Lista de URL

La función Lista de URL permite a los clientes empresariales controlar el acceso a sitios web y categorías de sitios web específicos. La función filtra los sitios web aplicando una política de respondedor vinculada a un algoritmo de coincidencia de URL. El algoritmo compara la URL entrante con un conjunto de URL que consta de hasta un millón (1.000.000) de entradas. Si la solicitud de URL entrante coincide con una entrada del conjunto, el dispositivo utiliza la política de respondedor para evaluar la solicitud (HTTP/HTTPS) y controlar el acceso a ella.

Tipos de conjuntos de URL

Cada entrada de un conjunto de URL puede incluir una URL y, opcionalmente, sus metadatos (categoría de URL, grupos de categorías o cualquier otro dato relacionado). Para las URL con metadatos, el dispositivo utiliza una expresión de política que evalúa los metadatos. Para obtener más información, consulta Conjunto de URL.

Citrix® SWG admite conjuntos de URL personalizados. También puedes usar conjuntos de patrones para filtrar URL.

Conjunto de URL personalizado. Puedes crear un conjunto de URL personalizado con hasta 1.000.000 de entradas de URL e importarlo como un archivo de texto a tu dispositivo.

Conjunto de patrones. Un dispositivo SWG puede usar conjuntos de patrones para filtrar URL antes de conceder acceso a los sitios web. Un conjunto de patrones es un algoritmo de coincidencia de cadenas que busca una coincidencia exacta de cadenas entre una URL entrante y hasta 5000 entradas. Para obtener más información, consulta Conjunto de patrones.

Cada URL de un conjunto de URL importado puede tener una categoría personalizada en forma de metadatos de URL. Tu organización puede alojar el conjunto y configurar el dispositivo SWG para actualizarlo periódicamente sin necesidad de intervención manual.

Una vez actualizado el conjunto, el dispositivo Citrix ADC detecta automáticamente los metadatos y la categoría está disponible como expresión de política para evaluar la URL y aplicar una acción como permitir, bloquear, redirigir o notificar al usuario.

Expresiones de política avanzadas utilizadas con conjuntos de URL

La siguiente tabla describe las expresiones básicas que puedes usar para evaluar el tráfico entrante.

1. .URLSET_MATCHES_ANY - Se evalúa como TRUE si la URL coincide exactamente con cualquier entrada del conjunto de URL.
2. .GET_URLSET_METADATA() - La expresión GET_URLSET_METADATA() devuelve los metadatos asociados si la URL coincide exactamente con cualquier patrón dentro del conjunto de URL. Se devuelve una cadena vacía si no hay coincidencia.
3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() - Se evalúa como TRUE si los metadatos coincidentes están al principio de la categoría. Este patrón se puede usar para codificar campos separados dentro de los metadatos, pero solo coincide con el primer campo.
5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - Une los parámetros de host y URL, que luego se pueden usar para la coincidencia.

Tipos de acciones del respondedor

Nota: En la tabla, HTTP.REQ.URL se generaliza como <URL expression>.

La siguiente tabla describe las acciones que se pueden aplicar al tráfico de Internet entrante.

Requisitos previos

Debes configurar un servidor DNS si importas un conjunto de URL desde una URL de nombre de host. Esto no es necesario si usas una dirección IP.

En el símbolo del sistema, escribe:

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Ejemplo:

add dns nameServer 10.140.50.5

Configurar una lista de URL

Para configurar una lista de URL, puedes usar el asistente de Citrix SWG o la interfaz de línea de comandos (CLI) de Citrix ADC. En el dispositivo Citrix SWG, primero debes configurar la política de respondedor y luego vincular la política a un conjunto de URL.

Citrix recomienda que uses el Asistente de Citrix SWG como la opción preferida para configurar una lista de URL. Usa el asistente para vincular una política de respondedor a un conjunto de URL. Alternativamente, puedes vincular la política a un conjunto de patrones.

Configurar una lista de URL usando el asistente de Citrix SWG

Para configurar la Lista de URL para el tráfico HTTPS usando la GUI de Citrix SWG:

1. Inicia sesión en el dispositivo Citrix SWG y navega a la página Secured Web Gateway.
2. En el panel de detalles, haz una de las siguientes acciones:
   1. Haz clic en Secured Web Gateway Wizard para crear una nueva configuración de SWG con la función Lista de URL.
   2. Selecciona una configuración existente y haz clic en Editar.
3. En la sección URL Filtering, haz clic en Editar.
4. Selecciona la casilla de verificación URL List para habilitar la función.
5. Selecciona una política de URL List y haz clic en Vincular.
6. Haz clic en Continuar y luego en Listo.

Para obtener más información, consulta Cómo crear una política de lista de URL.

Configurar una lista de URL usando la CLI de Citrix SWG

Para configurar una lista de URL, haz lo siguiente.

1. Configura un servidor virtual proxy para el tráfico HTTP y HTTPS.
2. Configura la intercepción SSL para interceptar el tráfico HTTPS.
3. Configura una lista de URL que contenga un conjunto de URL para el tráfico HTTP.
4. Configura una lista de URL que contenga un conjunto de URL para el tráfico HTTPS.
5. Configura un conjunto de URL privado.

Nota

Si ya has configurado un dispositivo SWG, puedes omitir los pasos 1 y 2, y configurar con el paso 3.

Configurar un servidor virtual proxy para el tráfico de Internet

El dispositivo Citrix SWG admite servidores virtuales proxy transparentes y explícitos. Para configurar un servidor virtual proxy para el tráfico de Internet en modo explícito, haz lo siguiente:

1. Agrega un servidor virtual SSL proxy.
2. Vincula una política de respondedor al servidor virtual proxy.

Para agregar un servidor virtual proxy usando la CLI de Citrix SWG:

En el símbolo del sistema, escribe:

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

Ejemplo:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

Para vincular una política de respondedor a un servidor virtual proxy usando la CLI de Citrix SWG:

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Nota

Si ya has configurado el interceptor SSL como parte de la configuración de Citrix SWG, puedes omitir el siguiente procedimiento.

Configurar la intercepción SSL para el tráfico HTTPS

Para configurar la intercepción SSL para el tráfico HTTPS, haz lo siguiente:

1. Vincula un par de clave-certificado de CA al servidor virtual proxy.
2. Habilita el perfil SSL predeterminado.
3. Crea un perfil SSL de front-end y vincúlalo al servidor virtual proxy y habilita la intercepción SSL en el perfil SSL de front-end.

Para vincular un par de clave-certificado de CA al servidor virtual proxy usando la CLI de Citrix SWG:

En el símbolo del sistema, escribe:

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

Para configurar un perfil SSL de front-end usando la CLI de Citrix SWG:

En el símbolo del sistema, escribe:

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

Para vincular un perfil SSL de front-end a un servidor virtual proxy usando la CLI de Citrix SWG:

En el símbolo del sistema, escribe:

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

Configurar una lista de URL importando un conjunto de URL para el tráfico HTTP

Para obtener información sobre cómo configurar un conjunto de URL para el tráfico HTTP, consulta Conjunto de URL.

Realizar una coincidencia explícita de subdominios

Ahora puedes realizar una coincidencia explícita de subdominios para un conjunto de URL importado. Para ello, se agrega un nuevo parámetro, “subdomainExactMatch”, al comando import policy URLset.

Cuando habilitas el parámetro, el algoritmo de filtrado de URL realiza una coincidencia exacta de subdominios. Por ejemplo, si la URL entrante es news.example.com y la entrada en el conjunto de URL es example.com, el algoritmo no coincide con las URL.

En el símbolo del sistema, escribe: import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Ejemplo import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Configurar un conjunto de URL para el tráfico HTTPS

Para configurar un conjunto de URL para el tráfico HTTPS usando la CLI de Citrix SWG:

En el símbolo del sistema, escribe:

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

Ejemplo:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

Para configurar un conjunto de URL para el tráfico HTTPS usando el asistente de Citrix SWG

Citrix recomienda que uses el asistente de Citrix SWG como la opción preferida para configurar una lista de URL. Usa el asistente para importar un conjunto de URL personalizado y vincularlo a una política de respondedor.

1. Inicia sesión en el dispositivo Citrix SWG y navega a Secured Web Gateway > URL Filtering > URL Lists.
2. En el panel de detalles, haz clic en Agregar.
3. En la página URL List Policy, especifica el nombre de la política.
4. Selecciona una opción para importar un conjunto de URL.
5. En la página de la ficha URL List Policy, selecciona la casilla de verificación Import URL Set y especifica los siguientes parámetros del conjunto de URL.
   1. Nombre del conjunto de URL: Nombre del conjunto de URL personalizado.
   2. URL: Dirección web de la ubicación donde se accede al conjunto de URL.
   3. Sobrescribir: Sobrescribe un conjunto de URL importado previamente.
   4. Delimitador: Secuencia de caracteres que delimita un registro de archivo CSV.
   5. Separador de filas: Separador de filas utilizado en el archivo CSV.
   6. Intervalo: Intervalo en segundos, redondeado al número de segundos más cercano igual a 15 minutos, en el que se actualiza el conjunto de URL.
   7. Conjunto privado: Opción para evitar la exportación del conjunto de URL.
   8. URL Canary: URL interna para probar si el contenido del conjunto de URL debe mantenerse confidencial. La longitud máxima de la URL es de 2047 caracteres.
6. Selecciona una acción de respondedor de la lista desplegable.
7. Haz clic en Crear y Cerrar.

Configurar un conjunto de URL privado

Si configuras un conjunto de URL privado y mantienes su contenido confidencial, es posible que el administrador de red no conozca las URL en la lista negra del conjunto. Para estos casos, puedes configurar una URL Canary y agregarla al conjunto de URL. Usando la URL Canary, el administrador puede solicitar que el conjunto de URL privado se use para cada solicitud de búsqueda. Puedes consultar la sección del asistente para obtener descripciones de cada parámetro.

Para importar un conjunto de URL usando la CLI de Citrix SWG:

En el símbolo del sistema, escribe:

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

Ejemplo:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

Mostrar conjunto de URL importado

Ahora puedes mostrar conjuntos de URL importados además de los conjuntos de URL agregados. Para ello, se agrega un nuevo parámetro “imported” al comando “show urlset”. Si habilitas esta opción, el dispositivo muestra todos los conjuntos de URL importados y distingue los conjuntos de URL importados de los conjuntos de URL agregados.

En el símbolo del sistema, escribe: show policy urlset [<name>] [-imported]

Ejemplo show policy urlset -imported

Configurar mensajes de registro de auditoría

El registro de auditoría te permite revisar una condición o una situación en cualquier fase del proceso de la Lista de URL. Cuando un dispositivo Citrix ADC recibe una URL entrante, si la política de respondedor tiene una expresión de política avanzada de conjunto de URL, la función de registro de auditoría recopila información del conjunto de URL en la URL y almacena los detalles como un mensaje de registro para cualquier destino permitido por el registro de auditoría.

1. El mensaje de registro contiene la siguiente información:
2. Marca de tiempo.
3. Tipo de mensaje de registro.
4. Los niveles de registro predefinidos (Crítico, Error, Aviso, Advertencia, Informativo, Depuración, Alerta y Emergencia).
5. Información del mensaje de registro, como el nombre del conjunto de URL, la acción de la política, la URL.

Para configurar el registro de auditoría para la función Lista de URL, debes completar las siguientes tareas:

1. Habilitar el registro de auditoría.
2. Crear una acción de mensaje de registro de auditoría.
3. Establecer la política de respondedor de la Lista de URL con la acción de mensaje de registro de auditoría.

Para obtener más información, consulta el tema Registro de auditoría.