ADC

Liste des URL

La fonctionnalité de liste d’URL permet aux entreprises clientes de contrôler l’accès à des sites Web et à des catégories de sites Web spécifiques. La fonctionnalité filtre les sites Web en appliquant une stratégie de réponse liée à un algorithme de correspondance d’URL. L’algorithme compare l’URL entrante à un ensemble d’URL comprenant jusqu’à un million (1 000 000) d’entrées. Si la demande d’URL entrante correspond à une entrée de l’ensemble, l’appliance utilise la stratégie de réponse pour évaluer la demande (HTTP/HTTPS) et contrôler l’accès à celle-ci.

Types d’ensembles d’URL

Chaque entrée d’un ensemble d’URL peut inclure une URL et, éventuellement, ses métadonnées (catégorie d’URL, groupes de catégories ou toute autre donnée associée). Pour les URL avec métadonnées, l’appliance utilise une expression de stratégie qui évalue les métadonnées. Pour plus d’informations, voir Jeu d’URL.

Le proxy de transfert SSL prend en charge les ensembles d’URL personnalisés. Vous pouvez également utiliser des jeux de motifs pour filtrer les URL.

Ensemble d’URL personnalisé. Vous pouvez créer un ensemble d’URL personnalisé contenant jusqu’à 1 000 000 d’entrées d’URL et l’importer sous forme de fichier texte dans votre appliance.

Jeu de motifs. Une appliance ADC peut utiliser des ensembles de modèles pour filtrer les URL avant d’accorder l’accès aux sites Web. Un jeu de motifs est un algorithme de correspondance de chaînes qui recherche une correspondance exacte entre une URL entrante et jusqu’à 5000 entrées. Pour plus d’informations, voir Jeu de motifs.

Chaque URL d’un ensemble d’URL importé peut avoir une catégorie personnalisée sous la forme de métadonnées d’URL. Votre organisation peut héberger l’ensemble et configurer l’appliance ADC pour mettre à jour régulièrement l’ensemble sans intervention manuelle.

Une fois l’ensemble mis à jour, l’appliance Citrix ADC détecte automatiquement les métadonnées. La catégorie est désormais disponible en tant qu’expression de stratégie permettant d’évaluer l’URL et d’appliquer une action telle que permettre, bloquer, rediriger ou notifier l’utilisateur.

Expressions de stratégie avancées utilisées avec les ensembles d’URL

Le tableau suivant décrit les expressions de base que vous pouvez utiliser pour évaluer le trafic entrant.

  1. .URLSET_MATCHES_ANY : prend la valeur TRUE si l’URL correspond exactement à n’importe quelle entrée de l’ensemble d’URL.
  2. .GET_URLSET_METADATA () - L’expression GET_URLSET_METADATA () renvoie les métadonnées associées si l’URL correspond exactement à n’importe quel modèle de l’ensemble d’URL. Une chaîne vide est renvoyée s’il n’y a pas de correspondance.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA () .TYPECAST_LIST_T (‘,’) .GET (0) .EQ () - Évalue à TRUE si les métadonnées correspondantes se trouvent au début de la catégorie. Ce modèle peut être utilisé pour encoder des champs distincts dans les métadonnées, mais correspondre uniquement au premier champ.
  5. HTTP.REQ.HOSTNAME.APPEND (HTTP.REQ.URL) : joint les paramètres d’hôte et d’URL, qui peuvent ensuite être utilisés pour la mise en correspondance.

Types d’actions du répondeur

Remarque : Dans le tableau, HTTP.REQ.URL est généralisé sous la forme <URL expression>.

Le tableau suivant décrit les actions qui peuvent être appliquées au trafic Internet entrant.

Action du répondeur Description
Allow Autorisez la demande à accéder à l’URL cible.
Rediriger Redirigez la demande vers l’URL spécifiée comme cible.
Bloquer Refusez la demande.

Conditions préalables

Configurez un serveur DNS si vous importez un ensemble d’URL à partir de l’URL d’un nom d’hôte. Cette configuration n’est pas requise si vous utilisez une adresse IP.

À l’invite de commandes, tapez :

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Exemple :

add dns nameServer 10.140.50.5

Configuration d’une liste d’URL

Pour configurer une liste d’URL, vous pouvez utiliser l’assistant de proxy de transfert SSL Citrix ou l’interface de ligne de commande (CLI) Citrix ADC. Sur l’appliance Citrix ADC, vous devez d’abord configurer la stratégie du répondeur, puis lier la stratégie à un ensemble d’URL.

Citrix vous recommande d’utiliser l’assistant de proxy de transfert SSL Citrix comme option préférée pour configurer une liste d’URL. Utilisez l’assistant pour lier une stratégie de répondeur à un ensemble d’URL. Vous pouvez également lier la stratégie à un jeu de motifs.

Configurer une liste d’URL à l’aide de l’assistant de proxy de transfert SSL

Pour configurer la liste d’URL pour le trafic HTTPS à l’aide de l’interface graphique :

  1. Accédez à la page Sécurité > SSL Forward Proxy .
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    1. Cliquez sur SSL Forward Proxy Wizard.
    2. Sélectionnez une configuration existante et cliquez sur Modifier.
  3. Dans la section Filtrage d’URL, cliquez sur Modifier.
  4. Cochez la case Liste d’URL pour activer la fonctionnalité.
  5. Sélectionnez une stratégie de liste d’URL et cliquez sur Lier.
  6. Cliquez sur Continuer, puis Terminé.

Pour plus d’informations, voir Comment créer une stratégie de liste d’URL.

Configurer une liste d’URL à l’aide de l’interface de ligne de commande

Pour configurer une liste d’URL, procédez comme suit.

  1. Configurez un serveur virtuel proxy pour le trafic HTTP et HTTPS.
  2. Configurez l’interception SSL pour intercepter le trafic HTTPS.
  3. Configurez une liste d’URL contenant un ensemble d’URL pour le trafic HTTP.
  4. Configurez la liste d’URL contenant les URL définies pour le trafic HTTPS.
  5. Configurez un ensemble d’URL privées.

Remarque

Si vous avez déjà configuré une appliance ADC, vous pouvez ignorer les étapes 1 et 2 et procéder à la configuration à l’étape 3.

Configuration d’un serveur virtuel proxy pour le trafic Internet

L’appliance Citrix ADC prend en charge les serveurs virtuels proxy transparents et explicites. Pour configurer un serveur virtuel proxy pour le trafic Internet en mode explicite, procédez comme suit :

  1. Ajoutez un serveur virtuel SSL proxy.
  2. Liez une stratégie de répondeur au serveur virtuel proxy.

Pour ajouter un serveur virtuel proxy à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

Exemple :

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

Pour lier une stratégie de répondeur à un serveur virtuel proxy à l’aide de l’interface de ligne de commande :

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Remarque

Si vous avez déjà configuré l’intercepteur SSL dans le cadre de la configuration Citrix ADC, vous pouvez ignorer la procédure suivante.

Configurer l’interception SSL pour le trafic HTTPS

Pour configurer l’interception SSL pour le trafic HTTPS, procédez comme suit :

  1. Liez une paire de clés de certificat d’autorité de certification au serveur virtuel proxy.
  2. Activez le profil SSL par défaut.
  3. Créez un profil SSL frontal, liez-le au serveur virtuel proxy et activez l’interception SSL dans le profil SSL frontal.

Pour lier une paire de clés de certificat CA au serveur virtuel proxy à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

Pour configurer un profil SSL frontal à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

Pour lier un profil SSL frontal à un serveur virtuel proxy à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

Configurer une liste d’URL en important un jeu d’URL pour le trafic HTTP

Pour plus d’informations sur la configuration d’un jeu d’URL pour le trafic HTTP, voir Jeu d’URL.

Effectuer une correspondance de sous-domaine explicite

Vous pouvez désormais effectuer une correspondance de sous-domaine explicite pour un ensemble d’URL importé. Un nouveau paramètre, « SubdomainExactMatch », est ajouté à la commande. import policy URLset

Lorsque vous activez le paramètre, l’algorithme de filtrage d’URL effectue une correspondance explicite entre les sous-domaines. Par exemple, si l’URL entrante est news.example.com et si l’entrée du jeu d’URL l’est example.com, l’algorithme ne correspond pas aux URL.

À l’invite de commandes, tapez : import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Exemple import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Configurer un ensemble d’URL pour le trafic HTTPS

Pour configurer un ensemble d’URL pour le trafic HTTPS à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

Exemple :

add ssl policy pol1 -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

Pour configurer une URL définie pour le trafic HTTPS à l’aide de l’assistant de transfert de proxy SSL

Citrix vous recommande d’utiliser l’assistant de proxy de transfert SSL comme option préférée pour configurer une liste d’URL. Utilisez l’assistant pour importer un ensemble d’URL personnalisé et le lier à une stratégie de répondeur.

  1. Accédez à Sécurité > Proxy SSL Forward > Filtrage des URL > Listes d’URL.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Sur la page Stratégie de liste d’URL, spécifiez le nom de la stratégie.
  4. Sélectionnez une option pour importer un ensemble d’URL.
  5. Sur la page de l’onglet Stratégie de liste d’URL, cochez la case Importer un ensemble d’URL et spécifiez les paramètres du jeu d’URL suivants.
    1. Nom du jeu d’URL : nom du jeu d’URL personnalisé.
    2. URL : adresse Web de l’emplacement à partir duquel accéder à l’ensemble d’URL.
    3. Remplacer (Overwrite) : écrase un jeu d’URL précédemment importé.
    4. Délimiteur : séquence de caractères qui délimite un enregistrement de fichier CSV.
    5. Séparateur de lignes :séparateurde lignes utilisé dans le fichier CSV.
    6. Intervalle : intervalle en secondes, arrondi au nombre de secondes le plus proche égal à 15 minutes, auquel l’ensemble d’URL est mis à jour.
    7. Ensemble privé : option permettant d’empêcher l’exportation de l’ensemble d’URL.
    8. URL Canary : URL interne permettant de vérifier si le contenu de l’ensemble d’URL doit rester confidentiel. La longueur maximale de l’URL est de 2 047 caractères.
  6. Sélectionnez une action de répondeur dans la liste déroulante.
  7. Cliquez sur Créer et Fermer.

Configurer un ensemble d’URL privées

Si vous configurez un jeu d’URL privé et que son contenu reste confidentiel, l’administrateur réseau peut ne pas connaître les URL répertoriées sur la liste rouge de l’ensemble. Dans ce cas, vous pouvez configurer une URL Canary et l’ajouter à l’ensemble d’URL. À l’aide de l’URL Canary, l’administrateur peut demander que l’ensemble d’URL privé soit utilisé pour chaque demande de recherche. Vous pouvez vous référer à la section Assistant pour obtenir la description de chaque paramètre.

Pour importer un ensemble d’URL à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

Exemple :

import policy urlset test1 -url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

Afficher le jeu d’URL importé

Vous pouvez désormais afficher les ensembles d’URL importés en plus des ensembles d’URL ajoutés. Un nouveau paramètre « importé » est ajouté à la commande show urlset. Si vous activez cette option, l’appliance affiche tous les ensembles d’URL importés et distingue les jeux d’URL importés des ensembles d’URL ajoutés.

À l’invite de commandes, tapez : show policy urlset [<name>] [-imported]

Exemple show policy urlset -imported

Configurer la messagerie du journal d’audit

La journalisation des audits vous permet de passer en revue une condition ou une situation à n’importe quelle phase d’un processus de liste d’URL. Lorsqu’une appliance Citrix ADC reçoit une URL entrante, si la stratégie du répondeur comporte une expression de stratégie avancée URL Set, la fonctionnalité du journal d’audit collecte les informations relatives à l’ensemble d’URL dans l’URL. Il stocke les détails sous forme de message de journal pour toute cible autorisée par la journalisation des audits.

Le message du journal contient les informations suivantes :

  1. Horodatage.
  2. Type de message de journal.
  3. Les niveaux de journalisation prédéfinis (Critique, Erreur, Notification, Avertissement, Informatif, Débogage, Alerte et Urgence).
  4. Enregistrez les informations sur les messages, telles que le nom de l’ensemble d’URL, l’action stratégique, l’URL.

Pour configurer la journalisation d’audit pour la fonctionnalité Liste d’URL, vous devez effectuer les tâches suivantes :

  1. Activer le journal d’audit :
  2. Action Créer un message de journal d’audit.
  3. Définissez la stratégie de répondeur de liste d’URL avec l’action de message Journal d’audit.

Pour plus d’informations, consultez la rubrique Audit Logging .

Liste des URL