Citrix ADC

URL リスト

URL リスト機能を使用すると、企業のお客様は、特定の Web サイトおよび Web サイトのカテゴリへのアクセスを制御できます。この機能は、URL 照合アルゴリズムにバインドされたレスポンダーポリシーを適用して Web サイトをフィルタリングします。このアルゴリズムは、着信 URL を、最大 100 万(1,000,000)のエントリで構成される URL セットと照合します。着信 URL 要求がセット内のエントリと一致する場合、アプライアンスは応答側ポリシーを使用して要求(HTTP/HTTPS)を評価し、その要求へのアクセスを制御します。

URL セットのタイプ

URL セット内の各エントリには、URL と、必要に応じてそのメタデータ (URL カテゴリ、カテゴリグループ、またはその他の関連データ) を含めることができます。メタデータを含む URL の場合、アプライアンスはメタデータを評価するポリシー式を使用します。詳しくは、「URL セット」を参照してください。

SSL 転送プロキシは、カスタム URL セットをサポートします。パターンセットを使用して URL をフィルタリングすることもできます。

カスタム URL セット。最大 1,000,000 個の URL エントリを含むカスタマイズされた URL セットを作成し、それをテキストファイルとしてアプライアンスにインポートできます。

パターンセット。ADCアプライアンスは、Webサイトへのアクセスを許可する前に、パターンセットを使用してURLをフィルタリングできます。パターンセットは、着信 URL と最大 5000 エントリの間で完全に一致する文字列を検索する文字列マッチングアルゴリズムです。詳しくは、「パターンセット」を参照してください。

読み込んだ URL セットの各 URL には、URL メタデータの形式でカスタムカテゴリを設定できます。組織では、セットをホストし、ADC アプライアンスを設定して、手動で介入しなくてもセットを定期的に更新できます。

セットが更新されると、Citrix ADCアプライアンスはメタデータを自動的に検出し、URLを評価し、許可、ブロック、リダイレクト、通知などのアクションを適用するためのポリシー式としてカテゴリを使用できます。

URL セットで使用される高度なポリシー式

次の表に、着信トラフィックの評価に使用できる基本的な式を示します。

  1. .URLSET_MATCHES_ANY-URL が URL セット内のエントリと完全に一致する場合に TRUE と評価されます。
  2. .GET_URLSET_METADATA ()-GET_URLSET_METADATA () 式は、URL セット内の任意のパターンに正確に一致する場合に、関連するメタデータを返します。一致しない場合は、空の文字列が返されます。
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA () .TYPECAST_LIST_T (‘,’) .GET (0) .EQ ()-一致するメタデータがカテゴリの先頭にある場合は TRUE と評価されます。このパターンは、メタデータ内の個別のフィールドをエンコードするために使用できますが、最初のフィールドのみに一致します。
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - Joins the host and URL parameters, which can then be used as a for matching.

レスポンダーのアクションの種類

注: この表では、HTTP.REQ.URLは<URL expression>として一般化されています 。

次の表に、着信インターネットトラフィックに適用できるアクションを示します。

レスポンダのアクション 説明
許可 リクエストにターゲット URL へのアクセスを許可します。
リダイレクト ターゲットとして指定された URL にリクエストをリダイレクトします。
ブロック 要求を拒否します。

前提条件

ホスト名の URL から URL セットをインポートする場合は、DNS サーバを設定する必要があります。IP アドレスを使用する場合は必須ではありません。

コマンドプロンプトで、次のように入力します。

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

:

add dns nameServer 10.140.50.5

URL リストを構成する

URLリストを構成するには、Citrix SSL転送プロキシウィザードまたはCitrix ADCコマンドラインインターフェイス(CLI)を使用します。Citrix ADCアプライアンスでは、まずレスポンダーポリシーを構成してから、URLセットにポリシーをバインドする必要があります。

URLリストを構成するには、Citrix SSL転送プロキシウィザードを優先オプションとして使用することをお勧めします。ウィザードを使用して、レスポンダーポリシーを URL セットにバインドします。または、ポリシーをパターンセットにバインドすることもできます。

SSL 転送プロキシウィザードを使用して URL 一覧を構成する

GUI を使用して HTTPS トラフィックの URL リストを設定するには、次の手順を実行します。

  1. [セキュリティ] > [SSL 転送プロキシ] ページに移動します。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    1. [SSL 転送プロキシウィザード]をクリックします。
    2. 既存の構成を選択し、[Edit] をクリックします。
  3. [URL フィルタリング] セクションで、[編集] をクリックします。
  4. 機能を有効にするには、[URL リスト] チェックボックスをオンにします。
  5. URL リスト ポリシーを選択し、[バインド] をクリックします。
  6. [続行] をクリックし、[完了] をクリックします。

詳しくは、「URL リストポリシーの作成方法」を参照してください。

CLI を使用した URL リストの設定

URL リストを設定するには、次の手順を実行します。

  1. HTTP および HTTPS トラフィック用のプロキシ仮想サーバーを構成します。
  2. HTTPS トラフィックを代行受信するための SSL インターセプションを設定します。
  3. HTTP トラフィック用の URL セットを含む URL リストを設定します。
  4. HTTPS トラフィックに設定された URL を含む URL リストを設定します。
  5. プライベート URL セットを設定します。

すでに ADC アプライアンスを設定している場合は、ステップ 1 と 2 をスキップして、ステップ 3 で設定できます。

インターネットトラフィック用のプロキシ仮想サーバーの構成

Citrix ADCアプライアンスは、透過的および明示的なプロキシ仮想サーバーをサポートします。エクスプリシットモードでインターネットトラフィック用のプロキシ仮想サーバーを構成するには、次の手順を実行します。

  1. プロキシ SSL 仮想サーバーを追加します。
  2. レスポンダーポリシーをプロキシ仮想サーバーにバインドします。

CLI を使用してプロキシ仮想サーバーを追加するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

add cs vserver <name> <serviceType> <IPAddress> <port>

:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

CLI を使用してレスポンダポリシーをプロキシ仮想サーバにバインドするには、次の手順を実行します。

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

Citrix ADC構成の一部としてSSLインターセプターをすでに構成している場合は、次の手順をスキップできます。

HTTPS トラフィックの SSLインターセプションの設定

HTTPS トラフィックの SSL インターセプションを設定するには、次の手順を実行します。

  1. CA 証明書とキーのペアをプロキシ仮想サーバにバインドします。
  2. デフォルトの SSL プロファイルを有効にします。
  3. フロントエンド SSL プロファイルを作成し、プロキシ仮想サーバーにバインドし、フロントエンド SSL プロファイルで SSLインターセプションを有効にします。

CLI を使用して CA 証明書とキーのペアをプロキシ仮想サーバにバインドするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

CLI を使用してフロントエンド SSL プロファイルを構成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>

CLI を使用してフロントエンド SSL プロファイルをプロキシ仮想サーバーにバインドするには

コマンドプロンプトで、次のように入力します。

set ssl vserver <vServer name>  -sslProfile <name>

HTTP トラフィックの URL セットをインポートして URL リストを構成する

HTTP トラフィックの URL セットを設定する方法については、URL セットを参照してください。

明示的なサブドメイン一致の実行

インポートされた URL セットに対して明示的なサブドメイン照合を実行できるようになりました。これを行うには、新しいパラメータ「subdomainExactMatch」がimport policy URLset コマンドに追加されます。

パラメータを有効にすると、URL フィルタリングアルゴリズムは明示的なサブドメイン一致を実行します。たとえば、着信 URLがnews.example.comで、URL セットのエントリがexample.comの場合 、アルゴリズムは URL と一致しません。

コマンドプロンプトで、次のように入力します。 import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

HTTPS トラフィック用の URL セットを構成する

CLI を使用して HTTPS トラフィックの URL セットを構成するには

コマンドプロンプトで次のように入力します。

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]

:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT

SSL 転送プロキシウィザードを使用して HTTPS トラフィックの URL セットを構成するには

URLリストを構成するには、SSL転送プロキシウィザードを優先オプションとして使用することをお勧めします。ウィザードを使用して、カスタム URL セットをインポートし、レスポンダーポリシーにバインドします。

  1. [セキュリティ] > [SSL 転送プロキシ] > [URL フィルタリング] > [URL リスト] に移動します。
  2. 詳細ウィンドウで、[追加] をクリックします。
  3. [URL リストポリシー] ページで、ポリシー名を指定します。
  4. URL セットをインポートするオプションを選択します。
  5. [URL リストポリシー] タブページで、[URL セットのインポート] チェックボックスをオンにし、次の URL セットパラメータを指定します。
    1. URLセット名-カスタムURLセットの名前。
    2. [URL]:URL セットにアクセスするロケーションの Web アドレス。
    3. 「上書き」(Overwrite)-以前にインポートした URL セットを上書きします。
    4. 区切り文字-CSV ファイルレコードを区切る文字シーケンス。
    5. 行セパレータ-CSV ファイルで使用される行セパレータ。
    6. [Interval]:URL セットが更新される 15 分に最も近い秒数に切り捨てられた間隔(秒単位)。
    7. プライベートセット:URL セットのエクスポートを禁止するオプション。
    8. カナリア URL-URL セットのコンテンツが機密扱いかどうかをテストするための内部 URL。URL の最大長は 2047 文字です。
  6. ドロップダウンリストから応答者のアクションを選択します。
  7. [作成 して 閉じる] をクリックします。

プライベート URL セットの構成

プライベート URL セットを設定し、その内容を秘密にしておくと、ネットワーク管理者はセット内のブラックリスト URL を知らないことがあります。そのような場合は、カナリアの URL を設定し、URL セットに追加できます。管理者は Canary URL を使用して、すべてのルックアップ要求で使用するプライベート URL セットをリクエストできます。各パラメータの説明については、ウィザードのセクションを参照してください。

CLI を使用して URL セットをインポートするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr

インポートされた URL セットを表示

追加された URL セットに加えて、読み込んだ URL セットも表示できるようになりました。これを行うには、新しいパラメータ「インポート」が「show urlset」コマンドに追加されます。このオプションを有効にすると、アプライアンスはインポートされたすべてのURLセットを表示し、インポートされたURLセットと追加されたURLセットを区別します。

コマンドプロンプトで、次のように入力します。 show policy urlset [<name>] [-imported]

show policy urlset -imported

監査ログメッセージの構成

監査ログを使用すると、URL リストプロセスのどのフェーズでも条件や状況を確認できます。Citrix ADCアプライアンスが受信URLを受信すると、レスポンダーポリシーにURLセットの詳細ポリシー式がある場合、監査ログ機能によってURLセットの情報が収集され、監査ログで許可されるターゲットのログメッセージとして詳細が保存されます。

ログメッセージには、次の情報が含まれています。

  1. タイムスタンプ。
  2. ログメッセージのタイプ。
  3. 定義済みのログレベル (重大、エラー、通知、警告、情報、デバッグ、アラート、緊急)。
  4. URL セット名、ポリシーアクション、URL などのログメッセージ情報。

URL リスト機能の監査ログを設定するには、次のタスクを実行する必要があります。

  1. 監査ログを有効化。
  2. 監査ログメッセージの作成アクション。
  3. [監査ログメッセージ] アクションで URL リストレスポンダポリシーを設定します。

詳細については、監査ログを参照してください。

URL リスト