Lista de URL

La función Lista de URL permite a los clientes empresariales controlar el acceso a sitios web y categorías de sitios web específicos. La característica filtra los sitios web aplicando una política de respuesta vinculada a un algoritmo de coincidencia de URL. El algoritmo hace coincidir la URL entrante con un conjunto de URL que consta de hasta un millón (1.000.000) de entradas. Si la solicitud de URL entrante coincide con una entrada del conjunto, el dispositivo utiliza la directiva de respuesta para evaluar la solicitud (HTTP/HTTPS) y controlar el acceso a ella.

Tipos de conjuntos de URL

Cada entrada de un conjunto de direcciones URL puede incluir una dirección URL y, opcionalmente, sus metadatos (categoría de URL, grupos de categorías o cualquier otro dato relacionado). Para las direcciones URL con metadatos, el dispositivo utiliza una expresión de directiva que evalúa los metadatos. Para obtener más información, consulte Conjunto de URL.

Citrix SWG admite conjuntos de direcciones URL personalizados y conjuntos de direcciones URL de estilo IWF. También puede utilizar conjuntos de patrones para filtrar direcciones URL.

Conjunto de URL personalizado. Puede crear un conjunto de direcciones URL personalizado con hasta 1 000 000 entradas de URL e importarlo como un archivo de texto en su dispositivo.

Conjunto de URL de estilo IWF. Puede importar un conjunto de direcciones URL administrado por IWF o agencias de aplicación de Internet. Para importar el conjunto a su dispositivo, puede especificar la dirección URL del sitio web.

Juego de patrones. Un dispositivo SWG puede utilizar conjuntos de patrones para filtrar direcciones URL antes de conceder acceso a sitios web. Un conjunto de patrones es un algoritmo de coincidencia de cadenas que busca una coincidencia de cadena exacta entre una URL entrante y hasta 5000 entradas. Para obtener más información, consulte Conjunto de patrones.

Cada URL de un conjunto de URL importado puede tener una categoría personalizada en forma de metadatos de URL. La organización puede alojar el conjunto y configurar el dispositivo SWG para que actualice periódicamente el conjunto sin necesidad de intervención manual.

Una vez actualizado el conjunto, el dispositivo Citrix ADC detecta automáticamente los metadatos y la categoría está disponible como expresión de política para evaluar la dirección URL y aplicar una acción como permitir, bloquear, redirigir o notificar al usuario.

Expresiones de directiva avanzadas utilizadas con conjuntos de direcciones URL

En la tabla siguiente se describen las expresiones básicas que se pueden utilizar para evaluar el tráfico entrante.

  1. .URLSET_MATCHES_ANY : evalúaTRUE si la URL coincide exactamente con cualquier entrada en el conjunto de URL.
  2. .GET_URLSET_METADATA() - LaGET_URLSET_METADATA() expresión devuelve los metadatos asociados si la URL coincide exactamente con cualquier patrón dentro del conjunto de URL. Si no hay coincidencia, se devuelve una cadena vacía.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) -.GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() : evalúaTRUE si los metadatos coincidentes están al principio de la categoría. Este patrón se puede utilizar para codificar campos separados dentro de metadatos, pero sólo coinciden con el primer campo.
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - Se une a los parámetros de host y URL, que luego se puede utilizar como un para la coincidencia.

Tipos de acción de respuesta

Nota: En la tabla,HTTP.REQ.URL se generaliza como<URL expression>.

En la tabla siguiente se describen las acciones que se pueden aplicar al tráfico entrante de Internet.

| ——————– | ——————————————————– | | Responder Action | Descripción | | Permitir | Permitir que la solicitud acceda a la URL de destino. | | Redirigir | Redirigir la solicitud a la URL especificada como destino. | | Bloquear | Denegar la solicitud. |

Requisitos previos

Debe configurar un servidor DNS si importa un conjunto de direcciones URL desde una dirección URL de nombre de host. Esto no es necesario si utiliza una dirección IP.

En el símbolo del sistema, escriba:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Ejemplo:

add dns nameServer 10.140.50.5

Configurar una lista de direcciones URL

Para configurar una lista de direcciones URL, puede utilizar el asistente SWG de Citrix o la interfaz de línea de comandos (CLI) de Citrix ADC. En el dispositivo Citrix SWG, primero debe configurar la directiva de respuesta y, a continuación, vincularla a un conjunto de direcciones URL.

Citrix recomienda utilizar el Asistente para SWG de Citrix como opción preferida para configurar una lista de direcciones URL. Utilice el asistente para enlazar una directiva de respuesta a un conjunto de direcciones URL. Alternativamente, puede vincular la política a un conjunto de patrones.

Configurar una lista de direcciones URL mediante el asistente SWG de Citrix

Para configurar la lista de direcciones URL para el tráfico HTTPS mediante la GUI de Citrix SWG:

  1. Inicie sesión en el dispositivo Citrix SWG y vaya a la página Secured Web Gateway.
  2. En el panel de detalles, realice una de las acciones siguientes:
    1. Haga clic en Asistente para puerta de enlace web segura para crear una nueva configuración SWG con la función Lista de direcciones URL.
    2. Seleccione una configuración existente y haga clic en Editar.
  3. En la sección Filtrado de URL, haga clic en Editar.
  4. Active la casilla Lista de direcciones URL para habilitar la función.
  5. Seleccione una directiva de lista de direcciones URL y haga clic en Vincular.
  6. Haga clic en Continuar y, a continuación, en Listo.

Para obtener más información, consulte Cómo crear una directiva de lista de direcciones URL.

Configurar una lista de direcciones URL mediante la CLI de Citrix SWG

Para configurar una lista de direcciones URL, haga lo siguiente.

  1. Configure un servidor virtual proxy para el tráfico HTTP y HTTPS.
  2. Configure la interceptación SSL para interceptar el tráfico HTTPS.
  3. Configure una lista de direcciones URL que contenga un conjunto de direcciones URL para el tráfico HTTP.
  4. Configurar la lista de direcciones URL que contiene el conjunto de direcciones URL para el tráfico HTTPS.
  5. Configurar un conjunto de direcciones URL privadas.

Nota

Si ya ha configurado un dispositivo SWG, puede omitir los pasos 1 y 2 y configurarlo con el paso 3.

Configuración de un servidor virtual proxy para el tráfico de Internet

El dispositivo Citrix SWG admite servidores virtuales proxy transparentes y explícitos. Para configurar un servidor virtual proxy para el tráfico de Internet en modo explícito, haga lo siguiente:

  1. Agregar un servidor virtual SSL proxy.
  2. Vincular una directiva de respuesta al servidor virtual proxy.

Para agregar un servidor virtual proxy mediante la CLI de Citrix SWG:

En el símbolo del sistema, escriba:

add cs vserver <name> <serviceType> <IPAddress> <port>

Ejemplo:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

Para enlazar una directiva de respuesta a un servidor virtual proxy mediante la CLI de Citrix SWG:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

Nota

Si ya ha configurado el interceptor SSL como parte de la configuración de Citrix SWG, puede omitir el siguiente procedimiento.

Configurar la interceptación SSL para el tráfico HTTPS

Para configurar la interceptación SSL para el tráfico HTTPS, haga lo siguiente:

  1. Vincular un par de claves de certificado de CA al servidor virtual proxy.
  2. Habilite el perfil SSL predeterminado.
  3. Cree un perfil SSL front-end y lo vincule al servidor virtual proxy y habilite la interceptación SSL en el perfil SSL front-end.

Para enlazar un par de claves de certificado de CA al servidor virtual proxy mediante la CLI de Citrix SWG:

En el símbolo del sistema, escriba:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

Para configurar un perfil SSL front-end mediante la CLI de Citrix SWG:

En el símbolo del sistema, escriba:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>

Para enlazar un perfil SSL front-end a un servidor virtual proxy mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

set ssl vserver <vServer name>  -sslProfile <name>

Configurar una lista de direcciones URL importando un conjunto de direcciones URL para el tráfico HTTP

Para obtener información acerca de cómo configurar un conjunto de direcciones URL para el tráfico HTTP, consulteConjunto de URL.

Realizar una coincidencia explícita de subdominios

Ahora puede realizar una coincidencia de subdominio explícita para un conjunto de direcciones URL importadas. Para hacer esto, se agrega un nuevo parámetro, “SubdomainExactMatch” alimport policy URLset comando.

Al habilitar el parámetro, el algoritmo de filtrado de URL realiza una coincidencia explícita de subdominio. Por ejemplo, si la dirección URL entrante esnews.example.com y si la entrada en el conjunto de direcciones URL esexample.com, el algoritmo no coincide con las direcciones URL.

En el símbolo del sistema, escriba: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Ejemplo import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Configurar un conjunto de direcciones URL para el tráfico HTTPS

Para configurar un conjunto de direcciones URL para el tráfico HTTPS mediante la CLI de Citrix SWG

En el símbolo del sistema, escriba:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]

Ejemplo:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT

Para configurar un conjunto de direcciones URL para el tráfico HTTPS mediante el asistente SWG de Citrix

Citrix recomienda utilizar el asistente SWG de Citrix como opción preferida para configurar una lista de direcciones URL. Utilice el asistente para importar un conjunto de direcciones URL personalizado y enlazar a una directiva de respuesta.

  1. Inicie sesión en el dispositivo Citrix SWG y vaya a Secured Web Gateway > Filtrado de URL > Listas de URL.
  2. En el panel de detalles, haga clic en Agregar.
  3. En la página Directiva de lista de direcciones URL, especifique el nombre de la directiva.
  4. Seleccione una opción para importar un conjunto de direcciones URL.
  5. En la página de ficha Directiva de lista de direcciones URL, active la casilla Importar conjunto de direcciones URL y especifique los siguientes parámetros de conjunto de direcciones URL.
    1. Nombre del conjunto de direcciones URL: nombre del conjunto de direcciones URL personalizado.
    2. URL: dirección web de la ubicación en la que se accede al conjunto de direcciones URL.
    3. Sobrescribir: sobrescribe un conjunto de URL importado anteriormente.
    4. Delimitador: secuencia de caracteres que delimita un registro de archivo CSV.
    5. Separador de filas: separador de filas utilizado en el archivo CSV.
    6. Intervalo: intervalo en segundos, redondeado al número de segundos más próximo igual a 15 minutos, en el que se actualiza el conjunto de URL.
    7. Conjunto privado: opción para impedir la exportación del conjunto de direcciones URL.
    8. URL de Canarias: URL interna para comprobar si el contenido del conjunto de URL debe mantenerse confidencial. La longitud máxima de la URL es de 2047 caracteres.
  6. Seleccione una acción de respuesta en la lista desplegable.
  7. Haga clic en Crear y cerrar.

Configurar un conjunto de direcciones URL privadas

Si configura un conjunto de direcciones URL privadas y mantiene su contenido confidencial, es posible que el administrador de red no conozca las direcciones URL de la lista negra del conjunto. Para tales casos, puede configurar una URL de Canarias y agregarla al conjunto de URL. Mediante la URL de Canarias, el administrador puede solicitar que se utilice el conjunto de URL privado para cada solicitud de búsqueda. Puede consultar la sección del asistente para obtener descripciones de cada parámetro.

Para importar un conjunto de direcciones URL mediante la CLI de Citrix SWG:

En el símbolo del sistema, escriba:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

Ejemplo:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr

Mostrar conjunto de direcciones URL importadas

Ahora puede mostrar los conjuntos de direcciones URL importados además de los conjuntos de direcciones URL añadidos. Para ello, se agrega un nuevo parámetro “importado” al comando “show urlset”. Si habilita esta opción, el dispositivo muestra todos los conjuntos de direcciones URL importados y los distingue de los conjuntos de direcciones URL importados de los conjuntos de direcciones URL añadidos.

En el símbolo del sistema, escriba: show policy urlset [<name>] [-imported]

Ejemplo show policy urlset -imported

Configurar la mensajería del registro de auditoría

El registro de auditoría permite revisar una condición o una situación en cualquier fase del proceso de lista de direcciones URL. Cuando un dispositivo Citrix ADC recibe una dirección URL entrante, si la directiva de respuesta tiene una expresión de directiva avanzada establecida por URL, la función de registro de auditoría recopila la información del conjunto de direcciones URL en la dirección URL y almacena los detalles como un mensaje de registro para cualquier destino permitido por el registro de auditoría.

  1. El mensaje de registro contiene la siguiente información:
  2. Marca de tiempo.
  3. Tipo de mensaje de registro.
  4. Niveles de registro predefinidos (Crítico, Error, Aviso, Advertencia, Informativo, Depuración, Alerta y Emergencia).
  5. Registrar información del mensaje, como el nombre URLSet, la acción de directiva, la dirección URL.

Para configurar el registro de auditoría para la función Lista de direcciones URL, debe completar las siguientes tareas:

  1. Habilitar registros de auditoría.
  2. Acción de mensaje Crear registro de auditoría.
  3. Establezca la directiva de respuesta de lista de direcciones URL con la acción de mensaje de registro de auditoría.

Para obtener más información, consulteRegistro de auditoríael tema.