Citrix Secure Web Gateway

URL の分類

URL の分類は、特定の Web サイトおよび Web サイトのカテゴリへのユーザーアクセスを制限します。Citrix Secure Web Gateway(SWG)が提供するサブスクライブサービスとして、企業のお客様は、市販の分類データベースを使用してWebトラフィックをフィルタリングできます。データベースには、ソーシャルネットワーキング、ギャンブル、アダルトコンテンツ、新しいメディア、ショッピングなど、さまざまなカテゴリに分類された URL が数十億個あります。分類に加えて、各 URL には、サイトの履歴リスクプロファイルに基づいて最新のレピュテーションスコアがあります。トラフィックをフィルタリングするには、カテゴリ、カテゴリグループ(テロリズム、違法薬など)、またはサイトレピュテーションスコアに基づいて高度なポリシーを構成できます。

たとえば、マルウェアに感染していることがわかっているサイトなど、危険なサイトへのアクセスをブロックし、エンタープライズユーザーのアダルトコンテンツやエンターテイメントストリーミングメディアなどのコンテンツへのアクセスを選択的に制限できます。また、ユーザーのトランザクションの詳細と送信トラフィックの詳細をキャプチャして、Citrix ADMサーバー上のWebトラフィック分析を監視することもできます。

URL 分類の仕組み

次の図は、Citrix SWG URL分類サービスと商用URL分類データベースとクラウドサービスを統合して頻繁に更新する方法を示しています。

ローカライズされた画像

コンポーネントは次のように相互作用します。

  1. クライアントは、インターネットにバインドされたURL要求を送信します。

  2. Citrix SWGプロキシは、URL分類データベースから取得したカテゴリの詳細(カテゴリ、カテゴリグループ、サイトレピュテーションスコアなど)に基づいて、ポリシー適用をリクエストに適用します。データベースがカテゴリの詳細を返す場合、プロセスは手順 5 にジャンプします。

  3. データベースで分類の詳細が失われると、要求は URL 分類ベンダーが管理するクラウドベースの検索サービスに送信されます。ただし、アプライアンスは応答を待たずに、URL が未分類としてマークされ、ポリシーの強制が実行されます(ステップ 5 に進みます)。アプライアンスは、クラウドクエリーフィードバックを監視し続け、キャッシュを更新して、今後の要求がクラウドルックアップの恩恵を受けることができるようにします。

  4. SWG アプライアンスは、クラウドベースのサービスから URL カテゴリ詳細(カテゴリ、カテゴリグループ、レピュテーションスコア)を受け取り、分類データベースに格納します。

  5. ポリシーでは URL が許可され、リクエストはオリジンサーバーに送信されます。それ以外の場合、アプライアンスはカスタム HTML ページを使用してドロップ、リダイレクト、または応答します。

  6. オリジンサーバーは、要求されたデータで SWG アプライアンスに応答します。

  7. アプライアンスは応答をクライアントに送信します。

ユースケース:企業コンプライアンスに基づくインターネット使用

URL フィルタリング機能を使用して、コンプライアンスポリシーを検出して実装し、企業のコンプライアンスに違反するサイトをブロックできます。これらは、成人、ストリーミングメディア、ソーシャルネットワーキングなどのサイトであり、非生産的と見なされるか、企業ネットワークで過剰なインターネット帯域幅を消費する可能性があります。これらの Web サイトへのアクセスをブロックすることで、従業員の生産性が向上し、帯域幅の使用に関する運用コストが削減され、ネットワーク消費のオーバーヘッドが削減されます。

前提条件

URL分類機能は、Citrix SWGプラットフォームで機能するのは、Citrix Secure Web GatewayのURLフィルタリング機能と脅威インテリジェンスを備えたオプションのサブスクリプションサービスがある場合のみです。このサブスクリプションでは、Webサイトの最新の脅威カテゴリをダウンロードし、Secure Web Gateway でそれらのカテゴリを適用できます。このサブスクリプションは、Secure Web Gateway のハードウェアアプライアンスおよびソフトウェア(VPX)バージョンの両方で利用できます。 機能を有効にして設定する前に、次のライセンスをインストールする必要があります。 CNS_WEBF_SSERVER_Retail.lic

CNS_XXXXX_SERVER_SWG_Retail.lic.

ここで、XXXXXはプラットフォーム・タイプです(例:V25000)。

レスポンダーポリシー式

次の表に、着信 URL を許可、リダイレクト、またはブロックする必要があるかどうかを確認するために使用できるさまざまなポリシー式を示します。

  1. <text>. URL_CATEGORIZE (<min_reputation>, <max_reputation>) -URL_CATEGORY オブジェクトを返します。<min_reputation> が 0 より大きい場合、返されるオブジェクトには、<min_reputation>より低いレピュテーションのカテゴリは含まれません。<max_reputation> が 0 より大きい場合、返されるオブジェクトには、<max_reputation>より高いレピュテーションのカテゴリは含まれません。カテゴリがタイムリーに解決に失敗した場合は、undef値が返されます。
  2. <url_category>. CATEGORY() -このオブジェクトのカテゴリ文字列を返します。URL にカテゴリがない場合、または URL の形式が正しくない場合、戻り値は「Unknown」になります。
  3. <url_category>. CATEGORY_GROUP() -オブジェクトのカテゴリグループを識別する文字列を返します。これは、カテゴリのより高いレベルのグループです。これは、URL カテゴリに関する詳細情報を必要としない操作に役立ちます。URL にカテゴリがない場合、または URL の形式が正しくない場合、戻り値は「Unknown」になります。
  4. <url_category>. REPUTATION() -レピュテーションスコアを 0 ~ 5 の数値として返します。5 は最もリスクの高いレピュテーションを示します。カテゴリが「不明」の場合、レピュテーション値は 1 です。

ポリシーの種類:

  1. 検索エンジンカテゴリにあるURLのリクエストを選択するポリシー-add responder policy p1 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY().EQ("Search Engine")
  2. アダルトカテゴリグループの URL に対するリクエストを選択するためのポリシー-add responder policy p1 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY_GROUP().EQ("Adult")’
  3. レピュテーションスコアが 4 未満の検索エンジンの URL に対するリクエストを選択するポリシー-add responder policy p2 ‘HTTP.REQ.HOSTNAME.APPEND (HTTP.REQ.URL).URL_CATEGORIZE(4,0).HAS_CATEGORY("Search Engine")
  4. 検索エンジンとショッピング URL のリクエストを選択するポリシー-add responder policy p3 ‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY().EQ ("good_categories")
  5. レピュテーションスコアが 4 以上の検索エンジンの URL に対するリクエストを選択するためのポリシー-add responder policy p5 ‘CLIENT.SSL.DETECTED_DOMAIN.URL_CATEGORIZE(4,0). CATEGORY().EQ("Search Engines")
  6. 検索エンジンカテゴリにあるURLのリクエストを選択し、URLセットと比較するためのポリシー-‘HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0). CATEGORY().EQ("Search Engine") && HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URLSET_MATCHES_ANY("u1")’

レスポンダーポリシーの種類

URL 分類機能で使用されるポリシーには 2 つのタイプがあり、これらのポリシータイプのそれぞれを以下に説明します。

ポリシーの種類 説明
URL のカテゴリ Webトラフィックを分類し、評価結果ブロックに基づいてトラフィックを許可またはリダイレクトします。
URL レピュテーションスコア Web サイトのレピュテーションスコアを決定し、管理者が設定したレピュテーションスコアのしきい値レベルに基づいてアクセスを制御できるようにします。

URL 分類の構成

Citrix SWGアプライアンスでURL分類を構成するには、次の手順を実行します。

  1. URL フィルタリングを有効にします。
  2. Web トラフィック用のプロキシサーバーを構成します。
  3. 明示モードで Web トラフィックの SSLインターセプションを設定します。
  4. キャッシュメモリを制限するように共有メモリを構成します。
  5. URL 分類パラメータを設定します。
  6. Citrix SWGウィザードを使用して、URLの分類を構成します。
  7. SWG ウィザードを使用して URL 分類パラメータを設定します。
  8. seedd データベースパスとクラウドサーバ名の構成

ステップ 1: URL フィルタリングを有効にする

URL 分類を有効にするには、URL フィルタリング機能を有効にし、URL 分類のモードを有効にします。

Citrix SWG を使用してURLの分類を有効にするには:CLI

コマンドプロンプトで、次のように入力します。

enable ns feature URLFiltering

disable ns feature URLFiltering

手順 2: 明示モードで Web トラフィック用のプロキシサーバーを構成する

Citrix SWGアプライアンスは、透過的および明示的なプロキシ仮想サーバーをサポートします。明示モードで SSL トラフィック用のプロキシ仮想サーバを設定するには、次の手順を実行します。

  1. プロキシサーバーを追加します。
  2. SSL ポリシーをプロキシサーバーにバインドします。

Citrix SWG CLI を使用してプロキシサーバーを追加するには

コマンドプロンプトで、次のように入力します。

add cs vserver <name> [-td <positive_integer>] <serviceType>  [-cltTimeout <secs>]

例:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

Citrix SWG CLIを使用してSSLポリシーをプロキシ仮想サーバーにバインドする

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

ステップ 3: HTTPS トラフィックの SSLインターセプションを設定する

HTTPS トラフィックの SSL インターセプションを設定するには、次の手順を実行します。

  1. CA 証明書とキーのペアをプロキシ仮想サーバにバインドします。
  2. SSL パラメータを使用してデフォルトの SSL プロファイルを設定します。
  3. フロントエンド SSL プロファイルをプロキシ仮想サーバーにバインドし、フロントエンド SSL プロファイルで SSL インターセプションを有効にします。

Citrix SWG CLI を使用して CA 証明書とキーのペアをプロキシ仮想サーバーにバインドするには

コマンドプロンプトで、次のように入力します。

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName> -CA –skipCAName

Citrix SWG CLI を使用してデフォルトの SSL プロファイルを構成するには

コマンドプロンプトで、次のように入力します。

set ssl profile <name> -denySSLReneg <denySSLReneg> -sslInterception (ENABLED | DISABLED) -ssliMaxSessPerServer positive_integer>

Citrix SWG CLI を使用してフロントエンドの SSL プロファイルをプロキシ仮想サーバーにバインドする

コマンドプロンプトで、次のように入力します。

set ssl vserver <vServer name>  -sslProfile ssl_profile_interception

手順 4: キャッシュメモリを制限するように共有メモリを構成する

Citrix SWG CLIを使用してキャッシュメモリを制限するように共有メモリを構成するには

コマンドプロンプトで、次のように入力します。

set cache parameter [-memLimit <megaBytes>]

ここで、キャッシュ用に構成されたメモリ制限は 10 MB に設定されます。

ステップ 5: URL 分類パラメーターの設定

Citrix SWG CLI を使用して URL 分類パラメーターを構成するには

コマンドプロンプトで、次のように入力します。

set urlfiltering parameter [-HoursBetweenDBUpdates <positive_integer>] [-TimeOfDayToUpdateDB <HH:MM>]

:

Set urlfiltering parameter –urlfilt_hours_betweenDB_updates 20

手順 6: Citrix SWG ウィザードを使用して URL の分類を構成する

Citrix SWG GUIを使用してURLの分類を構成するには

  1. Citrix SWGアプライアンスにログオンし、 Secure Web Gateway のページに移動します。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    1. Secure Web Gatewayウィザード をクリックして、新しい構成を作成します。
    2. 既存の構成を選択し、Edit をクリックします。
  3. URL フィルタリング セクションで、編集 をクリックします。
  4. URL 分類 チェックボックスをオンにして、この機能を有効にします。
  5. URL 分類 ポリシーを選択し、バインド をクリックします。
  6. 続行 をクリックし、完了 をクリックします。

URL 分類ポリシーの詳細については、「URL 分類ポリシーの作成方法」を参照してください。

手順 7: SWG ウィザードを使用して URL 分類パラメーターを構成する

Citrix SWG GUIを使用してURL分類パラメーターを構成するには

  1. Citrix SWG アプライアンスにログオンし、「 Secure Web Gateway」>「URLフィルタリング 」の順に選択します。
  2. URL フィルタ ページで、URL フィルタ設定の変更 リンクをクリックします。
  3. URLフィルタ・パラメータの設定 」ページで、次のパラメータを指定します。
    1. DB 更新間隔 (時間)。URL データベース更新間のフィルタリング時間。最小値:0、最大値:720。
    2. DB を更新する時刻。URL フィルタリングでデータベースを更新する時刻。
    3. クラウドホスト。クラウドサーバーの URL パス。
    4. シード DB パス。シードデータベース参照サーバーの URL パス。
  4. OK をクリックして 閉じる をクリックします。

設定例:

enable ns feature LB CS SSL IC RESPONDER AppFlow URLFiltering

enable ns mode FR L3 Edge USNIP PMTUD

set ssl profile ns_default_ssl_profile_frontend -denySSLReneg NONSECURE -sslInterception ENABLED -ssliMaxSessPerServer 100

add ssl certKey swg_ca_cert -cert ns_swg_ca.crt -key ns_swg_ca.key

set cache parameter -memLimit 100

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

add responder action act1 respondwith ""HTTP/1.1 200 OK\r\n\r\n" + http.req.url.url_categorize(0,0).reputation + "\n""

add responder policy p1 "HTTP.REQ.URL.URL_CATEGORIZE(0,0).CATEGORY.eq("Shopping/Retail") || HTTP.REQ.URL.URL_CATEGORIZE(0,0).CATEGORY.eq("Search Engines & Portals

")" act1

bind cs vserver starcs_PROXY -policyName p1 -priority 10 -gotoPriorityExpression END -type REQUEST

add dns nameServer 10.140.50.5

set ssl parameter -denySSLReneg NONSECURE -defaultProfile ENABLED -sigDigestType RSA-MD5 RSA-SHA1 RSA-SHA224 RSA-SHA256 RSA-SHA384 RSA-SHA512 -ssliErrorCache ENABLED

-ssliMaxErrorCacheMem 100000000

add ssl policy pol1 -rule "client.ssl.origin_server_cert.subject.  URL_CATEGORIZE(0,0).CATEGORY.eq("Search Engines & Portals")"" -action INTERCEPT

add ssl policy pol3 -rule "client.ssl.origin_server_cert.subject.ne("citrix")" -action INTERCEPT

add ssl policy swg_pol -rule "client.ssl.client_hello.SNI.URL_CATEGORIZE(0,0).CATEGORY.ne("Uncategorized")" -action INTERCEPT

set urlfiltering parameter -HoursBetweenDBUpdates 3 -TimeOfDayToUpdateDB 03:00

シードデータベースパスとクラウドサーバー名の設定

クラウド検索サーバー名とシードデータベースパスを手動で設定するために、シードデータベースパスとクラウドルックアップサーバー名を構成できるようになりました。これを実行するには、URL フィルタリングパラメータコマンドに「CloudHost」と「SeedDBPath」という 2 つの新しいパラメータが追加されます。

コマンドプロンプトで、次のように入力します。 set urlfiltering parameter [-HoursBetweenDBUpdates <positive_integer>] [-TimeOfDayToUpdateDB <HH:MM>] [-LocalDatabaseThreads <positive_integer>] [-CloudHost <string>] [-SeedDBPath <string>]

set urlfiltering parameter -HoursBetweenDBUpdates 3 -TimeOfDayToUpdateDB 03:00 –CloudHost localhost –SeedDBPath /mypath

監査ログメッセージの構成

監査ログを使用すると、URL 分類プロセスのどのフェーズでも条件や状況を確認できます。Citrix ADCアプライアンスが受信URLを受信すると、レスポンダーポリシーにURLフィルタリング式がある場合、監査ログ機能によってURLセットの情報がURLに収集され、監査ログで許可されるターゲットのログメッセージとして保存されます。

  • 送信元 IP アドレス(要求を行ったクライアントの IP アドレス)。
  • 宛先 IP アドレス(要求されたサーバの IP アドレス)。
  • スキーマ、ホスト、ドメイン名(http://www.example.com)。
  • URL フィルタリングフレームワークが返す URL カテゴリ。
  • URL フィルタリングフレームワークが返した URL カテゴリグループ。
  • URL フィルタリングフレームワークが返した URL レピュテーション番号。
  • ポリシーによって実行された監査ログアクション。

URL リスト機能の監査ログを設定するには、次のタスクを実行する必要があります。

  1. 監査ログを有効化。
  2. 監査ログメッセージの作成アクション。
  3. [監査ログメッセージ] アクションで URL リストレスポンダポリシーを設定します。

詳細については、監査ログを参照してください。

SYSLOG メッセージングを使用した障害エラーの保存

URLフィルタリングプロセスのどの段階でも、システムレベルの障害が発生した場合、Citrix ADCアプライアンスは監査ログメカニズムを使用してログをns.logファイルに保存します。エラーは、SYSLOG 形式のテキストメッセージとして保存されるため、管理者は後でイベントの発生を時系列で表示できます。これらのログは、アーカイブのために外部 SYSLOG サーバにも送信されます。詳しくは、「記事CTX229399」を参照してください。

たとえば、URL フィルタリング SDK を初期化するときにエラーが発生した場合、エラーメッセージは次のメッセージ形式で格納されます。

Oct 3 15:43:40 <local0.err> ns URLFiltering[1349]: Error initializing NetStar SDK (SDK error=-1). (status=1).

Citrix ADCアプライアンスは、4つの異なる障害カテゴリにエラーメッセージを格納します。

  • ダウンロードに失敗しました。分類データベースをダウンロードしようとしたときにエラーが発生した場合。
  • 統合の失敗。既存の分類データベースに更新を統合するときにエラーが発生した場合。
  • 初期化に失敗しました。URL 分類機能の初期化時にエラーが発生した場合は、分類パラメータを設定するか、分類サービスを終了します。
  • 取得に失敗しました。アプライアンスがリクエストの分類の詳細を取得するときにエラーが発生した場合。

コマンドインターフェイスによる URL 分類結果の表示

URL 分類を使用すると、URL を入力し、NetSTAR サードパーティ URL 分類データベースから分類結果(カテゴリ、グループ、レピュテーションスコアなど)を取得できます。

URL を入力すると、URL フィルタリング機能によって分類結果が取得され、コマンドインターフェイスに表示されます。さらにURLを入力すると、アプライアンスは古いURLをリストから除外し、最新の3つのURLの結果を表示します。

3つのURLまでのURLカテゴリの結果を表示するには、以下の手順に従ってください。

  1. URL 分類の URL を追加
  2. URL 分類の詳細を最大 3 つの URL まで表示する
  3. URL 分類データを消去します。

URL フィルタリングの分類の URL を追加するには

URL を追加し、その分類の詳細を取得するには、次の操作を行います。コマンドプロンプト で、次のように入力します。

add urlfiltering categorization –Url <string>

例:

add urlfiltering categorization –Url www.facebook.com

URL 分類の詳細を 3 つまで表示するには

コマンドプロンプトで、次のように入力します。

> show urlfiltering categorization

例:

show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Url: http://www.citrix.com      Categorization: Computing & Internet,Computing & Internet,1
Done

設定例:

add urlfiltering categorization -url www.facebook.com
Done
show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Done

add urlfiltering categorization -url www.google.com
Done
show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Done

add urlfiltering categorization -url www.citrix.com
Done
show urlfiltering categorization
Url: http://www.facebook.com    Categorization: Facebook,Social Networking,1
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Url: http://www.citrix.com      Categorization: Computing & Internet,Computing & Internet,1
Done

add urlfiltering categorization -url www.in.gr
Done
show urlfiltering categorization
Url: http://www.google.com      Categorization: Search Engines & Portals,Search,1
Url: http://www.citrix.com      Categorization: Computing & Internet,Computing & Internet,1
Url: http://www.in.gr   Categorization: Search Engines & Portals,Search,1 Done

URL 分類の結果をクリアするには

コマンドプロンプトで、次のように入力します。

clear urlfiltering categorization
done

show urlfiltering categorization
done

GUIインタフェースによるURL分類結果の表示

  1. ナビゲーションペインで、「 Secure Web Gateway 」>「 URLフィルタリング」の順に展開します。
  2. 詳細ウィンドウで、ツール ] セクション の [URL フィルタ検索の分類 ] リンクをクリックします。
  3. URL フィルタ検索の分類 ] ページで、URL 要求を入力し、検索 ] をクリックします。

    ローカライズされた画像

  4. アプライアンスは、リクエストされたURLと前の2つのURLリクエストのカテゴリ結果を表示します。