URL 列表

通过 URL 列表功能,企业客户能够控制对特定 Web 站点和 Web 站点类别的访问权限。此功能通过应用绑定到 URL 匹配算法的响应方策略来过滤 Web 站点。此算法将传入 URL 与包含最多 1000000 个条目的 URL 集匹配。如果传入的 URL 请求与该集合中的某一条目相匹配, 则设备将使用响应方策略评估该请求 (HTTP/HTTPS), 并对其进行控制访问。

URL 集类型

URL 集中的每个条目都可以包含 URL 和 (可选) 其元数据 (URL 类别、类别组或任何其他相关数据)。对于包含元数据的 URL,设备将使用一个用于评估元数据的策略表达式。有关详细信息,请参阅URL 集

Citrix SWG 支持自定义 URL 集和 IWF 格式的 URL 集。还可以使用模式集过滤 URL。

自定义 URL 集。可以创建最多包含1000000个 URL 条目的自定义 URL 集, 并将其作为文本文件导入到设备中。

IWF 样式的 URL 集。您可以导入由 IWF 或 Internet 强制代理托管的 URL 集。要将集导入到设备,可以指定 Web 站点 URL。

模式集。SWG 设备可以使用模式集来过滤 URL,然后再授予对 Web 站点的访问权限。模式集是一种字符串匹配算法, 用于查找传入 URL 与最多5000条目之间的确切字符串匹配。有关详细信息,请参阅模式集

在导入的 URL 集中, 每个 URL 可以具有 URL 元数据形式的自定义类别。贵组织可以托管该集, 并将 SWG 设备配置为定期更新设置, 而无需手动干预。

更新此设置后, Citrix ADC 设备将自动检测元数据, 类别将作为用于评估 URL 并应用操作 (如允许、阻止、重定向或通知用户) 的策略表达式提供。

与 URL 集结合使用的高级策略表达式

下表介绍了可以用于评估传入流量的基本表达式。

  1. .URLSET_MATCHES_ANY - 如果 URL 与 URL 集中的任何条目完全匹配,则会评估为 TRUE
  2. .GET_URLSET_METADATA() - 如果 URL 与 URL 集中的任何模式完全匹配,GET_URLSET_METADATA() 表达式将返回关联的元数据。如果没有匹配项, 则返回一个空字符串。
  3. .GET_ URLSET_METADATA().EQ(<METADATA) -.GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ()-如果匹配TRUE的元数据在类别的开头, 则计算为。此模式可用于在元数据中编码不同的字段, 但仅匹配第一个字段。
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL)-加入主机和 URL 参数, 这些参数随后可以用作匹配。

响应方操作类型

注意:在下表中,HTTP.REQ.URL 通常表示为 <URL expression>

下表介绍了可应用于传入的 Internet 流量的操作。

| ——————– | ——————————————————– | | 响应方操作 | 说明 | | 允许 | 允许请求访问目标 URL。 | | 重定向 | 将请求重定向到指定为目标的 URL。| | 阻止 | 拒绝请求。 |

必备条件

如果要从主机名 URL 导入 URL, 必须配置 DNS 服务器。如果使用 IP 地址, 则无需执行此操作。

在命令提示窗口中,键入:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

示例:

add dns nameServer 10.140.50.5

配置 URL 列表

要配置 URL 列表, 可以使用 Citrix SWG 向导或 Citrix ADC 命令行接口 (CLI)。在 Citrix SWG 设备上, 必须先配置响应方策略, 然后将该策略绑定到 URL 集。

Citrix 建议您将 Citrix SWG 向导用作配置 URL 列表的首选选项。使用该向导将响应方策略绑定到 URL 集。或者, 您也可以将该策略绑定到某个模式集。

使用 Citrix SWG 向导配置 URL 列表

要使用 Citrix SWG GUI 配置 HTTPS 通信的 URL 列表, 请执行以下操作:

  1. 登录 Citrix SWG 设备并导航到 “受保护的 Web Gateway “ 页面。
  2. 在详细信息窗格中, 执行以下操作之一:
    1. 单击受保护的 Web Gateway 向导,以使用 URL 列表功能创建新 SWG 配置。
    2. 选择现有配置, 然后单击Edit (编辑)。
  3. URL 过滤部分中, 单击Edit (编辑)。
  4. 选中URL 列表复选框以启用此功能。
  5. 选择URL 列表策略并单击Bind (绑定)。
  6. 单击Continue (继续), 然后单击完成

有关详细信息,请参阅如何创建 URL 列表策略

使用 Citrix SWG CLI 配置 URL 列表

要配置 URL 列表, 请执行以下操作。

  1. 为 HTTP 和 HTTPS 流量配置代理虚拟服务器。
  2. 配置 SSL 截获以截获 HTTPS 流量。
  3. 配置包含用于 HTTP 流量集的 URL 的 URL 列表。
  4. 配置 URL 列表, 其中包含为 HTTPS 流量设置的 URL。
  5. 配置专用 URL 集。

注意

如果您已配置了 SWG 设备, 则可以跳过步骤1和 2, 并配置步骤3。

为 Internet 流量配置代理虚拟服务器

Citrix SWG 设备支持透明的代理虚拟服务器和显式代理虚拟服务器。要在显式模式下为 Internet 通信配置代理虚拟服务器,请执行以下操作:

  1. 添加代理 SSL 虚拟服务器。
  2. 将响应方策略绑定到代理虚拟服务器。

要使用 Citrix SWG CLI 添加代理虚拟服务器, 请执行以下操作:

在命令提示窗口中,键入:

add cs vserver <name> <serviceType> <IPAddress> <port>

示例:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180

要使用 Citrix SWG CLI 将响应方策略绑定到代理虚拟服务器, 请执行以下操作:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]

注意

如果已将 SSL 侦听器配置为 Citrix SWG 配置的一部分, 则可以跳过以下过程。

为 HTTPS 流量配置 SSL 截获

要为 HTTPS 流量配置 SSL 截获, 请执行以下操作:

  1. 将 CA 证书-密钥对绑定到代理虚拟服务器。
  2. 启用默认 SSL 配置文件。
  3. 创建一个前端 SSL 配置文件, 并将其绑定到代理虚拟服务器, 并在前端 SSL 配置文件中启用 SSL 拦截。

要使用 Citrix SWG CLI 将 CA 证书-密钥对绑定到代理虚拟服务器, 请执行以下操作:

在命令提示窗口中,键入:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

要使用 Citrix SWG CLI 配置前端 SSL 配置文件, 请执行以下操作:

在命令提示窗口中,键入:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>

使用 Citrix SWG CLI 将前端 SSL 配置文件绑定到代理虚拟服务器

在命令提示窗口中,键入:

set ssl vserver <vServer name>  -sslProfile <name>

通过导入 HTTP 流量的 URL 集来配置 URL 列表

有关如何配置 URL 集以进行 HTTP 通信的信息, 请参阅URL 集

执行明确子域匹配

您现在可以为导入的 URL 集执行显式子域匹配。要执行此操作, 请在 import policy URLset 命令中添加新参数 subdomainExactMatch。

启用此参数时, URL 过滤算法将执行显式子域匹配。例如,如果传入的 URL 为 news.example.com,并且 URL 集中的条目为 example.com,该算法将与这些 URL 不匹配。

在命令提示窗口中,键入: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

示例 import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

为 HTTPS 流量配置 URL 集

使用 Citrix SWG CLI 配置用于 HTTPS 通信的 URL 集

在命令提示窗口中, 键入:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]

示例:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT

使用 Citrix SWG 向导配置用于 HTTPS 通信的 URL 集

Citrix 建议您将 Citrix SWG 向导用作配置 URL 列表的首选选项。使用该向导导入自定义 URL 集并绑定到响应方策略。

  1. 登录 Citrix SWG 设备并导航到受保护的 Web Gateway > URL 过滤 > URL 列表。
  2. 在详细信息窗格中, 单击Add (添加)。
  3. URL 列表策略页面上, 指定策略名称。
  4. 选择用于导入 URL 集的选项。
  5. URL 列表策略选项卡页面上, 选中导入 URL 集复选框并指定以下 URL 集参数。
    1. URL 集名称—自定义 URL 集的名称。
    2. URL —访问 URL 集的位置的 Web 地址。
    3. 覆盖—覆盖以前导入的 URL 集。
    4. 定界符 (分隔符)-用于分隔 CSV 文件记录的字符序列。
    5. 行分隔符—在 CSV 文件中使用的行分隔符。
    6. 时间间隔 — 时间间隔(秒),舍入到最接近的秒数(秒),即更新 URL 集。
    7. 专用集-用于禁止导出 URL 集的选项。
    8. Canary URL — 如果要保密的 URL 集的内容是否保密,用于测试的内部 URL。URL 的最大长度为2047个字符。
  6. 从下拉列表中选择响应方操作。
  7. 单击创建关闭

配置专用 URL 集

如果您配置了专用 URL 集并保持其内容为机密,网络管理员可能不知道该集合中列入黑名单的 URL。在这种情况下,您可以配置一个 Canary URL 并将其添加到 URL 集。通过使用 Canary URL,管理员可以请求将专用 URL 集用于每个查找请求。有关每个参数的说明,可以参阅向导部分。

要使用 Citrix SWG CLI 导入 URL 集, 请执行以下操作:

在命令提示窗口中,键入:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]

示例:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr

显示导入的 URL 集

除了添加的 URL 集外, 现在您还可以显示导入的 URL 组。要执行此操作, 请将新参数 imported 添加到 show urlset 命令中。如果启用此选项, 则设备将显示所有导入的 URL 集, 并将导入的 URL 集与所添加的 URL 集区分开。

在命令提示窗口中,键入: show policy urlset [<name>] [-imported]

示例 show policy urlset -imported

配置审核日志消息

审核日志记录使您可以查看 URL 列表过程的任何阶段的条件或情况。当 Citrix ADC 设备接收到传入 URL 时,如果响应方策略具有 URL 集高级策略表达式,审核日志功能将收集 URL 中的 URL 集信息,并将详细信息存储为审核日志记录允许的任何目标的日志消息。

  1. 日志消息中包含以下信息:
  2. 时间戳。
  3. 日志消息类型。
  4. 预定义的日志级别 (严重、错误、通知、警告、信息、调试、警报和紧急情况)。
  5. 记录消息信息, 例如 URLset 名称、策略操作、URL。

要配置 URL 列表的审核日志记录功能, 必须完成以下任务:

  1. 启用审核日志。
  2. 创建审核日志消息操作。
  3. 使用审核日志消息操作设置 URL 列表响应程序策略。

有关详细信息, 请参阅审核日志记录主题。