Citrix ADC

Configurer une stratégie de filtrage de contenu

Pour implémenter le filtrage de contenu, vous devez configurer au moins une stratégie pour indiquer à votre appliance Citrix ADC comment distinguer les connexions que vous souhaitez filtrer. Vous devez d’abord avoir configuré au moins une action de filtrage, car lorsque vous configurez une stratégie, vous l’associez à une action.

Les stratégies de filtrage de contenu examinent une combinaison d’un ou de plusieurs des éléments suivants pour sélectionner des demandes ou des réponses à filtrer :

  • URL : URL de la requête HTTP.

  • Requête URL : Seule la partie requête de l’URL, qui est la partie après la requête ( ?) symbole.

  • Jeton d’URL : Seuls les jetons de l’URL, le cas échéant, qui sont les parties commençant par une esperluette (&) et constituées du nom du jeton, suivi d’un signe égal (=), suivi de la valeur du jeton.

  • Méthode HTTP : La méthode HTTP utilisée dans la requête, qui est généralement GET ou POST, mais peut être l’une des huit méthodes HTTP définies.

  • Version HTTP : Version HTTP dans la requête, qui est généralement HTTP 1.1.

  • En-tête HTTP standard : tous les en-têtes HTTP standard définis dans la spécification HTTP 1.1.

  • Valeur d’en-tête HTTP standard : partie valeur de l’en-tête HTTP, qui est la partie après les deux-points et l’espace ( :).

  • En-tête HTTP personnalisé : En-tête HTTP non standard émis par votre site Web ou qui apparaît dans une demande d’utilisateur.

  • Valeur d’en-tête personnalisée : partie de valeur de l’en-tête HTTP personnalisé, qui (comme avec l’en-tête HTTP standard) est la partie après les deux-points et l’espace ( :).

  • IP source du client : IP à partir de laquelle la demande client a été envoyée.

Les stratégies de filtrage de contenu utilisent le plus simple de deux langages d’expressions Citrix ADC, appelés expressions classiques. Pour une description complète des expressions classiques, de leur fonctionnement et de leur configuration manuelle, reportez-vous à la section “Stratégies et expressions.”

Remarque : les utilisateurs qui ne sont pas expérimentés dans la configuration de stratégies sur la ligne de commande Citrix ADC trouveront généralement l’utilisation de l’utilitaire de configuration beaucoup plus facile.

Configurer une stratégie de filtrage de contenu à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez les commandes suivantes pour configurer une stratégie de filtrage de contenu et vérifier la configuration :

-  add filter policy <name> -rule <expression> (-reqAction <action> | -resAction <string>
-  show filter policy <name>

Exemple :

> add filter policy cf-pol -rule "REQ.HTTP.URL CONTAINS http://abc.com" -reqaction DROP
 Done
> show filter policy cf-pol
1)      Name: cf-pol    Rule: REQ.HTTP.URL CONTAINS http://abc.com
        Request action: DROP
        Response action:
        Hits: 0
 Done

Configurer une stratégie de filtrage de contenu à l’aide de l’interface graphique

  1. Accédez à Sécurité > Fonctionnalités de protection > Filtre.
  2. Accédez à Fonctionnalités de protection > Filtre.
  3. Dans le volet d’informations, pour créer une stratégie, cliquez sur Ajouter.
  4. Si vous créez une stratégie, dans la boîte de dialogue Créer une stratégie de filtre, dans la zone de texte Nom du filtre, tapez le nom de votre nouvelle stratégie.
  5. Sélectionnez Action de demande ou Action de réponse pour activer la liste déroulante située à droite de cet élément.
  6. Cliquez sur la flèche vers le bas à droite de la liste déroulante et sélectionnez l’action à effectuer sur la demande ou la réponse. Les choix par défaut sont RESET et DROP. Toutes les autres actions que vous avez créées apparaîtront également dans cette liste. Remarque : Vous pouvez également cliquer sur Nouveau pour créer une action de filtrage de contenu ou sur Modifier pour modifier une action de filtrage de contenu existante. Vous ne pouvez modifier que les actions que vous avez créées ; les actions par défaut sont en lecture seule.
  7. Si vous souhaitez utiliser une expression prédéfinie (ou une expression nommée) pour définir votre stratégie, sélectionnez-en une dans la liste Expressions nommées.
    1. Cliquez sur la flèche vers le bas située à droite de la première liste déroulante Expressions nommées, puis choisissez la catégorie d’expressions nommées qui contient l’expression nommée que vous souhaitez utiliser.
    2. Cliquez sur la flèche vers le bas située à droite de la deuxième liste déroulante Expressions nommées, puis choisissez l’expression nommée souhaitée. Lorsque vous choisissez une expression nommée, la définition de l’expression régulière de cette expression nommée apparaît dans le volet Aperçu de l’expression sous les zones de liste Expression nommée.
    3. Cliquez sur Ajouter une expression pour ajouter cette expression nommée à la liste Expression. Remarque : Vous devez effectuer cette étape ou l’étape 7, mais pas les deux.
  8. Si vous souhaitez créer une expression pour définir votre stratégie, utilisez l’Éditeur d’expression.
    1. Cliquez sur le bouton Add. La boîte de dialogue Ajouter une expression s’affiche.
    2. Dans la boîte de dialogue Ajouter une expression, choisissez le type de connexion à filtrer. Le type de flux est défini sur REQ par défaut, ce qui indique à l’appliance Citrix ADC d’examiner les connexions entrantes ou les demandes. Si vous souhaitez filtrer les connexions sortantes (réponses), cliquez sur la flèche droite en regard de la liste déroulante et choisissez RES.
    3. Si le protocole n’est pas déjà défini sur HTTP, cliquez sur la flèche vers le bas située à droite de la liste déroulante Protocole et choisissez HTTP. Remarque : Dans le langage des expressions classiques Citrix ADC, « HTTP » inclut également les requêtes HTTPS.
    4. Cliquez sur la flèche vers le bas à droite de la liste déroulante Qualifier, puis choisissez un qualificatif pour votre expression. Vos choix sont les suivants :

      • METHOD: Méthode HTTP utilisée dans la requête.

      • URL: contenu de l’en-tête URL.

      • URLTOKENS: Les jetons d’URL dans l’en-tête HTTP.

      • VERSION: Version HTTP de la connexion.

      • HEADER: partie en-tête de la requête HTTP.

      • URLLEN: longueur du contenu de l’en-tête URL.

      • URLQUERY: partie requête du contenu de l’en-tête URL.

      • URLQUERYLEN: Longueur de la partie requête de l’en-tête URL. Le contenu des zones de liste restantes passe par les choix appropriés au qualificatif que vous choisissez. Par exemple, si vous choisissez HEADER, un champ de texte intitulé Nom d’entête* apparaît sous la zone de liste Type de flux.

    5. Cliquez sur la flèche vers le bas située à droite de la liste déroulante Opérateur et choisissez un opérateur pour votre expression. Vos choix varient en fonction du protocole que vous avez choisi à l’étape précédente. La liste suivante comprend tous les opérateurs :

      • ==: Correspond exactement à la chaîne de texte suivante.

      • ! =: Ne correspond pas exactement à la chaîne de texte suivante.

      • >: est supérieur à l’entier suivant.

      • CONTAINS: Contient la chaîne de texte suivante.

      • CONTENTS: contenu de l’en-tête, de l’URL ou de la requête URL désignée.

      • EXISTS: l’en-tête ou la requête spécifié existe.

      • NOTCONTAINS: ne contient pas la chaîne de texte suivante.

      • NOTEXISTS: L’en-tête ou la requête spécifié n’existe pas.

    6. Si la zone de texte Valeur est visible, tapez la chaîne ou le nombre approprié. Si vous testez une chaîne de quelque façon que ce soit, tapez la chaîne dans la zone de texte Valeur. Si vous testez un entier de quelque façon que ce soit, tapez l’entier dans la zone de texte Valeur.
    7. Si vous avez choisi HEADER comme protocole, tapez l’en-tête souhaité dans la zone de texte Nom de l’en-tête*.
    8. Cliquez sur OK pour ajouter votre expression à la liste Expressions.
    9. Répétez les étapes B à H pour créer les expressions supplémentaires que vous voulez pour votre profil.
    10. Cliquez sur Fermer pour fermer l’Éditeur d’expressions.
  9. Si vous avez créé une nouvelle expression, dans le cadre Expression, sélectionnez une option dans la liste déroulante Correspondre à toute expression. Vos choix sont les suivants :
    • Correspondance avec n’importe quelle expression. Si une demande correspond à une expression de la liste Expressions, la demande correspond à cette stratégie.
    • Correspondance de toutes les expressions Si une demande correspond à toutes les expressions de la liste Expressions, la demande correspond à cette stratégie. S’il ne correspond pas à tous, il ne correspond pas à cette politique.
    • Expression tabulaire Bascule la liste Expressions vers un format tabulaire comportant trois colonnes. Dans la première colonne, vous pouvez placer un opérateur BEGIN [(]. La deuxième colonne contient les expressions que vous avez sélectionnées ou créées. Dans la troisième colonne, vous pouvez placer n’importe quel autre opérateur dans la liste suivante, pour créer des groupes de stratégies complexes dans lesquels chaque groupe peut être configuré pour correspondre à n’importe quelle expression ou correspondre à toutes les expressions.
    • L’opérateur [&&] AND demande à l’appliance d’exiger qu’une requête corresponde à l’expression actuelle et à l’expression suivante.
    • L’opérateur [||] OR demande à l’appliance d’exiger qu’une requête corresponde à l’expression courante ou à l’expression suivante, ou aux deux. Ce n’est que si la demande ne correspond pas à l’une ou l’autre des expressions qu’elle ne correspond pas à la stratégie.
    • L’[)]opérateur END indique à l’appliance qu’il s’agit de la dernière expression de ce groupe d’expressions ou de cette stratégie. Remarque : Le format Tabulaire vous permet de créer une stratégie complexe qui contient à la fois « Correspondre à toute expression » et « Correspondre à toutes les expressions » par expression. Vous n’êtes pas limité à l’un ou l’autre.
    • Forme libre avancée Désactive entièrement l’Éditeur d’expressions et modifie la liste Expressions en zone de texte. Dans la zone de texte, vous pouvez taper l’expression régulière au format PCR de votre choix pour définir cette stratégie. Il s’agit à la fois de la méthode la plus puissante et la plus difficile pour créer une stratégie, et n’est recommandée que pour ceux qui connaissent parfaitement l’appliance Citrix ADC et les expressions régulières au format PCRE. Attention : Si vous passez au mode d’édition d’expression Form libre avancé, vous ne pouvez pas revenir à l’un des autres modes. Ne choisissez pas ce mode d’édition d’expression sauf si vous êtes sûr que c’est ce que vous voulez.
  10. Répétez les étapes 6 à 8 pour ajouter toutes les expressions supplémentaires souhaitées à la liste Expressions. Vous pouvez mélanger des expressions nommées et des expressions créées dans l’éditeur d’expressions. Pour l’appliance Citrix ADC, ils sont tous identiques.
  11. Cliquez sur Créer pour créer votre nouvelle stratégie. Votre nouvelle stratégie apparaît dans la liste du volet Stratégies.
  12. Cliquez sur Fermer. Pour créer des stratégies de filtrage de contenu supplémentaires, répétez la procédure précédente. Pour supprimer une stratégie de filtrage de contenu, sélectionnez-la dans l’onglet Stratégies, puis cliquez sur Supprimer.

Configurer une stratégie de filtrage de contenu