Liste des URL

La fonctionnalité Liste d’URL permet aux clients d’entreprise de contrôler l’accès à des sites Web et à des catégories de sites Web spécifiques. La fonctionnalité filtre les sites Web en appliquant une stratégie de répondeur liée à un algorithme de correspondance d’URL. L’algorithme correspond à l’URL entrante par rapport à un ensemble d’URL comprenant jusqu’à un million (1 000 000) entrées. Si la requête d’URL entrante correspond à une entrée de l’ensemble, l’appliance utilise la stratégie du répondeur pour évaluer la demande (HTTP/HTTPS) et en contrôler l’accès.

Types de jeux d’URL

Chaque entrée d’un jeu d’URL peut inclure une URL et, éventuellement, ses métadonnées (catégorie d’URL, groupes de catégories ou toute autre donnée connexe). Pour les URL avec métadonnées, l’appliance utilise une expression de stratégie qui évalue les métadonnées. Pour de plus amples informations, consultez la section Jeu d’URL.

Le proxy de transfert SSL prend en charge les jeux d’URL personnalisés et les jeux d’URL de style IWF. Vous pouvez également utiliser des jeux de motifs pour filtrer les URL.

Jeu d’URL personnalisé. Vous pouvez créer un ensemble d’URL personnalisé avec jusqu’à 1 000 000 entrées d’URL et l’importer en tant que fichier texte dans votre appliance.

Jeu d’URL de style IWF. Vous pouvez importer un ensemble d’URL géré par IWF ou des agences d’application de la loi sur Internet. Pour importer le jeu dans votre appliance, vous pouvez spécifier l’URL du site Web.

Jeu de motifs. Une appliance ADC peut utiliser des jeux de motifs pour filtrer les URL avant d’accorder l’accès aux sites Web. Un jeu de motifs est un algorithme de correspondance de chaînes qui recherche une correspondance exacte entre une URL entrante et jusqu’à 5000 entrées. Pour de plus amples informations, consultez la section Jeu de motifs.

Chaque URL d’un ensemble d’URL importé peut avoir une catégorie personnalisée sous la forme de métadonnées d’URL. Votre organisation peut héberger le jeu et configurer l’appliance ADC afin de le mettre à jour périodiquement sans intervention manuelle.

Une fois l’ensemble mis à jour, l’appliance Citrix ADC détecte automatiquement les métadonnées et la catégorie est disponible en tant qu’expression de stratégie pour évaluer l’URL et appliquer une action telle que permettre, bloquer, rediriger ou notifier l’utilisateur.

Expressions de stratégie avancées utilisées avec les jeux d’URL

Le tableau suivant décrit les expressions de base que vous pouvez utiliser pour évaluer le trafic entrant.

  1. .URLSET_MATCHES_ANY - Évalue TRUE si l’URL correspond exactement à n’importe quelle entrée du jeu d’URL.
  2. .GET_URLSET_METADATA () - L’expression GET_URLSET_METADATA () renvoie les métadonnées associées si l’URL correspond exactement à n’importe quel motif de l’URL définie. Une chaîne vide est renvoyée s’il n’y a pas de correspondance.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(‘,’).GET(0).EQ() - Evalue TRUE si les métadonnées correspondantes sont au début de la catégorie. Ce modèle peut être utilisé pour encoder des champs distincts dans les métadonnées, mais correspondre uniquement au premier champ.
  5. HTTP.REQ.HOSTNAME.APPEND (HTTP.REQ.URL) - Joigne les paramètres hôte et URL, qui peuvent ensuite être utilisés comme un pour la correspondance.

Types d’action du répondeur

Remarque : Dans le tableau, HTTP.REQ.URL est généralisée comme<URL expression> .

Le tableau suivant décrit les actions qui peuvent être appliquées au trafic Internet entrant.

Action du répondeur Description
Autoriser Autoriser la demande à accéder à l’URL cible.
Rediriger Redirigez la demande vers l’URL spécifiée comme cible.
Bloquer Refuser la demande.

Conditions préalables

Vous devez configurer un serveur DNS si vous importez un jeu d’URL à partir d’une URL de nom d’hôte. Cela n’est pas nécessaire si vous utilisez une adresse IP.

À l’invite de commandes, tapez :

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Exemple :

add dns nameServer 10.140.50.5

Configurer une liste d’URL

Pour configurer une liste d’URL, vous pouvez utiliser l’assistant de transfert de proxy Citrix SSL ou l’interface de ligne de commande (CLI) Citrix ADC. Sur l’appliance Citrix ADC, vous devez d’abord configurer la stratégie de répondeur, puis la lier à un jeu d’URL.

Citrix vous recommande d’utiliser l’assistant de transfert de proxy SSL Citrix comme option préférée pour configurer une liste d’URL. Utilisez l’Assistant pour lier une stratégie de répondeur à un jeu d’URL. Vous pouvez également lier la stratégie à un jeu de motifs.

Configurer une liste d’URL à l’aide de l’assistant de transfert de proxy SSL

Pour configurer la liste d’URL pour le trafic HTTPS à l’aide de l’interface graphique :

  1. Accédez à la page Sécurité > Proxy de transfert SSL.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    1. Cliquez sur Assistant Proxy Transférer SSL.
    2. Sélectionnez une configuration existante et cliquez sur Modifier.
  3. Dans la section Filtrage d’URL, cliquez sur Modifier.
  4. Activez la case à cocher Liste d’URL pour activer la fonctionnalité.
  5. Sélectionnez une stratégie de liste d’URL et cliquez sur Lier.
  6. Cliquez sur Continuer, puis Terminé.

Pour de plus amples informations, consultez la section Procédure de création d’une stratégie de liste d’URL.

Configurer une liste d’URL à l’aide de l’interface de ligne de commande

Pour configurer une liste d’URL, procédez comme suit.

  1. Configurez un serveur virtuel proxy pour le trafic HTTP et HTTPS.
  2. Configurer l’interception SSL pour intercepter le trafic HTTPS.
  3. Configurez une liste d’URL contenant un jeu d’URL pour le trafic HTTP.
  4. Configurer la liste d’URL contenant le jeu d’URL pour le trafic HTTPS.
  5. Configurer un jeu d’URL privé.

Remarque

Si vous avez déjà configuré une appliance ADC, vous pouvez ignorer les étapes 1 et 2 et configurer avec l’étape 3.

Configuration d’un serveur virtuel proxy pour le trafic Internet

L’appliance Citrix ADC prend en charge les serveurs virtuels proxy transparents et explicites. Pour configurer un serveur virtuel proxy pour le trafic Internet en mode explicite, procédez comme suit :

  1. Ajouter un serveur virtuel SSL proxy.
  2. Liez une stratégie de répondeur au serveur virtuel proxy.

Pour ajouter un serveur virtuel proxy à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

add cs vserver <name> <serviceType> <IPAddress> <port>

Exemple :

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

Pour lier une stratégie de répondeur à un serveur virtuel proxy à l’aide de l’interface de ligne de commande :

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

Remarque

Si vous avez déjà configuré l’intercepteur SSL dans le cadre de la configuration de Citrix ADC, vous pouvez ignorer la procédure suivante.

Configurer l’interception SSL pour le trafic HTTPS

Pour configurer l’interception SSL pour le trafic HTTPS, procédez comme suit :

  1. Liez une paire de clés de certificat de l’autorité de certification au serveur virtuel proxy.
  2. Activez le profil SSL par défaut.
  3. Créez un profil SSL frontal et liez-le au serveur virtuel proxy et activez l’interception SSL dans le profil SSL frontal.

Pour lier une paire de clés de certificat d’autorité de certification au serveur virtuel proxy à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

Pour configurer un profil SSL frontal à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>

Pour lier un profil SSL frontal à un serveur virtuel proxy à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set ssl vserver <vServer name>  -sslProfile <name>

Configurer une liste d’URL en important un jeu d’URL pour le trafic HTTP

Pour plus d’informations sur la configuration d’un jeu d’URL pour le trafic HTTP, reportez-vous à la sectionJeu d’URL.

Effectuer une correspondance de sous-domaine explicite

Vous pouvez maintenant effectuer une correspondance de sous-domaine explicite pour un jeu d’URL importé. Pour ce faire, un nouveau paramètre, “SubDomainExactMatch’est ajouté à laimport policy URLset commande.

Lorsque vous activez le paramètre, l’algorithme de filtrage d’URL effectue une correspondance de sous-domaine explicite. Par exemple, si l’URL entrante estnews.example.com et si l’entrée de l’ensemble d’URL estexample.com, l’algorithme ne correspond pas aux URL.

À l’invite de commandes, tapez : import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Exemple import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Configurer un jeu d’URL pour le trafic HTTPS

Pour configurer un jeu d’URL pour le trafic HTTPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]

Exemple :

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT

Pour configurer un jeu d’URL pour le trafic HTTPS à l’aide de l’assistant de transfert de proxy SSL

Citrix vous recommande d’utiliser l’assistant de transfert de proxy SSL comme option préférée pour configurer une liste d’URL. Utilisez l’Assistant pour importer un jeu d’URL personnalisé et lier à une stratégie de répondeur.

  1. Accédez à Sécurité > Proxy de transfert SSL > Filtrage d’URL > Listes d’URL.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Stratégie de liste d’URL, spécifiez le nom de la stratégie.
  4. Sélectionnez une option pour importer un jeu d’URL.
  5. Dans la page de l’onglet Stratégie de liste d’URL, activez la case à cocher Importer le jeu d’URL et spécifiez les paramètres de jeu d’URL suivants.
    1. Nom du jeu d’URL : nom du jeu d’URL personnalisé.
    2. URL : adresse Web de l’emplacement où accéder au jeu d’URL.
    3. Remplacer : écrase un jeu d’URL précédemment importé.
    4. Délimiteur : séquence de caractères qui délimite un enregistrement de fichier CSV.
    5. Séparateur de ligne : séparateur de ligne utilisé dans le fichier CSV.
    6. Intervalle (Intervalle) : intervalle en secondes arrondi au nombre de secondes le plus proche égal à 15 minutes au cours duquel le jeu d’URL est mis à jour.
    7. Ensemble privé : option pour empêcher l’exportation du jeu d’URL.
    8. URL Canary : URL interne permettant de vérifier si le contenu de l’ensemble d’URL doit rester confidentiel. La longueur maximale de l’URL est de 2047 caractères.
  6. Sélectionnez une action du répondeur dans la liste déroulante.
  7. Cliquez sur Créer et Fermer.

Configurer un jeu d’URL privé

Si vous configurez un jeu d’URL privé et que son contenu reste confidentiel, l’administrateur réseau peut ne pas connaître les URL répertoriées sur la liste noire de l’ensemble. Dans de tels cas, vous pouvez configurer une URL Canary et l’ajouter à l’ensemble d’URL. À l’aide de l’URL Canary, l’administrateur peut demander que le jeu d’URL privé soit utilisé pour chaque requête de recherche. Vous pouvez vous référer à la section Assistant pour obtenir la description de chaque paramètre.

Pour importer un ensemble d’URL à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

Exemple :

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr

Afficher le jeu d’URL importé

Vous pouvez désormais afficher des jeux d’URL importés en plus des jeux d’URL ajoutés. Pour ce faire, un nouveau paramètre « imported » est ajouté à la commande « show urlset ». Si vous activez cette option, l’appliance affiche tous les jeux d’URL importés et les distingue des jeux d’URL ajoutés.

À l’invite de commandes, tapez : show policy urlset [<name>] [-imported]

Exemple show policy urlset -imported

Configurer la messagerie du journal d’audit

La journalisation d’audit vous permet de consulter une condition ou une situation dans n’importe quelle phase du processus de liste d’URL. Lorsqu’une appliance Citrix ADC reçoit une URL entrante, si la stratégie du répondeur possède une expression de stratégie avancée de jeu d’URL, la fonctionnalité de journal d’audit collecte les informations d’ensemble d’URL dans l’URL et stocke les détails sous forme de message de journal pour toute cible autorisée par la journalisation d’audit.

Le message de journal contient les informations suivantes :

  1. Horodatage.
  2. Type de message de journal.
  3. Les niveaux de journalisation prédéfinis (Critique, Erreur, Avis, Avertissement, Informations, Débogage, Alerte et Urgence).
  4. Consigner les informations du message, telles que le nom du jeu d’URL, l’action de stratégie, l’URL.

Pour configurer la journalisation d’audit pour la fonctionnalité Liste d’URL, vous devez effectuer les tâches suivantes :

  1. Activer le journal d’audit :
  2. Action Créer un message journal d’audit.
  3. Définissez la stratégie de répondeur de liste d’URL avec l’action de message Journal d’audit.

Pour plus d’informations, reportez-vous à la rubrique Journalisation de l’audit.