Citrix ADC

Anwendungsfall: URL-Filterung mithilfe benutzerdefinierter URL-Sets

Wenn Sie ein Unternehmenskunde sind, der den Zugriff auf bestimmte Websites und Website-Kategorien kontrollieren möchte, verwenden Sie einen benutzerdefinierten URL-Satz, der an eine Responder-Richtlinie gebunden ist. Die Netzwerkinfrastruktur Ihres Unternehmens kann einen URL-Filter verwenden, um den Zugriff auf bösartige oder gefährliche Websites zu blockieren. Zum Beispiel Websites mit Erwachsenen-, Gewalt-, Glücksspiel-, Drogen-, Politik- oder Jobportalen. Zusätzlich zum Filtern der URLs können Sie eine benutzerdefinierte Liste von URLs erstellen und in die ADC-Appliance importieren. Beispielsweise könnten die Richtlinien Ihrer Organisation dazu führen, den Zugriff auf bestimmte Websites wie soziale Netzwerke, Shoppingportale und Jobportale zu blockieren.

Jede URL in der Liste kann eine benutzerdefinierte Kategorie in Form von Metadaten enthalten. Die Organisation kann die Liste der URLs als auf der Citrix ADC Appliance festgelegte URL hosten. Konfigurieren Sie die Appliance so, dass das Set regelmäßig aktualisiert wird, ohne dass ein manueller Eingriff erforderlich ist.

Nach der Aktualisierung des Satzes erkennt die Citrix ADC Appliance automatisch die Metadaten. Die Responder-Richtlinie verwendet die URL-Metadaten (Kategoriedetails), um die eingehende URL auszuwerten und eine Aktion wie Zulassen, Blockieren, Umleiten oder Benachrichtigen des Benutzers anzuwenden.

Um dies zu tun, konfigurieren Sie in Ihrem Netzwerk, können Sie die folgenden Aufgaben ausführen:

  1. Importieren eines benutzerdefinierten URL-Sets
  2. Hinzufügen eines benutzerdefinierten URL-Sets
  3. Konfigurieren Sie eine benutzerdefinierte URL-Liste im SSL-Forward-Proxy-Assistenten.

Importieren eines benutzerdefinierten URL-Sets mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv

Hinzufügen eines benutzerdefinierten URL-Sets mit der CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add urlset <urlset_name>

Beispiel:

add urlset test1

Konfigurieren einer URL-Liste mithilfe des SSL-Forward-Proxy-Assistenten

Citrix empfiehlt, den SSL-Forward-Proxyassistenten als bevorzugte Option zum Konfigurieren einer URL-Liste zu verwenden. Verwenden Sie den Assistenten, um einen benutzerdefinierten URL-Satz zu importieren und an eine Responderrichtlinie zu binden.

  1. Navigieren Sie zu Sicherheit > SSL-Forward-Proxy > URL-Filter > URL-Listen.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie auf der Seite URL-Listenrichtlinie den Richtliniennamen an.
  4. Wählen Sie eine Option aus, um einen URL-Satz zu importieren.
  5. Aktivieren Sie auf der Registerkarte URL-Listenrichtlinie das Kontrollkästchen URL-Satz importieren, und geben Sie die folgenden URL-Set-Parameter an.
    1. URL-Set-Name — Name des benutzerdefinierten URL-Sets.
    2. URL: Die Webadresse des Standorts, an dem auf den URL-Satz zugegriffen werden soll.
    3. Überschreiben — Überschreiben Sie einen zuvor importierten URL-Satz.
    4. Trennzeichen: Eine Zeichenfolge, die einen CSV-Dateidatensatz begrenzt.
    5. Zeilentrenner — In der CSV-Datei verwendetes Zeilentrenner.
    6. Intervall— Intervall in Sekunden, abgerundet auf die nächsten 15 Minuten, in denen die URL-Einstellung aktualisiert wird.
    7. Private Set: Option, um das Exportieren des URL-Sets zu verhindern.
    8. Canary-URL— Interne URL zum Testen, ob der Inhalt des URLs vertraulich behandelt werden soll. Die maximale Länge der URL beträgt 2047 Zeichen.
  6. Wählen Sie eine Responder-Aktion aus der Dropdownliste aus.
  7. Klicken Sie auf Erstellen und Schließen.

Benutzerdefinierte URL-Liste

Metadatensemantik für benutzerdefinierte URL-Sets

Um einen benutzerdefinierten URL-Satz zu importieren, fügen Sie die URLs zu einer Textdatei hinzu und binden Sie sie an eine Responderrichtlinie, um URLs für soziale Netzwerke zu blockieren.

Im Folgenden finden Sie Beispiele für URLs, die Sie der Textdatei hinzufügen können:

cnn.com, Neuigkeiten

bbc.com, Neuigkeiten

google.com, Suchmaschine

yahoo.com, Suchmaschine

facebook.com, Soziale Medien

twitter.com, Soziale Medien

Konfigurieren einer Responder-Richtlinie zum Blockieren von Social-Media-URLs mit der CLI

add responder action act_url_unauthorized respondwith '"HTTP/1.1 451 Unavailable For Legal Reasons\r\n\r\nURL is NOT authorized\n"

add responder policy pol_url_meta_match 'HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).GET_URLSET_METADATA("u1").EQ("Social Media")' act_url_meta_match