Liste d’URL

La fonctionnalité Liste d’URL permet aux clients d’entreprise de contrôler l’accès à des sites Web et à des catégories de sites Web spécifiques. La fonctionnalité filtre les sites Web en appliquant une stratégie de répondeur liée à un algorithme de correspondance d’URL. L’algorithme fait correspondre l’URL entrante à un jeu d’URL composé d’un million (1 000 000) d’entrées. Si la requête d’URL entrante correspond à une entrée de l’ensemble, l’appliance utilise la stratégie du répondeur pour évaluer la demande (HTTP/HTTPS) et en contrôler l’accès.

Types de jeux d’URL

Chaque entrée d’un jeu d’URL peut inclure une URL et, éventuellement, ses métadonnées (catégorie d’URL, groupes de catégories ou toute autre donnée associée). Pour les URL contenant des métadonnées, l’appliance utilise une expression de stratégie qui évalue les métadonnées. Pour plus d’informations, reportez-vous à la section Jeu d’URL.

Citrix SWG prend en charge les jeux d’URL personnalisés et les jeux d’URL de style IWF. Vous pouvez également utiliser des jeux de motifs pour filtrer les URL.

Jeu d’URL personnalisé. Vous pouvez créer un jeu d’URL personnalisé avec jusqu’à 1 000 000 entrées d’URL et l’importer sous forme de fichier texte dans votre appliance.

Jeu d’URL de style IWF. Vous pouvez importer un jeu d’URL géré par IWF ou les agences d’application de l’Internet. Pour importer le jeu dans votre appliance, vous pouvez spécifier l’URL du site Web.

Jeu de motifs. Une appliance SWG peut utiliser des jeux de modèles pour filtrer les URL avant d’accorder l’accès aux sites Web. Un jeu de motifs est un algorithme de correspondance de chaînes qui recherche une correspondance exacte entre une URL entrante et jusqu’à 5000 entrées. Pour plus d’informations, reportez-vous à la section Ensemble de motifs.

Chaque URL d’un ensemble d’URL importé peut avoir une catégorie personnalisée sous la forme de métadonnées d’URL. Votre organisation peut héberger le jeu et configurer l’appliance SWG pour qu’elle mette à jour périodiquement le jeu sans intervention manuelle.

Une fois l’ensemble mis à jour, l’appliance Citrix ADC détecte automatiquement les métadonnées et la catégorie est disponible sous forme d’expression de stratégie pour évaluer l’URL et appliquer une action telle que autoriser, bloquer, rediriger ou notifier l’utilisateur.

Expressions de stratégie avancées utilisées avec les jeux d’URL

Le tableau suivant décrit les expressions de base que vous pouvez utiliser pour évaluer le trafic entrant.

  1. .URLSET_MATCHES_ANY - EvalueTRUE si l’URL correspond exactement à n’importe quelle entrée de l’ensemble d’URL.
  2. .GET_URLSET_METADATA() - L’GET_URLSET_METADATA() expression renvoie les métadonnées associées si l’URL correspond exactement à un motif dans l’ensemble d’URL. Une chaîne vide est renvoyée s’il n’y a pas de correspondance.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) -.GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() - VérifieTRUE si les métadonnées appariées sont au début de la catégorie. Ce modèle peut être utilisé pour encoder des champs séparés dans des métadonnées, mais ne correspondre que au premier champ.
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - Joigne les paramètres hôte et URL, qui peuvent ensuite être utilisés comme un pour la correspondance.

Types d’action du répondeur

Note : Dans le tableau,HTTP.REQ.URL est généralisé comme<URL expression>.

Le tableau suivant décrit les actions qui peuvent être appliquées au trafic Internet entrant.

| ——————– | ——————————————————– | | Action du répondeur | Description | | Autoriser | Autoriser la demande à accéder à l’URL cible. | | Rediriger | Rediriger la requête vers l’URL spécifiée comme cible. | | Bloquer | Refuser la demande. |

Conditions préalables

Vous devez configurer un serveur DNS si vous importez un jeu d’URL à partir d’une URL de nom d’hôte. Cela n’est pas nécessaire si vous utilisez une adresse IP.

À l’invite de commandes, tapez :

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Exemple :

ajouter le nom dns serveur 10.140.50.5

Configurer une liste d’URL

Pour configurer une liste d’URL, vous pouvez utiliser l’assistant Citrix SWG ou l’interface de ligne de commande (CLI) de Citrix ADC. Sur l’appliance Citrix SWG, vous devez d’abord configurer la stratégie de répondeur, puis lier la stratégie à un jeu d’URL.

Citrix vous recommande d’utiliser l’Assistant SWG Citrix comme option préférée pour configurer une liste d’URL. Utilisez l’Assistant pour lier une stratégie de répondeur à un jeu d’URL. Vous pouvez également lier la stratégie à un jeu de motifs.

Configurer une liste d’URL à l’aide de l’assistant Citrix SWG

Pour configurer la liste d’URL pour le trafic HTTPS à l’aide de l’interface utilisateur graphique Citrix SWG :

  1. Ouvrez une session sur le dispositif Citrix SWG et accédez à la page Secured Web Gateway.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    1. Cliquez sur Secured Web Gateway Wizard pour créer une nouvelle configuration SWG avec la fonctionnalité Liste d’URL.
    2. Sélectionnez une configuration existante et cliquez sur Modifier.
  3. Dans la section Filtrage d’URL, cliquez sur Modifier.
  4. Activez la case à cocher Liste d’URL pour activer la fonctionnalité.
  5. Sélectionnez une stratégie de liste d’URL et cliquez sur Lier.
  6. Cliquez sur Continuer, puis Terminé.

Pour plus d’informations, reportez-vous à la section Procédure de création d’une stratégie de liste d’URL.

Configurer une liste d’URL à l’aide de l’interface de ligne de commande Citrix SWG

Pour configurer une liste d’URL, procédez comme suit.

  1. Configurez un serveur virtuel proxy pour le trafic HTTP et HTTPS.
  2. Configurer l’interception SSL pour intercepter le trafic HTTPS.
  3. Configurez une liste d’URL contenant un jeu d’URL pour le trafic HTTP.
  4. Configurer la liste d’URL contenant le jeu d’URL pour le trafic HTTPS.
  5. Configurer un jeu d’URL privé.

Remarque

Si vous avez déjà configuré une appliance SWG, vous pouvez ignorer les étapes 1 et 2 et la configurer à l’étape 3.

Configuration d’un serveur virtuel proxy pour le trafic Internet

L’appliance Citrix SWG prend en charge les serveurs virtuels proxy transparents et explicites. Pour configurer un serveur virtuel proxy pour le trafic Internet en mode explicite, procédez comme suit :

  1. Ajouter un serveur virtuel SSL proxy.
  2. Liez une stratégie de répondeur au serveur virtuel proxy.

Pour ajouter un serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG :

À l’invite de commandes, tapez :

add cs vserver <name> <serviceType> <IPAddress> <port>

Exemple :

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

Pour lier une stratégie de répondeur à un serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG :

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

Remarque

Si vous avez déjà configuré l’intercepteur SSL dans le cadre de la configuration de Citrix SWG, vous pouvez ignorer la procédure suivante.

Configurer l’interception SSL pour le trafic HTTPS

Pour configurer l’interception SSL pour le trafic HTTPS, procédez comme suit :

  1. Liez une paire de clés de certificat de l’autorité de certification au serveur virtuel proxy.
  2. Activez le profil SSL par défaut.
  3. Créez un profil SSL frontal et liez-le au serveur virtuel proxy et activez l’interception SSL dans le profil SSL frontal.

Pour lier une paire de clés de certificat de l’autorité de certification au serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG :

À l’invite de commandes, tapez :

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

Pour configurer un profil SSL frontal à l’aide de l’interface de ligne de commande Citrix SWG :

À l’invite de commandes, tapez :

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>

Pour lier un profil SSL frontal à un serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

set ssl vserver <vServer name>  -sslProfile <name>

Configurer une liste d’URL en important un jeu d’URL pour le trafic HTTP

Pour plus d’informations sur la configuration d’un jeu d’URL pour le trafic HTTP, reportez-vous à la sectionJeu d’URL.

Effectuer une correspondance de sous-domaine explicite

Vous pouvez maintenant effectuer une correspondance de sous-domaine explicite pour un jeu d’URL importé. Pour ce faire, un nouveau paramètre, “SubDomainExactMatch’est ajouté à laimport policy URLset commande.

Lorsque vous activez le paramètre, l’algorithme de filtrage d’URL effectue une correspondance de sous-domaine explicite. Par exemple, si l’URL entrante estnews.example.com et si l’entrée de l’ensemble d’URL estexample.com, l’algorithme ne correspond pas aux URL.

À l’invite de commandes, tapez : import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Exemple import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Configurer un jeu d’URL pour le trafic HTTPS

Pour configurer un jeu d’URL pour le trafic HTTPS à l’aide de l’interface de ligne de commande Citrix SWG

À l’invite de commandes, tapez :

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]

Exemple :

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT

Pour configurer un jeu d’URL pour le trafic HTTPS à l’aide de l’assistant Citrix SWG

Citrix vous recommande d’utiliser l’assistant Citrix SWG comme option préférée pour configurer une liste d’URL. Utilisez l’Assistant pour importer un jeu d’URL personnalisé et lier à une stratégie de répondeur.

  1. Ouvrez une session sur l’appliance Citrix SWG et accédez à Secured Web Gateway > Filtrage d’URL > Listes d’URL.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Stratégie de liste d’URL, spécifiez le nom de la stratégie.
  4. Sélectionnez une option pour importer un jeu d’URL.
  5. Dans la page de l’onglet Stratégie de liste d’URL, activez la case à cocher Importer le jeu d’URL et spécifiez les paramètres de jeu d’URL suivants.
    1. Nom du jeu d’URL : nom du jeu d’URL personnalisé.
    2. URL : adresse Web de l’emplacement où accéder au jeu d’URL.
    3. Remplacer : écrase un jeu d’URL précédemment importé.
    4. Délimiteur : séquence de caractères qui délimite un enregistrement de fichier CSV.
    5. Séparateur de ligne : séparateur de ligne utilisé dans le fichier CSV.
    6. Intervalle (Intervalle) : intervalle en secondes arrondi au nombre de secondes le plus proche égal à 15 minutes au cours duquel le jeu d’URL est mis à jour.
    7. Ensemble privé : option pour empêcher l’exportation du jeu d’URL.
    8. URL Canary : URL interne permettant de vérifier si le contenu de l’ensemble d’URL doit rester confidentiel. La longueur maximale de l’URL est de 2047 caractères.
  6. Sélectionnez une action de répondeur dans la liste déroulante.
  7. Cliquez sur Créer et Fermer.

Configurer un jeu d’URL privé

Si vous configurez un jeu d’URL privé et que son contenu reste confidentiel, l’administrateur réseau peut ne pas connaître les URL répertoriées sur la liste noire de l’ensemble. Dans de tels cas, vous pouvez configurer une URL Canary et l’ajouter à l’ensemble d’URL. À l’aide de l’URL Canary, l’administrateur peut demander que le jeu d’URL privé soit utilisé pour chaque requête de recherche. Vous pouvez vous référer à la section Assistant pour obtenir des descriptions de chaque paramètre.

Pour importer un jeu d’URL à l’aide de l’interface de ligne de commande Citrix SWG :

À l’invite de commandes, tapez :

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

Exemple :

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr

Afficher le jeu d’URL importé

Vous pouvez désormais afficher des jeux d’URL importés en plus des jeux d’URL ajoutés. Pour ce faire, un nouveau paramètre’imported’est ajouté à la commande’show urlset “. Si vous activez cette option, l’appliance affiche tous les jeux d’URL importés et les distingue des jeux d’URL ajoutés.

À l’invite de commandes, tapez : show policy urlset [<name>] [-imported]

Exemple show policy urlset -imported

Configurer la messagerie du journal d’audit

La journalisation d’audit vous permet de consulter une condition ou une situation dans n’importe quelle phase du processus de liste d’URL. Lorsqu’une appliance Citrix ADC reçoit une URL entrante, si la stratégie du répondeur possède une expression de stratégie avancée de jeu d’URL, la fonctionnalité de journal d’audit collecte les informations d’ensemble d’URL dans l’URL et stocke les détails sous forme de message de journal pour toute cible autorisée par la journalisation d’audit.

  1. Le message du journal contient les informations suivantes :
  2. Horodatage.
  3. Type de message journal.
  4. Les niveaux de journal prédéfinis (critique, erreur, avis, avertissement, information, débogage, alerte et urgence).
  5. Consigner les informations du message, telles que le nom du jeu d’URL, l’action de stratégie, l’URL.

Pour configurer la journalisation d’audit pour la fonctionnalité Liste d’URL, vous devez effectuer les tâches suivantes :

  1. Activer le journal d’audit :
  2. Action Créer un message journal d’audit.
  3. Définissez la stratégie de répondeur de liste d’URL avec l’action de message Journal d’audit.

Pour plus d’informations, reportez-vous à la rubrique Journalisation de l’audit.