ADC

URLリスト

URL リスト機能により、企業のお客様は特定の Web サイトや Web サイトカテゴリへのアクセスを制御できます。この機能は、URL マッチングアルゴリズムにバインドされたレスポンダーポリシーを適用して Web サイトをフィルタリングします。このアルゴリズムは、受信URLを最大100万(1,000,000)のエントリで構成されるURLセットと照合します。受信URLリクエストがセット内のエントリと一致する場合、アプライアンスはレスポンダーポリシーを使用してリクエスト(HTTP/HTTPS)を評価し、そのリクエストへのアクセスを制御します。

URL セットタイプ

URL セットの各エントリには、URL と、オプションでそのメタデータ (URL カテゴリ、カテゴリグループ、またはその他の関連データ) を含めることができます。メタデータを含む URL の場合、アプライアンスはメタデータを評価するポリシー式を使用します。詳細については、「 URL セット」を参照してください。

SSLフォワードプロキシはカスタムURLセットをサポートします。パターンセットを使用して URL をフィルタリングすることもできます。

カスタム URL セット。最大 1,000,000 の URL エントリを含むカスタマイズされた URL セットを作成し、それをテキストファイルとしてアプライアンスにインポートできます。

パターンセット。ADCアプライアンスは、Webサイトへのアクセスを許可する前に、パターンセットを使用してURLをフィルタリングできます。パターンセットは、着信 URL と最大 5000 エントリの間で完全に一致する文字列を検索する文字列マッチングアルゴリズムです。詳細については、 パターンセットを参照してください

読み込んだ URL セットの各 URL には、URL メタデータの形式でカスタムカテゴリを設定できます。組織はセットをホストし、手動で操作しなくてもセットを定期的に更新するようにADCアプライアンスを構成できます。

セットが更新されると、NetScalerアプライアンスはメタデータを自動的に検出します。このカテゴリは、URL を評価したり、許可、ブロック、リダイレクト、ユーザーへの通知などのアクションを適用したりするためのポリシー表現として使用できるようになりました。

URL セットで使用される高度なポリシー表現

次の表に、着信トラフィックの評価に使用できる基本的な式を示します。

  1. .URLSET_MATCHES_ANY-URL が URL セット内のいずれかのエントリと完全に一致する場合、TRUE と評価されます。
  2. .GET_URLSET_METADATA ()-GET_URLSET_METADATA () 式は、URL が URL セット内のいずれかのパターンと完全に一致する場合、関連するメタデータを返します。一致しない場合は、空の文字列が返されます。
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA () .TYPECAST_LIST_T (‘,’) .GET (0) .EQ ()-一致するメタデータがカテゴリの先頭にある場合に TRUE と評価されます。このパターンは、メタデータ内の個別のフィールドをエンコードするために使用できますが、最初のフィールドのみに一致します。
  5. HTTP.REQ.HOSTNAME.APPEND (HTTP.REQ.URL)-ホストパラメータと URL パラメータを結合して、マッチングに使用できるようにします。

レスポンダーのアクションの種類

注: この表では、HTTP.REQ.URL は次のように一般化されています。 <URL expression>

次の表に、着信インターネットトラフィックに適用できるアクションを示します。

レスポンダーアクション 説明
許可 リクエストがターゲット URL にアクセスすることを許可します。
リダイレクト ターゲットとして指定された URL にリクエストをリダイレクトします。
ブロック リクエストを拒否します。

前提条件

ホスト名 URL から URL セットをインポートする場合は、DNS サーバーを設定します。IP アドレスを使用する場合、この設定は不要です。

コマンドプロンプトで入力します:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

:

add dns nameServer 10.140.50.5

URL リストを構成する

URLリストを構成するには、Citrix SSL転送プロキシウィザードまたはNetScalerコマンドラインインターフェイス(CLI)を使用できます。NetScalerアプライアンスでは、まずレスポンダーポリシーを構成してから、ポリシーをURLセットにバインドする必要があります。

Citrixでは、URLリストを構成する推奨オプションとしてCitrix SSL転送プロキシウィザードを使用することをお勧めします。ウィザードを使用して、レスポンダーポリシーを URL セットにバインドします。または、ポリシーをパターンセットにバインドすることもできます。

SSL 転送プロキシウィザードを使用して URL リストを設定する

GUI を使用して HTTPS トラフィックの URL リストを設定するには:

  1. [ セキュリティ ] > [ SSL 転送プロキシ ] ページに移動します。
  2. 詳細ウィンドウで、次のいずれかの操作を行います:
    1. SSL 転送プロキシウィザード」をクリックします。
    2. 既存の設定を選択し、[ Edit] をクリックします。
  3. [ URL フィルタ ] セクションで、[ 編集] をクリックします。
  4. URL リスト 」チェックボックスを選択して機能を有効にします。
  5. URL リストポリシーを選択し 、「 バインド」をクリックします。
  6. [続行] をクリックし、[完了] をクリックします。

詳細については、「 URL リストポリシーを作成する方法」を参照してください。

CLI を使用した URL リストの設定

URL リストを設定するには、次の手順を実行します。

  1. HTTP および HTTPS トラフィック用のプロキシ仮想サーバーを構成します。
  2. HTTPS トラフィックを傍受するための SSL インターセプトを設定します。
  3. HTTP トラフィック用の URL セットを含む URL リストを設定します。
  4. HTTPS トラフィック用に設定された URL を含む URL リストを設定します。
  5. プライベート URL セットを設定します。

ADCアプライアンスをすでに構成している場合は、手順1と2をスキップして、手順3で設定できます。

インターネットトラフィック用のプロキシ仮想サーバーの構成

NetScalerアプライアンスは、透過的で明示的なプロキシ仮想サーバーをサポートします。エクスプリシットモードでインターネットトラフィック用のプロキシ仮想サーバーを構成するには、次の手順を実行します。

  1. プロキシ SSL 仮想サーバーを追加します。
  2. レスポンダーポリシーをプロキシ仮想サーバーにバインドします。

CLIを使用してプロキシ仮想サーバーを追加するには:

コマンドプロンプトで入力します:

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

CLI を使用してレスポンダーポリシーをプロキシ仮想サーバーにバインドするには:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

NetScaler構成の一部としてSSLインターセプターをすでに構成している場合は、次の手順をスキップできます。

HTTPS トラフィックの SSL インターセプトの設定

HTTPS トラフィックの SSL インターセプトを設定するには、次の手順を実行します。

  1. CA 証明書とキーのペアをプロキシ仮想サーバにバインドします。
  2. デフォルトの SSL プロファイルを有効にします。
  3. フロントエンド SSL プロファイルを作成してプロキシ仮想サーバーにバインドし、フロントエンド SSL プロファイルで SSL インターセプトを有効にします。

CLIを使用してCA証明書とキーのペアをプロキシ仮想サーバーにバインドするには:

コマンドプロンプトで入力します:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

CLI を使用してフロントエンド SSL プロファイルを設定するには:

コマンドプロンプトで入力します:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

CLI を使用してフロントエンド SSL プロファイルをプロキシ仮想サーバーにバインドするには

コマンドプロンプトで入力します:

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

HTTP トラフィックの URL セットをインポートして URL リストを構成する

HTTP トラフィックの URL セットを設定する方法については、「 URL セット」を参照してください。

明示的なサブドメイン一致の実行

インポートされた URL セットに対して明示的なサブドメイン一致を実行できるようになりました。新しいパラメーター「SubdomainExactMatch」がコマンドに追加されました。 import policy URLset

パラメーターを有効にすると、URL フィルタリングアルゴリズムは明示的なサブドメイン一致を実行します。たとえば、受信URLがnews.example.comで、URLセットのエントリがexample.comの場合 、アルゴリズムはURLと一致しません。

コマンドプロンプトで入力します: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

HTTPS トラフィック用の URL セットを構成する

CLI を使用して HTTPS トラフィック用の URL セットを設定するには

コマンドプロンプトで次のように入力します:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

:

add ssl policy pol1 -rule client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

SSL 転送プロキシウィザードを使用して HTTPS トラフィックの URL セットを構成するには

Citrixでは、URLリストを構成する推奨オプションとしてSSL転送プロキシウィザードを使用することをお勧めします。ウィザードを使用して、カスタム URL セットをインポートし、レスポンダーポリシーにバインドします。

  1. [ セキュリティ] > [SSL 転送プロキシ] > [URL フィルタ] > [URL リスト] に移動します。
  2. 詳細ペインで、[ 追加] をクリックします。
  3. [ URL リストポリシー ] ページで、ポリシー名を指定します。
  4. URL セットをインポートするオプションを選択します。
  5. URL リストポリシー 」タブページで、「 URL セットのインポート 」チェックボックスを選択し、次の URL セットパラメータを指定します。
    1. URL セット名-カスタム URL セットの名前。
    2. URL — URLセットにアクセスする場所の Web アドレス。
    3. [上書き]-以前にインポートした URL セットを上書きします。
    4. 区切り文字 — CSVファイルレコードを区切る文字シーケンス。
    5. 行セパレータ— CSV ファイルで使用される行セパレータ。
    6. 間隔:URL セットが更新されるまでの間隔(秒単位)。15 分に相当する最も近い秒数に四捨五入されます。
    7. プライベートセット-URL セットをエクスポートしないようにするオプション。
    8. Canary URL — URL セットのコンテンツを秘密にしておくべきかどうかをテストするための内部 URL。URL の最大長は 2047 文字です。
  6. ドロップダウンリストからレスポンダーアクションを選択します。
  7. [作成]して[閉じる] をクリックします。

プライベート URL セットの設定

プライベート URL セットを設定し、その内容を秘密にしておくと、ネットワーク管理者はセット内のブラックリストに登録されている URL を知らない可能性があります。このような場合は、Canary URL を設定して URL セットに追加できます。管理者は Canary URL を使用して、すべての検索リクエストに使用するプライベート URL セットをリクエストできます。各パラメータの説明については、ウィザードのセクションを参照してください。

CLI を使用して URL セットをインポートするには:

コマンドプロンプトで入力します:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

:

import policy urlset test1 -url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

インポートした URL セットを表示

追加された URL セットに加えて、読み込んだ URL セットも表示できるようになりました。新しいパラメーター「import」 show urlset がコマンドに追加されます。このオプションを有効にすると、アプライアンスはインポートされたすべてのURLセットを表示し、インポートされた URL セットが追加された URL セットと区別されます。

コマンドプロンプトで入力します: show policy urlset [<name>] [-imported]

show policy urlset -imported

監査ログメッセージを設定する

監査ログを使用すると、URL リストプロセスのどの段階でも条件や状況を確認できます。NetScalerアプライアンスが受信URLを受信すると、レスポンダーポリシーにURLセットの高度なポリシー表現が含まれている場合、監査ログ機能はURLのURLセット情報を収集します。監査ログで許可されている任意のターゲットの詳細をログメッセージとして保存します。

ログメッセージには次の情報が含まれます。

  1. タイムスタンプ。
  2. ログメッセージタイプ。
  3. 定義済みのログレベル (重大、エラー、通知、警告、情報、デバッグ、アラート、緊急)。
  4. URL セット名、ポリシーアクション、URL などのメッセージ情報をログに記録します。

URL リスト機能の監査ログを設定するには、次の作業を完了する必要があります。

  1. 監査ログを有効化。
  2. 「監査ログの作成」メッセージアクション。
  3. [監査ログメッセージ] アクションで URL リストレスポンダポリシーを設定します。

詳細については、「 監査ログ 」トピックを参照してください。

URLリスト