßig auf REQ festgelegt, der die Citrix ADC Appliance anweist, eingehende Verbindungen oder Anforderungen zu betrachten. Wenn Sie ausgehende Verbindungen (Antworten) filtern möchten, klicken Sie neben der Dropdownliste auf den Pfeil nach rechts und wählen Sie RES.
    3. Wenn das Protokoll noch nicht auf HTTP festgelegt ist, klicken Sie auf den Pfeil nach unten rechts neben der Dropdownliste Protokoll, und wählen Sie HTTP. Hinweis: In der Sprache der klassischen Citrix ADC Ausdrücke enthält HTTP auch HTTPS-Anforderungen.
    4. Klicken Sie auf den Pfeil nach unten rechts neben der Dropdownliste Qualifier, und wählen Sie dann einen Qualifier für Ihren Ausdruck aus. Ihre Auswahlmöglichkeiten:

      • METHOD: Die HTTP-Methode, die in der Anforderung verwendet wird.

      • URL: Der Inhalt des URL-Headers.

      • URLTOKENS: Die URL-Tokens im HTTP-Header.

      • VERSION: Die HTTP-Version der Verbindung.

      • HEADER: Der Header-Teil der HTTP-Anforderung.

      • URLLEN: Die Länge des Inhalts des URL-Headers.

      • URLQUERY: Der Abfrageteil des Inhalts des URL-Headers.

      • URLQUERYLEN: Die Länge des Abfrageabschnitts des URL-Headers. Der Inhalt der verbleibenden Listenfelder ändert sich zu den Optionen, die dem ausgewählten Qualifier entsprechen. Wenn Sie z. B. HEADER wählen, wird unter dem Listenfeld Flow-Typ ein Textfeld mit der Bezeichnung Kopfzeilenname* angezeigt.

    5. Klicken Sie auf den Pfeil nach unten rechts neben der Dropdownliste Operator, und wählen Sie einen Operator für Ihren Ausdruck aus. Ihre Auswahl hängt vom Protokoll ab, das Sie im vorherigen Schritt ausgewählt haben. Die folgende Liste enthält alle Operatoren:

      • ==: Entspricht exakt der folgenden Textzeichenfolge.

      • !=: Entspricht nicht exakt der folgenden Textzeichenfolge.

      • >: Ist größer als die folgende ganze Zahl.

      • CONTAINS: Enthält die folgende Textzeichenfolge.

      • CONTENTS: Der Inhalt der angegebenen Header-, URL- oder URL-Abfrage.

      • EXISTS: Der angegebene Header oder die angegebene Abfrage existiert.

      • NOTCONTAINS: Enthält nicht die folgende Textzeichenfolge.

      • NOTEXISTS: Der angegebene Header oder Abfrage existiert nicht.

    6. Wenn das Textfeld Wert sichtbar ist, geben Sie die entsprechende Zeichenfolge oder Zahl ein. Wenn Sie eine Zeichenfolge in irgendeiner Weise testen, geben Sie die Zeichenfolge in das Textfeld Wert ein. Wenn Sie eine ganze Zahl auf irgendeine Weise testen, geben Sie die ganze Zahl in das Textfeld Wert ein.
    7. Wenn Sie HEADER als Protokoll gewählt haben, geben Sie die gewünschte Kopfzeile in das Textfeld Kopfzeilenname* ein.
    8. Klicken Sie auf OK, um den Ausdruck der Liste Ausdrücke hinzuzufügen.
    9. Wiederholen Sie die Schritte B bis H, um weitere Ausdrücke für Ihr Profil zu erstellen.
    10. Klicken Sie auf Schließen, um den Ausdruckseditor zu schließen.
  9. Wenn Sie einen neuen Ausdruck erstellt haben, wählen Sie im Rahmen Ausdruck eine Option aus der Dropdownliste Beliebiger Ausdruck aus. Ihre Auswahlmöglichkeiten:
    • Zuordnen eines beliebigen Ausdrucks. Wenn eine Anforderung mit einem Ausdruck in der Liste Ausdrücke übereinstimmt, stimmt die Anforderung mit dieser Richtlinie überein.
    • Alle Ausdrücke übereinstimmen Wenn eine Anforderung mit allen Ausdrücken in der Liste Ausdrücke übereinstimmt, stimmt die Anforderung mit dieser Richtlinie überein. Wenn sie nicht mit allen übereinstimmt, stimmt sie nicht mit dieser Richtlinie überein.
    • Tabellarischer Ausdruck Schaltet die Liste Ausdrücke in ein tabellarisches Format mit drei Spalten um. In der ersten Spalte können Sie einen BEGIN-Operator [(] platzieren. Die zweite Spalte enthält die Ausdrücke, die Sie ausgewählt oder erstellt haben. In der dritten Spalte können Sie einen der anderen Operatoren in der folgenden Liste platzieren, um komplexe Richtliniengruppen zu erstellen, in denen jede Gruppe für die Übereinstimmung mit einem beliebigen Ausdruck oder für die Übereinstimmung mit allen Ausdrücken konfiguriert werden kann.
    • Der[&&] AND-Operator weist die Appliance an, dass eine Anforderung sowohl dem aktuellen Ausdruck als auch dem folgenden Ausdruck entspricht.
    • Der[||] Operator OR weist die Appliance an, dass eine Anforderung entweder mit dem aktuellen Ausdruck oder dem folgenden Ausdruck oder beidem übereinstimmt. Nur wenn die Anforderung nicht mit einem Ausdruck übereinstimmt, stimmt sie nicht mit der Richtlinie überein.
    • Der END-Operator [)] teilt der Appliance mit, dass dies der letzte Ausdruck in dieser Ausdrucksgruppe oder Richtlinie ist. Hinweis: Das tabellarische Format ermöglicht es Ihnen, eine komplexe Richtlinie zu erstellen, die sowohl Beliebigen Ausdruck zuordnen als auch Alle Ausdrücke abgleichen enthält. Sie sind nicht nur auf das eine oder andere beschränkt.
    • Erweiterte Freiform Schaltet den Ausdruckseditor vollständig aus und ändert die Ausdrucksliste in einen Textbereich. Im Textbereich können Sie den regulären Ausdruck des PCRE-Formats Ihrer Wahl eingeben, um diese Richtlinie zu definieren. Dies ist sowohl die leistungsstärkste als auch die schwierigste Methode zum Erstellen einer Richtlinie und wird nur für Personen empfohlen, die mit der Citrix ADC Appliance und regulären Ausdrücken im PCRE-Format vertraut sind. Achtung: Wenn Sie in den Bearbeitungsmodus “Erweiterte Freiformausdrücke” wechseln, können Sie nicht wieder zu einem der anderen Modi wechseln. Wählen Sie diesen Ausdruckbearbeitungsmodus nur dann aus, wenn Sie sicher sind, dass dies das ist, was Sie wollen.
  10. Wiederholen Sie die Schritte 6 bis 8, um der Liste Ausdrücke weitere Ausdrücke hinzuzufügen. Sie können benannte Ausdrücke und Ausdrücke mischen, die im Ausdruckseditor erstellt wurden. Für die Citrix ADC Appliance sind sie alle gleich.
  11. Klicken Sie auf Erstellen, um die neue Richtlinie zu erstellen. Die neue Richtlinie wird in der Liste Richtlinien angezeigt.
  12. Klicken Sie auf Schließen. Wiederholen Sie den vorherigen Vorgang, um zusätzliche Inhaltsfilterrichtlinien zu erstellen. Um eine Inhaltsfilterrichtlinie zu entfernen, wählen Sie die Richtlinie auf der Registerkarte Richtlinien aus, und klicken Sie auf Entfernen.

Konfigurieren einer Inhaltsfilterrichtlinie