入门

为了防止访问受限网站,Citrix ADC 设备使用专用的 URL 匹配算法。此算法使用的 URL 集可以包含最多 1000000 个黑名单条目的 URL 列表。每个条目都可以包含将 URL 类别和类别组定义为索引模式的元数据。该设备还可以定期下载由 Internet 强制机构(包括政府网站)或 Internet 观察基金会 (Internet Watch Foundation, IWF) 等独立 Internet 组织管理的高度敏感的 URL 集。一旦 URL 集从网站下载并导入到设备中,设备便会对设备中的 URL 集进行加密(根据这些机构的要求),并保密,以便条目不会被篡改。

Citrix ADC 设备使用高级策略来确定是否应阻止、允许还是重定向传入 URL。这些策略使用高级表达式来根据列入黑名单的条目评估传入 URL。条目可以包含元数据。对于没有元数据的条目,您可能希望使用根据精确字符串匹配来评估 URL 的表达式。对于其他 URL,除了检查完全字符串匹配的表达式外,您可能需要使用评估 URL 元数据的表达式。

ISP/Telcos 安全 Internet 接入策略的用例

URL 集使 Internet 服务提供商 (ISP) 或电信客户能够强制执行政府规定的安全 Internet 接入策略,例如:

  1. 阻止访问非法网站(虐待儿童、毒品等)
  2. 儿童安全浏览

Citrix ADC 设备使您能够定期下载由 Internet 执法机构或独立 Internet 组织(如 IWF(Internet 观察基金会)管理的 URL 集。设备定期下载列表并安全地更新列表。列表存储为机密 URL 集,以便它不被篡改或人类可读。定期下载的 URL 集作为一个黑名单集用于 URL 评估目的。

如果您有一个私有 URL 集,并且列表的内容保密,并且网络管理员不知道列表中存在的黑名单 URL。要确保策略配置正确且引用了正确的列表来评估传入 URL,请配置名为 Canary URL 的内部 URL 并将其添加到 URL 集中。使用 Canary URL,管理员可以通过设备请求使用私有 URL 集,以确保查找每个 URL 请求。