Produktdokumentation
Citrix Secure Web Gateway
12.1
PDF anzeigen

URL-Liste

September 29, 2025
Beitrag von: 
C C

Die Funktion URL-Liste ermöglicht es Unternehmenskunden, den Zugriff auf bestimmte Websites und Website-Kategorien zu steuern. Die Funktion filtert Websites, indem sie eine Responder-Richtlinie anwendet, die an einen URL-Abgleichsalgorithmus gebunden ist. Der Algorithmus gleicht die eingehende URL mit einem URL-Set ab, das aus bis zu einer Million (1.000.000) Einträgen besteht. Wenn die eingehende URL-Anfrage mit einem Eintrag im Set übereinstimmt, verwendet die Appliance die Responder-Richtlinie, um die Anfrage (HTTP/HTTPS) zu bewerten und den Zugriff darauf zu steuern.

URL-Set-Typen

Jeder Eintrag in einem URL-Set kann eine URL und optional deren Metadaten (URL-Kategorie, Kategoriegruppen oder andere verwandte Daten) enthalten. Für URLs mit Metadaten verwendet die Appliance einen Richtlinienausdruck, der die Metadaten auswertet. Weitere Informationen finden Sie unter URL-Set.

Citrix® SWG unterstützt benutzerdefinierte URL-Sets. Sie können auch Mustersets verwenden, um URLs zu filtern.

Benutzerdefiniertes URL-Set. Sie können ein benutzerdefiniertes URL-Set mit bis zu 1.000.000 URL-Einträgen erstellen und es als Textdatei in Ihre Appliance importieren.

Musterset. Eine SWG-Appliance kann Mustersets verwenden, um URLs zu filtern, bevor der Zugriff auf Websites gewährt wird. Ein Musterset ist ein String-Matching-Algorithmus, der nach einer exakten String-Übereinstimmung zwischen einer eingehenden URL und bis zu 5000 Einträgen sucht. Weitere Informationen finden Sie unter Musterset.

Jede URL in einem importierten URL-Set kann eine benutzerdefinierte Kategorie in Form von URL-Metadaten haben. Ihre Organisation kann das Set hosten und die SWG-Appliance so konfigurieren, dass das Set regelmäßig aktualisiert wird, ohne dass ein manuelles Eingreifen erforderlich ist.

Nachdem das Set aktualisiert wurde, erkennt die Citrix ADC Appliance die Metadaten automatisch, und die Kategorie steht als Richtlinienausdruck zur Verfügung, um die URL zu bewerten und eine Aktion wie Zulassen, Blockieren, Umleiten oder den Benutzer benachrichtigen anzuwenden.

Erweiterte Richtlinienausdrücke, die mit URL-Sets verwendet werden

Die folgende Tabelle beschreibt die grundlegenden Ausdrücke, die Sie zur Bewertung des eingehenden Datenverkehrs verwenden können.

  1. .URLSET_MATCHES_ANY – Ergibt TRUE, wenn die URL exakt mit einem Eintrag im URL-Set übereinstimmt.
  2. .GET_URLSET_METADATA() – Der Ausdruck GET_URLSET_METADATA() gibt die zugehörigen Metadaten zurück, wenn die URL exakt mit einem Muster innerhalb des URL-Sets übereinstimmt. Ein leerer String wird zurückgegeben, wenn keine Übereinstimmung vorliegt.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() – Ergibt TRUE, wenn die übereinstimmenden Metadaten am Anfang der Kategorie stehen. Dieses Muster kann verwendet werden, um separate Felder innerhalb von Metadaten zu kodieren, aber nur das erste Feld abzugleichen.
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) – Verbindet die Host- und URL-Parameter, die dann für den Abgleich verwendet werden können.

Responder-Aktionstypen

Hinweis: In der Tabelle wird HTTP.REQ.URL als <URL expression> verallgemeinert.

Die folgende Tabelle beschreibt die Aktionen, die auf eingehenden Internetverkehr angewendet werden können.

Responder-Aktion Beschreibung
Zulassen Erlaubt der Anfrage den Zugriff auf die Ziel-URL.
Umleiten Leitet die Anfrage an die als Ziel angegebene URL um.
Blockieren Verweigert die Anfrage.

Voraussetzungen

Sie müssen einen DNS-Server konfigurieren, wenn Sie ein URL-Set von einer Hostnamen-URL importieren. Dies ist nicht erforderlich, wenn Sie eine IP-Adresse verwenden.

Geben Sie an der Eingabeaufforderung Folgendes ein:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Beispiel:

add dns nameServer 10.140.50.5

Eine URL-Liste konfigurieren

Um eine URL-Liste zu konfigurieren, können Sie den Citrix SWG-Assistenten oder die Citrix ADC-Befehlszeilenschnittstelle (CLI) verwenden. Auf der Citrix SWG-Appliance müssen Sie zuerst die Responder-Richtlinie konfigurieren und dann die Richtlinie an ein URL-Set binden.

Citrix empfiehlt die Verwendung des Citrix SWG-Assistenten als bevorzugte Option zur Konfiguration einer URL-Liste. Verwenden Sie den Assistenten, um eine Responder-Richtlinie an ein URL-Set zu binden. Alternativ können Sie die Richtlinie an ein Musterset binden.

Eine URL-Liste mit dem Citrix SWG-Assistenten konfigurieren

So konfigurieren Sie die URL-Liste für HTTPS-Verkehr mit der Citrix SWG-GUI:

  1. Melden Sie sich bei der Citrix SWG-Appliance an und navigieren Sie zur Seite Secured Web Gateway.
  2. Führen Sie im Detailbereich eine der folgenden Aktionen aus:
    1. Klicken Sie auf Secured Web Gateway Wizard, um eine neue SWG-Konfiguration mit der URL-Listenfunktion zu erstellen.
    2. Wählen Sie eine vorhandene Konfiguration aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie im Abschnitt URL Filtering auf Bearbeiten.
  4. Aktivieren Sie das Kontrollkästchen URL List, um die Funktion zu aktivieren.
  5. Wählen Sie eine URL List-Richtlinie aus und klicken Sie auf Binden.
  6. Klicken Sie auf Weiter und dann auf Fertig.

Weitere Informationen finden Sie unter How to Create a URL List Policy.

Eine URL-Liste mit der Citrix SWG CLI konfigurieren

Um eine URL-Liste zu konfigurieren, gehen Sie wie folgt vor.

  1. Konfigurieren Sie einen Proxy-Virtual-Server für HTTP- und HTTPS-Verkehr.
  2. Konfigurieren Sie die SSL-Interception für das Abfangen von HTTPS-Verkehr.
  3. Konfigurieren Sie eine URL-Liste, die ein URL-Set für HTTP-Verkehr enthält.
  4. Konfigurieren Sie eine URL-Liste, die ein URL-Set für HTTPS-Verkehr enthält.
  5. Konfigurieren Sie ein privates URL-Set.

Hinweis

Wenn Sie bereits eine SWG-Appliance konfiguriert haben, können Sie die Schritte 1 und 2 überspringen und mit Schritt 3 fortfahren.

Konfigurieren eines Proxy-Virtual-Servers für Internetverkehr

Die Citrix SWG-Appliance unterstützt transparente und explizite Proxy-Virtual-Server. Um einen Proxy-Virtual-Server für Internetverkehr im expliziten Modus zu konfigurieren, gehen Sie wie folgt vor:

  1. Fügen Sie einen Proxy-SSL-Virtual-Server hinzu.
  2. Binden Sie eine Responder-Richtlinie an den Proxy-Virtual-Server.

So fügen Sie einen Proxy-Virtual-Server mit der Citrix SWG CLI hinzu:

Geben Sie an der Eingabeaufforderung Folgendes ein:

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

Beispiel:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

So binden Sie eine Responder-Richtlinie an einen Proxy-Virtual-Server mit der Citrix SWG CLI:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Hinweis

Wenn Sie den SSL-Interceptor bereits als Teil der Citrix SWG-Konfiguration konfiguriert haben, können Sie das folgende Verfahren überspringen.

SSL-Interception für HTTPS-Verkehr konfigurieren

Um die SSL-Interception für HTTPS-Verkehr zu konfigurieren, gehen Sie wie folgt vor:

  1. Binden Sie ein CA-Zertifikat-Schlüsselpaar an den Proxy-Virtual-Server.
  2. Aktivieren Sie das Standard-SSL-Profil.
  3. Erstellen Sie ein Front-End-SSL-Profil und binden Sie es an den Proxy-Virtual-Server und aktivieren Sie die SSL-Interception im Front-End-SSL-Profil.

So binden Sie ein CA-Zertifikat-Schlüsselpaar an den Proxy-Virtual-Server mit der Citrix SWG CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

So konfigurieren Sie ein Front-End-SSL-Profil mit der Citrix SWG CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

So binden Sie ein Front-End-SSL-Profil an einen Proxy-Virtual-Server mit der Citrix SWG CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

Eine URL-Liste durch Importieren eines URL-Sets für HTTP-Verkehr konfigurieren

Informationen zum Konfigurieren eines URL-Sets für HTTP-Verkehr finden Sie unter URL-Set.

Expliziten Subdomain-Abgleich durchführen

Sie können jetzt einen expliziten Subdomain-Abgleich für ein importiertes URL-Set durchführen. Dazu wurde der Befehl import policy URLset um einen neuen Parameter, “subdomainExactMatch”, erweitert.

Wenn Sie den Parameter aktivieren, führt der URL-Filteralgorithmus einen expliziten Subdomain-Abgleich durch. Wenn beispielsweise die eingehende URL news.example.com lautet und der Eintrag im URL-Set example.com ist, gleicht der Algorithmus die URLs nicht ab.

Geben Sie an der Eingabeaufforderung Folgendes ein: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Beispiel import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Ein URL-Set für HTTPS-Verkehr konfigurieren

So konfigurieren Sie ein URL-Set für HTTPS-Verkehr mit der Citrix SWG CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

Beispiel:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

So konfigurieren Sie ein URL-Set für HTTPS-Verkehr mit dem Citrix SWG-Assistenten

Citrix empfiehlt die Verwendung des Citrix SWG-Assistenten als bevorzugte Option zur Konfiguration einer URL-Liste. Verwenden Sie den Assistenten, um ein benutzerdefiniertes URL-Set zu importieren und an eine Responder-Richtlinie zu binden.

  1. Melden Sie sich bei der Citrix SWG-Appliance an und navigieren Sie zu Secured Web Gateway > URL Filtering > URL Lists.
  2. Klicken Sie im Detailbereich auf Hinzufügen.
  3. Geben Sie auf der Seite URL List Policy den Richtliniennamen an.
  4. Wählen Sie eine Option zum Importieren eines URL-Sets.
  5. Aktivieren Sie auf der Registerkarte URL List Policy das Kontrollkästchen Import URL Set und geben Sie die folgenden URL-Set-Parameter an.
    1. URL Set Name – Name des benutzerdefinierten URL-Sets.
    2. URL – Webadresse des Speicherorts, an dem auf das URL-Set zugegriffen werden soll.
    3. Overwrite – Überschreibt ein zuvor importiertes URL-Set.
    4. Delimiter – Zeichenfolge, die einen CSV-Dateidatensatz trennt.
    5. Row Separator – Zeilentrennzeichen, das in der CSV-Datei verwendet wird.
    6. Interval – Intervall in Sekunden, auf die nächste Viertelstunde gerundet, in dem das URL-Set aktualisiert wird.
    7. Private Set – Option, um den Export des URL-Sets zu verhindern.
    8. Canary URL – Interne URL zum Testen, ob der Inhalt des URL-Sets vertraulich behandelt werden soll. Die maximale Länge der URL beträgt 2047 Zeichen.
  6. Wählen Sie eine Responder-Aktion aus der Dropdown-Liste aus.
  7. Klicken Sie auf Erstellen und Schließen.

Ein privates URL-Set konfigurieren

Wenn Sie ein privates URL-Set konfigurieren und dessen Inhalte vertraulich behandeln, kennt der Netzwerkadministrator möglicherweise die auf der Blacklist stehenden URLs im Set nicht. Für solche Fälle können Sie eine Canary-URL konfigurieren und diese dem URL-Set hinzufügen. Mithilfe der Canary-URL kann der Administrator anfordern, dass das private URL-Set für jede Suchanfrage verwendet wird. Beschreibungen der einzelnen Parameter finden Sie im Assistentenabschnitt.

So importieren Sie ein URL-Set mit der Citrix SWG CLI:

Geben Sie an der Eingabeaufforderung Folgendes ein:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

Beispiel:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

Importiertes URL-Set anzeigen

Sie können jetzt importierte URL-Sets zusätzlich zu hinzugefügten URL-Sets anzeigen. Dazu wurde der Befehl “show urlset” um einen neuen Parameter “imported” erweitert. Wenn Sie diese Option aktivieren, zeigt die Appliance alle importierten URL-Sets an und unterscheidet die importierten URL-Sets von den hinzugefügten URL-Sets.

Geben Sie an der Eingabeaufforderung Folgendes ein: show policy urlset [<name>] [-imported]

Beispiel show policy urlset -imported

Audit-Log-Nachrichten konfigurieren

Die Audit-Protokollierung ermöglicht es Ihnen, eine Bedingung oder Situation in jeder Phase des URL-Listenprozesses zu überprüfen. Wenn eine Citrix ADC-Appliance eine eingehende URL empfängt und die Responder-Richtlinie einen erweiterten URL-Set-Richtlinienausdruck enthält, sammelt die Audit-Log-Funktion URL-Set-Informationen in der URL und speichert die Details als Protokollnachricht für jedes Ziel, das von der Audit-Protokollierung zugelassen wird.

  1. Die Protokollnachricht enthält die folgenden Informationen:
  2. Zeitstempel.
  3. Typ der Protokollnachricht.
  4. Die vordefinierten Protokollebenen (Kritisch, Fehler, Hinweis, Warnung, Information, Debug, Alarm und Notfall).
  5. Informationen zur Protokollnachricht, wie URLset-Name, Richtlinienaktion, URL.

Um die Audit-Protokollierung für die URL-Listenfunktion zu konfigurieren, müssen Sie die folgenden Aufgaben ausführen:

  1. Audit-Protokoll aktivieren.
  2. Audit-Log-Nachrichtenaktion erstellen.
  3. URL-Listen-Responder-Richtlinie mit Audit-Log-Nachrichtenaktion festlegen.

Weitere Informationen finden Sie im Thema Audit Logging.

URL-Liste
September 29, 2025
Beitrag von: 
C C
September 29, 2025
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.