Citrix Secure Web Gateway

URL リスト

URL リスト機能を使用すると、企業のお客様は、特定の Web サイトおよび Web サイトのカテゴリへのアクセスを制御できます。この機能は、URL 照合アルゴリズムにバインドされたレスポンダーポリシーを適用して Web サイトをフィルタリングします。このアルゴリズムは、着信 URL を、最大 100 万(1,000,000)のエントリで構成される URL セットと照合します。着信 URL 要求がセット内のエントリと一致する場合、アプライアンスは応答側ポリシーを使用して要求(HTTP/HTTPS)を評価し、その要求へのアクセスを制御します。

URL セットのタイプ

URL セット内の各エントリには、URL と、必要に応じてそのメタデータ (URL カテゴリ、カテゴリグループ、またはその他の関連データ) を含めることができます。メタデータを含む URL の場合、アプライアンスはメタデータを評価するポリシー式を使用します。詳しくは、「URL セット」を参照してください。

Citrix SWGは、カスタムURLセットをサポートしています。パターンセットを使用して URL をフィルタリングすることもできます。

カスタム URL セット。最大 1,000,000 個の URL エントリを含むカスタマイズされた URL セットを作成し、それをテキストファイルとしてアプライアンスにインポートできます。

パターンセット。SWG アプライアンスは、Web サイトへのアクセスを許可する前に、パターンセットを使用して URL をフィルタリングできます。パターンセットは、着信 URL と最大 5000 エントリの間で完全に一致する文字列を検索する文字列マッチングアルゴリズムです。詳しくは、「パターンセット」を参照してください。

読み込んだ URL セットの各 URL には、URL メタデータの形式でカスタムカテゴリを設定できます。組織では、セットをホストし、手動で介入することなく SWG アプライアンスを定期的に更新するように SWG アプライアンスを設定できます。

セットが更新されると、Citrix ADCアプライアンスはメタデータを自動的に検出し、URLを評価し、許可、ブロック、リダイレクト、通知などのアクションを適用するためのポリシー式としてカテゴリを使用できます。

URL セットで使用される高度なポリシー式

次の表に、着信トラフィックの評価に使用できる基本的な式を示します。

  1. .URLSET_MATCHES_ANY -URL が URL TRUE セット内のエントリと完全に一致した場合に評価されます。
  2. .GET_URLSET_METADATA() -URL が URL セット内の任意のパターンと完全に一致する場合、 GET_URLSET_METADATA() 式は、関連付けられたメタデータを返します。一致しない場合は、空の文字列が返されます。
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() - TRUE 一致するメタデータがカテゴリの先頭にある場合に評価されます。このパターンは、メタデータ内の個別のフィールドをエンコードするために使用できますが、最初のフィールドのみに一致します。
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) -ホストパラメータと URL パラメータを結合します。このパラメータは、一致のためにとして使用することができます。

レスポンダーのアクションの種類

注: 表では、HTTP.REQ.URL<URL expression>として一般化されています。

次の表に、着信インターネットトラフィックに適用できるアクションを示します。

レスポンダのアクション 説明
許可 リクエストにターゲット URL へのアクセスを許可します。
リダイレクト ターゲットとして指定された URL にリクエストをリダイレクトします。
ブロック 要求を拒否します。

前提条件

ホスト名の URL から URL セットをインポートする場合は、DNS サーバを設定する必要があります。IP アドレスを使用する場合は必須ではありません。

コマンドプロンプトで、次のように入力します。

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

:

add dns nameServer 10.140.50.5

URL リストを構成する

URLリストを構成するには、Citrix SWGウィザードまたはCitrix ADCコマンドラインインターフェイス(CLI)を使用します。Citrix SWGアプライアンスでは、レスポンダーポリシーを構成してから、ポリシーをURLセットにバインドする必要があります。

Citrix SWGウィザードを使用して、URLリストを構成することをお勧めします。ウィザードを使用して、レスポンダーポリシーを URL セットにバインドします。または、ポリシーをパターンセットにバインドすることもできます。

Citrix SWGウィザードを使用してURL一覧を構成する

Citrix SWG GUIを使用してHTTPSトラフィックのURLリストを構成するには:

  1. Citrix SWGアプライアンスにログオンし、 セキュアなWebゲートウェイ のページに移動します。
  2. 詳細ウィンドウで、次のいずれかの操作を行います。
    1. [ セキュアなWebゲートウェイ ] をクリックして、URL リスト機能を備えた新しい SWG 設定を作成します。
    2. 既存の構成を選択し、[Edit] をクリックします。
  3. [URL フィルタリング] セクションで、[編集] をクリックします。
  4. 機能を有効にするには、[URL リスト] チェックボックスをオンにします。
  5. URL リスト ポリシーを選択し、[バインド] をクリックします。
  6. [続行] をクリックし、[完了] をクリックします。

詳しくは、「URL リストポリシーの作成方法」を参照してください。

Citrix SWG CLIを使用してURLリストを構成する

URL リストを設定するには、次の手順を実行します。

  1. HTTP および HTTPS トラフィック用のプロキシ仮想サーバーを構成します。
  2. HTTPS トラフィックを代行受信するための SSL インターセプションを設定します。
  3. HTTP トラフィック用の URL セットを含む URL リストを設定します。
  4. HTTPS トラフィックに設定された URL を含む URL リストを設定します。
  5. プライベート URL セットを設定します。

SWG アプライアンスをすでに設定している場合は、手順 1 と 2 をスキップし、ステップ 3 で設定できます。

インターネットトラフィック用のプロキシ仮想サーバーの構成

Citrix SWGアプライアンスは、透過的かつ明示的なプロキシ仮想サーバーをサポートします。エクスプリシットモードでインターネットトラフィック用のプロキシ仮想サーバーを構成するには、次の手順を実行します。

  1. プロキシ SSL 仮想サーバーを追加します。
  2. レスポンダーポリシーをプロキシ仮想サーバーにバインドします。

Citrix SWG CLIを使用してプロキシ仮想サーバーを追加するには:

コマンドプロンプトで、次のように入力します。

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

Citrix SWG CLIを使用してレスポンダーポリシーをプロキシ仮想サーバーにバインドするには:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Citrix SWG構成の一部としてSSLインターセプタをすでに構成している場合は、次の手順を省略できます。

HTTPS トラフィックの SSLインターセプションの設定

HTTPS トラフィックの SSL インターセプションを設定するには、次の手順を実行します。

  1. CA 証明書とキーのペアをプロキシ仮想サーバにバインドします。
  2. デフォルトの SSL プロファイルを有効にします。
  3. フロントエンド SSL プロファイルを作成し、プロキシ仮想サーバーにバインドし、フロントエンド SSL プロファイルで SSLインターセプションを有効にします。

Citrix SWG CLIを使用してCA証明書とキーのペアをプロキシ仮想サーバーにバインドするには:

コマンドプロンプトで、次のように入力します。

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

Citrix SWG CLIを使用してフロントエンドSSLプロファイルを構成するには:

コマンドプロンプトで、次のように入力します。

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

Citrix SWG CLIを使用してフロントエンドSSLプロファイルをプロキシ仮想サーバーにバインドするには

コマンドプロンプトで、次のように入力します。

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

HTTP トラフィックの URL セットをインポートして URL リストを構成する

HTTP トラフィックの URL セットを設定する方法については、URL セットを参照してください。

明示的なサブドメイン一致の実行

インポートされた URL セットに対して明示的なサブドメイン照合を実行できるようになりました。これを行うには、新しいパラメータ「subdomainExactMatch」がimport policy URLset コマンドに追加されます。

パラメータを有効にすると、URL フィルタリングアルゴリズムは明示的なサブドメイン一致を実行します。たとえば、着信 URLがnews.example.comで、URL セットのエントリがexample.comの場合 、アルゴリズムは URL と一致しません。

コマンドプロンプトで、次のように入力します。 import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

HTTPS トラフィック用の URL セットを構成する

Citrix SWG CLIを使用してHTTPSトラフィック用のURLセットを構成するには

コマンドプロンプトで次のように入力します。

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

Citrix SWGウィザードを使用してHTTPSトラフィック用のURLセットを構成するには

Citrix SWGウィザードを使用して、URLリストを構成することをお勧めします。ウィザードを使用して、カスタム URL セットをインポートし、レスポンダーポリシーにバインドします。

  1. Citrix SWG アプライアンスにログオンし、 セキュアなWebゲートウェイ> URLフィルタリング > URLリストに移動します。
  2. 詳細ウィンドウで、[ 追加] をクリックします。
  3. [URL リストポリシー] ページで、ポリシー名を指定します。
  4. URL セットをインポートするオプションを選択します。
  5. [URL リストポリシー] タブページで、[URL セットのインポート] チェックボックスをオンにし、次の URL セットパラメータを指定します。
    1. URLセット名-カスタムURLセットの名前。
    2. URL:URLセットにアクセスする場所のWebアドレス。
    3. 「上書き」(Overwrite)-以前にインポートした URL セットを上書きします。
    4. Delimiter:CSVファイルレコードを区切る文字シーケンス。
    5. 行区切り文字—CSVファイルで使用される行区切り文字。
    6. [Interval]:URL セットが更新される 15 分に最も近い秒数に切り捨てられた間隔(秒単位)。
    7. プライベートセット—URLセットのエクスポートを防止するオプション。
    8. カナリア URL-URL セットのコンテンツが機密扱いかどうかをテストするための内部 URL。URL の最大長は 2047 文字です。
  6. ドロップダウンリストから応答者のアクションを選択します。
  7. [作成]して[閉じる] をクリックします。

プライベート URL セットの構成

プライベート URL セットを設定し、その内容を秘密にしておくと、ネットワーク管理者はセット内のブラックリスト URL を知らないことがあります。そのような場合は、カナリアの URL を設定し、URL セットに追加できます。管理者は Canary URL を使用して、すべてのルックアップ要求で使用するプライベート URL セットをリクエストできます。各パラメータの説明については、ウィザードのセクションを参照してください。

Citrix SWG CLIを使用してURLセットをインポートするには:

コマンドプロンプトで、次のように入力します。

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

インポートされた URL セットを表示

追加された URL セットに加えて、読み込んだ URL セットも表示できるようになりました。これを行うには、新しいパラメータ「インポート」が「show urlset」コマンドに追加されます。このオプションを有効にすると、アプライアンスはインポートされたすべてのURLセットを表示し、インポートされたURLセットと追加されたURLセットを区別します。

コマンドプロンプトで、次のように入力します。 show policy urlset [<name>] [-imported]

show policy urlset -imported

監査ログメッセージの構成

監査ログを使用すると、URL リストプロセスのどのフェーズでも条件や状況を確認できます。Citrix ADCアプライアンスが受信URLを受信すると、レスポンダーポリシーにURLセットの詳細ポリシー式がある場合、監査ログ機能によってURLセットの情報が収集され、監査ログで許可されるターゲットのログメッセージとして詳細が保存されます。

  1. ログメッセージには、次の情報が含まれています。
  2. タイムスタンプ。
  3. ログメッセージのタイプ。
  4. 定義済みのログレベル (重大、エラー、通知、警告、情報、デバッグ、アラート、緊急)。
  5. URL セット名、ポリシーアクション、URL などのログメッセージ情報。

URL リスト機能の監査ログを設定するには、次のタスクを実行する必要があります。

  1. 監査ログを有効化。
  2. 監査ログメッセージの作成アクション。
  3. [監査ログメッセージ] アクションで URL リストレスポンダポリシーを設定します。

詳細については、監査ログを参照してください。