URL-Liste

Mit der URL-Listenfunktion können Unternehmenskunden den Zugriff auf bestimmte Websites und Websitekategorien steuern. Das Feature filtert Websites, indem eine Responder-Richtlinie angewendet wird, die an einen URL-Abgleichsalgorithmus gebunden ist. Der Algorithmus gleicht die eingehende URL mit einem URL-Satz ab, der aus bis zu einer Million (1.000.000) Einträgen besteht. Wenn die eingehende URL-Anforderung mit einem Eintrag in der Gruppe übereinstimmt, verwendet die Appliance die Responderrichtlinie, um die Anforderung (HTTP/HTTPS) auszuwerten und den Zugriff darauf zu steuern.

URL-Set-Typen

Jeder Eintrag in einem URL-Satz kann eine URL und optional deren Metadaten (URL-Kategorie, Kategoriegruppen oder andere verwandte Daten) enthalten. Bei URLs mit Metadaten verwendet die Appliance einen Richtlinienausdruck, der die Metadaten auswertet. Weitere Informationen finden Sie unter URL-Satz.

Citrix SWG unterstützt benutzerdefinierte URL-Sets. Sie können auch Mustersätze verwenden, um URLs zu filtern.

Benutzerdefinierter URL-Satz. Sie können einen benutzerdefinierten URL-Satz mit bis zu 1.000.000 URL-Einträgen erstellen und als Textdatei in Ihre Appliance importieren.

Musterset Eine SWG-Appliance kann Patternsätze verwenden, um URLs zu filtern, bevor der Zugriff auf Websites gewährt wird. Ein Mustersatz ist ein Zeichenfolge-Matching-Algorithmus, der nach einer genauen Übereinstimmung zwischen einer eingehenden URL und bis zu 5000 Einträgen sucht. Weitere Informationen finden Sie unter Musterset.

Jede URL in einem importierten URL-Satz kann eine benutzerdefinierte Kategorie in Form von URL-Metadaten aufweisen. Ihre Organisation kann das Set hosten und die SWG-Appliance so konfigurieren, dass das Set regelmäßig aktualisiert wird, ohne dass ein manueller Eingriff erforderlich ist.

Nach der Aktualisierung des Satzes erkennt die Citrix ADC-Appliance automatisch die Metadaten, und die Kategorie steht als Richtlinienausdruck zur Verfügung, um die URL auszuwerten und eine Aktion wie Zulassen, Blockieren, Umleiten oder Benachrichtigen des Benutzers anzuwenden.

Erweiterte Richtlinienausdrücke, die mit URL-Sets verwendet werden

In der folgenden Tabelle werden die grundlegenden Ausdrücke beschrieben, die Sie zum Auswerten des eingehenden Datenverkehrs verwenden können.

1. .URLSET_MATCHES_ANY - Gibt TRUE zurück, wenn die URL genau mit einem Eintrag im URL-Satz übereinstimmt.
2. .GET_URLSET_METADATA() - Der Ausdruck GET_URLSET_METADATA() gibt die zugeordneten Metadaten zurück, wenn die URL einem Muster innerhalb des URL-Sets entspricht. Eine leere Zeichenfolge wird zurückgegeben, wenn keine Übereinstimmung vorhanden ist.
3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() - Gibt TRUE zurück, wenn die übereinstimmenden Metadaten am Anfang der Kategorie sind. Dieses Muster kann verwendet werden, um separate Felder innerhalb von Metadaten zu codieren, aber nur mit dem ersten Feld übereinstimmen.
5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - Verbindet die Host- und URL-Parameter, die dann als Abgleich verwendet werden können.

Responder-Aktionstypen

Hinweis: In der Tabelle wird HTTP.REQ.URL als <URL expression> verallgemeinert.

In der folgenden Tabelle werden die Aktionen beschrieben, die auf eingehenden Internetverkehr angewendet werden können.

Voraussetzungen

Sie müssen einen DNS-Server konfigurieren, wenn Sie einen URL-Satz von einer Hostnamen-URL importieren. Dies ist nicht erforderlich, wenn Sie eine IP-Adresse verwenden.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Beispiel:

add dns nameServer 10.140.50.5

Konfigurieren einer URL-Liste

Zum Konfigurieren einer URL-Liste können Sie den Citrix SWG-Assistenten oder die Citrix ADC-Befehlszeilenschnittstelle (CLI) verwenden. Auf der Citrix SWG-Appliance müssen Sie zuerst die Responderrichtlinie konfigurieren und dann die Richtlinie an einen URL-Satz binden.

Citrix empfiehlt, dass Sie den Citrix SWG-Assistenten als bevorzugte Option zum Konfigurieren einer URL-Liste verwenden. Verwenden Sie den Assistenten, um eine Responder-Richtlinie an einen URL-Satz zu binden. Alternativ können Sie die Richtlinie an einen Mustersatz binden.

Konfigurieren einer URL-Liste mit dem Citrix SWG-Assistenten

So konfigurieren Sie URL-Liste für HTTPS-Datenverkehr mit der Citrix SWG-GUI:

1. Melden Sie sich bei der Citrix SWG-Appliance an, und navigieren Sie zur Seite Secured Web Gateway.
2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
   1. Klicken Sie auf Secured Web Gateway-Assistent, um eine neue SWG-Konfiguration mit URL-Listen-Funktion zu erstellen.
   2. Wählen Sie eine vorhandene Konfiguration aus, und klicken Sie auf Bearbeiten.
3. Klicken Sie im Abschnitt URL-Filterung auf Bearbeiten.
4. Aktivieren Sie das Kontrollkästchen URL-Liste, um die Funktion zu aktivieren.
5. Wählen Sie eine URL-Listenrichtlinie aus, und klicken Sie auf Binden.
6. Klicken Sie auf Weiter und dann Fertig.

Weitere Informationen finden Sie unter Erstellen einer URL-Listenrichtlinie.

Konfigurieren einer URL-Liste mit der Citrix SWG-CLI

Gehen Sie folgendermaßen vor, um eine URL-Liste zu konfigurieren.

1. Konfigurieren Sie einen virtuellen Proxyserver für HTTP- und HTTPS-Datenverkehr.
2. Konfigurieren Sie SSL-Interception zum Abfangen des HTTPS-Datenverkehrs.
3. Konfigurieren Sie eine URL-Liste, die einen URL-Satz für HTTP-Datenverkehr enthält.
4. Konfigurieren Sie die URL-Liste mit URL-Satz für HTTPS-Datenverkehr.
5. Konfigurieren Sie einen privaten URL-Satz.

Hinweis

Wenn Sie bereits eine SWG-Appliance konfiguriert haben, können Sie die Schritte 1 und 2 überspringen und mit Schritt 3 konfigurieren.

Konfigurieren eines virtuellen Proxyservers für den Internetverkehr

Die Citrix SWG-Appliance unterstützt transparente und explizite virtuelle Proxyserver. Gehen Sie folgendermaßen vor, um einen virtuellen Proxyserver für den Internetverkehr im expliziten Modus zu konfigurieren:

1. Fügen Sie einen virtuellen SSL-Proxyserver hinzu.
2. Binden Sie eine Responderrichtlinie an den virtuellen Proxyserver.

So fügen Sie mit der Citrix SWG-CLI einen virtuellen Proxyserver hinzu:

Geben Sie an der Eingabeaufforderung Folgendes ein:

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

Beispiel:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

So binden Sie eine Responderrichtlinie mit der Citrix SWG-CLI an einen virtuellen Proxyserver:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Hinweis

Wenn Sie den SSL-Interceptor bereits als Teil der Citrix SWG-Konfiguration konfiguriert haben, können Sie das folgende Verfahren überspringen.

Konfigurieren der SSL-Interception für HTTPS-Datenverkehr

Gehen Sie folgendermaßen vor, um SSL-Interception für HTTPS-Datenverkehr zu konfigurieren:

1. Binden Sie ein Zertifizierungsstellen-Schlüsselpaar an den virtuellen Proxyserver.
2. Aktivieren Sie das standardmäßige SSL-Profil.
3. Erstellen Sie ein Front-End-SSL-Profil, binden Sie es an den virtuellen Proxyserver und aktivieren Sie SSL-Interception im Front-End-SSL-Profil.

So binden Sie mit der Citrix SWG-CLI ein Zertifizierungsstellen-Schlüsselpaar an den virtuellen Proxyserver:

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

So konfigurieren Sie ein Front-End-SSL-Profil mit der Citrix SWG-CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

So binden Sie ein Front-End-SSL-Profil mit der Citrix SWG-CLI an einen virtuellen Proxyserver

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

Konfigurieren einer URL-Liste durch Importieren eines URL-Sets für HTTP-Datenverkehr

Hinweise zum Konfigurieren eines URL-Sets für HTTP-Datenverkehr finden Sie unterURL-Satz.

Explizite Subdomain-Übereinstimmung durchführen

Sie können jetzt eine explizite Subdomain-Übereinstimmung für einen importierten URL-Satz durchführen. Dazu wird dem Befehl import policy URLset ein neuer Parameter subdomainExactMatch hinzugefügt.

Wenn Sie den Parameter aktivieren, führt der URL-Filteralgorithmus eine explizite Subdomain-Übereinstimmung aus. Wenn beispielsweise die eingehende URL news.example.com ist und der Eintrag im URL-Satz, example.comerkennt der Algorithmus die URLs nicht als übereinstimmend.

Geben Sie an der Eingabeaufforderung Folgendes ein: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Beispiel import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Konfigurieren eines URL-Sets für HTTPS-Datenverkehr

So konfigurieren Sie einen URL-Satz für HTTPS-Datenverkehr mit der Citrix SWG-CLI

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

Beispiel:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

So konfigurieren Sie einen URL-Satz für HTTPS-Datenverkehr mit dem Citrix SWG-Assistenten

Citrix empfiehlt, dass Sie den Citrix SWG-Assistenten als bevorzugte Option zum Konfigurieren einer URL-Liste verwenden. Verwenden Sie den Assistenten, um einen benutzerdefinierten URL-Satz zu importieren und an eine Responderrichtlinie zu binden.

1. Melden Sie sich bei der Citrix SWG-Appliance an und navigieren Sie zu Secured Web Gateway > URL-Filter > URL-Listen.
2. Klicken Sie im Detailbereich auf Hinzufügen.
3. Geben Sie auf der Seite URL-Listenrichtlinie den Richtliniennamen an.
4. Wählen Sie eine Option aus, um einen URL-Satz zu importieren.
5. Aktivieren Sie auf der Registerkarte URL-Listenrichtlinie das Kontrollkästchen URL-Satz importieren, und geben Sie die folgenden URL-Set-Parameter an.
   1. URL-Set-Name — Name des benutzerdefinierten URL-Sets.
   2. URL: Die Webadresse des Standorts, an dem auf den URL-Satz zugegriffen werden soll.
   3. Überschreiben — Überschreiben Sie einen zuvor importierten URL-Satz.
   4. Trennzeichen: Eine Zeichenfolge, die einen CSV-Dateidatensatz begrenzt.
   5. Zeilentrenner — In der CSV-Datei verwendetes Zeilentrenner.
   6. Intervall — Intervall in Sekunden, abgerundet auf die nächste Anzahl von Sekunden, die 15 Minuten entspricht, bei der der URL-Satz aktualisiert wird.
   7. Private Set: Option, um das Exportieren des URL-Sets zu verhindern.
   8. Kanarische URL — Interne URL zum Testen, ob der Inhalt des URL-Sets vertraulich behandelt werden soll. Die maximale Länge der URL beträgt 2047 Zeichen.
6. Wählen Sie eine Responder-Aktion aus der Dropdownliste aus.
7. Klicken Sie auf Erstellen und Schließen.

Konfigurieren eines privaten URL-Sets

Wenn Sie einen privaten URL-Satz konfigurieren und den Inhalt vertraulich behandeln, kennt der Netzwerkadministrator möglicherweise die in der Sperrliste enthaltenen URLs nicht. In solchen Fällen können Sie eine Canary-URL konfigurieren und sie dem URL-Satz hinzufügen. Mit der Canary-URL kann der Administrator den privaten URL-Satz für jede Lookup-Anfrage anfordern. Beschreibungen der einzelnen Parameter finden Sie im Assistentenabschnitt.

So importieren Sie einen URL-Satz mit der Citrix SWG-CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

Beispiel:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

Importierte URL-Satz anzeigen

Sie können nun zusätzlich zu den hinzugefügten URL-Sets importierte URL-Sets anzeigen. Dazu wird dem Befehl show “urlset ein neuer Parameter “importiert hinzugefügt. Wenn Sie diese Option aktivieren, zeigt die Appliance alle importierten URL-Sets an und unterscheidet die importierten URL-Sets von den hinzugefügten URL-Sets.

Geben Sie an der Eingabeaufforderung Folgendes ein: show policy urlset [<name>] [-imported]

Beispiel show policy urlset -imported

Auditprotokoll-Messaging konfigurieren

Mit der Auditprotokollierung können Sie eine Bedingung oder eine Situation in einer beliebigen Phase des URL-Listenprozesses überprüfen. Wenn eine Citrix ADC-Appliance eine eingehende URL empfängt und die Responderrichtlinie über einen erweiterten Richtlinienausdruck URL-Sets verfügt, erfasst das Auditprotokoll-Feature URL-Set-Informationen in der URL und speichert die Details als Protokollnachricht für jedes Ziel, das durch die Auditprotokollierung zulässig ist.

1. Die Protokollmeldung enthält die folgenden Informationen:
2. Zeitstempel.
3. Protokollnachrichtentyp.
4. Die vordefinierten Protokollstufen (Critical, Error, Notice, Warning, Informational, Debug, Alert und Emergency).
5. Protokollieren von Nachrichteninformationen, wie URL-Set-Name, Richtlinienaktion, URL.

Um die Auditprotokollierung für URL-Listenfunktion zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

1. Auditprotokoll aktivieren.
2. Aktion “Auditprotokoll erstellen”
3. Legen Sie die Richtlinie für URL-Listen-Responder mit Auditprotokoll-Nachrichtenaktion fest.

Weitere Informationen finden Sie unter Auditprotokollierung.