Catégorisation d’URL

La catégorisation des URL limite l’accès des utilisateurs à des sites Web et à des catégories de sites Web spécifiques. En tant que service abonné en collaboration avec NetSTAR, la fonctionnalité permet aux clients d’entreprise de filtrer le trafic Web à l’aide d’une base de données de catégorisation commerciale. La NetSTAR base de données contient un grand nombre (milliards) d’URL classées en différentes catégories, telles que les réseaux sociaux, les jeux d’argent, le contenu pour adultes, les nouveaux médias et les achats. En plus de la catégorisation, chaque URL a un score de réputation tenu à jour en fonction du profil de risque historique du site. Nous pouvons utiliser NetSTAR les données pour filtrer le trafic en configurant des politiques avancées basées sur des catégories, des groupes de catégories (tels que Terrorisme, Drogues illégales) ou des scores de réputation de site.

Par exemple, vous pouvez bloquer l’accès à des sites dangereux, tels que les sites infectés par des logiciels malveillants, ou restreindre sélectivement l’accès au contenu pour adultes ou aux médias de divertissement en streaming.

Fonctionnement de la catégorisation d’URL

La figure suivante montre comment le service de filtrage d’URL Citrix ADC est intégré à une base de données de catégorisation d’URL commerciale et aux services cloud pour les mises à jour fréquentes.

Les composants interagissent comme suit :

1. Le client envoie une demande d’URL liée à Internet.
2. Une stratégie Citrix ADC tente d’évaluer la demande en termes de détails de catégorisation (catégorie, groupe de catégories et score de réputation de site, par exemple) extraits de la base de données de catégorisation d’URL. Si la base de données renvoie les détails de la catégorie, le processus passe à l’étape 5.
3. Si la base de données ne renvoie pas les détails de catégorisation, la demande est envoyée à un service de recherche basé sur un nuage géré par un fournisseur de catégorisation d’URL. Toutefois, l’appliance n’attend pas de réponse. Au lieu de cela, il marque l’URL comme Non classé et passe à l’étape 5. Toutefois, il continue de surveiller les commentaires des requêtes dans le nuage et l’utilise pour mettre à jour le cache afin que les futures demandes puissent bénéficier de la recherche dans le nuage.
4. L’appliance Citrix ADC reçoit les détails de la catégorie d’URL (catégorie, groupe de catégories et score de réputation) du service basé sur un nuage et les stocke dans le cache du nuage.
5. Si la stratégie autorise l’URL, la demande est envoyée au serveur d’origine. Sinon, l’appliance supprime ou redirige la demande, ou répond avec une page HTML personnalisée.
6. Le serveur d’origine répond avec les données demandées à l’appliance Citrix ADC.
7. L’appliance envoie la réponse au client.

Vous pouvez utiliser la fonctionnalité de filtrage d’URL pour détecter les sites qui enfreignent les mandats d’utilisation d’Internet sécurisés émis par le gouvernement et mettre en œuvre des stratégies pour bloquer ces sites. Sites qui hébergent du contenu pour adultes, des médias en streaming ou des réseaux sociaux identifiés comme dangereux pour les enfants ou interdits comme illégaux.

Conditions préalables

La fonctionnalité fonctionne sur les plates-formes Telco avec l’achat d’une licence CBM de base et d’une licence CBM Premium et pour d’autres plates-formes Citrix ADC, la fonctionnalité fonctionne avec l’achat d’une licence CNS Premium.

Remarque : en plus d’une licence CBM Basic et d’une licence CBM Premium, l’appliance doit posséder une licence URL Threat Intelligence avec un service d’abonnement pendant 1 an ou 3 ans. Avant d’activer et de configurer la fonctionnalité, vous devez installer les licences suivantes :

Prise en charge des licences pour les plates-formes Telco :

• CBM_TXXX_SERVER_Retail.lic
• CBM_TPRE_Server_Retail.lic
• CNS_Webf_SServer_Retail.lic

Où XXX est le débit, par exemple Citrix ADC T1000.

Prise en charge des licences pour d’autres plates-formes Citrix ADC :

• CNS_XXX_Server_PLT_Retail.lic

Où XXX est le débit.

Expressions de stratégie de catégorisation d’URL

Le tableau suivant répertorie les différentes expressions de stratégie de catégorisation d’URL permettant d’identifier les URL entrantes et applique une action configurée.

Exemples d’expressions de stratégie

Actions de stratégie de catégorisation d’URL

Une stratégie de filtrage d’URL évalue le trafic pour identifier les demandes appartenant à une catégorie particulière. Le tableau suivant répertorie les actions que vous pouvez affecter à une stratégie de filtrage d’URL.

Remarque

Pour le trafic chiffré, la stratégie VideoOptimization inclut des actions qui implémentent les actions de filtrage d’URL.

Configuration de la catégorisation d’URL

Pour configurer la catégorisation d’URL, commencez par activer la fonction de filtrage d’URL. Vous devez ensuite configurer les limites de mémoire cache, la stratégie de catégorisation et les serveurs virtuels pour le trafic HTTP et HTTPS. Configuration de la catégorisation d’URL à l’aide de l’interface de ligne de commande.

Pour utiliser la catégorisation d’URL de configuration de l’interface de ligne de commande sur une appliance Citrix ADC, procédez comme suit :

• Configurez la catégorisation des URL.
  • Activez la fonction de filtrage d’URL.
  • Configurez la mémoire partagée pour limiter la mémoire cache.
  • Configurez les paramètres de catégorisation d’URL.
• Configurez la catégorisation d’URL pour le trafic HTTP.
  • Ajouter des actions de catégorisation d’URL.
  • Ajouter des stratégies de catégorisation d’URL.
  • Ajoutez un serveur virtuel d’équilibrage de charge pour le trafic HTTP.
  • Liez les stratégies de catégorisation d’URL au serveur virtuel d’équilibrage de charge.
• Configurez la catégorisation d’URL pour le trafic HTTPS.
  • Ajouter des stratégies de catégorisation d’URL.
  • Ajouter un serveur virtuel d’équilibrage de charge SSL Bridge.
  • Liez les stratégies de catégorisation d’URL au serveur virtuel d’équilibrage de charge.

Configuration de la catégorisation d’URL

Pour configurer la fonctionnalité, vous devez activer la fonction de catégorisation d’URL, configurer les paramètres de filtrage et définir la limite de mémoire partagée.

Pour activer la fonction de filtrage d’URL

À l’invite de commandes, tapez :

enable ns feature URLFiltering VideoOptimization Responder IC SSL AppFlow

Pour configurer la limite de mémoire partagée

À l’invite de commandes, tapez :

set cache parameter [-memLimit <megaBytes>]
<!--NeedCopy-->

Où MemLimit est la limite de mémoire pour la mise en cache.

Exemple :

set cache parameter -memLimit 10

Pour configurer les paramètres de catégorisation d’URL

À l’invite de commandes, tapez :

set urlfiltering parameter [-HoursBetweenDBUpdates <positive_integer>] [-TimeOfDayToUpdateDB <HH:MM>]
<!--NeedCopy-->

*Exemple :

set urlfiltering parameter -HoursBetweenDBUpdates 3 -TimeOfDayToUpdateDB 03:00

Configuration de la catégorisation d’URL pour le trafic HTTP

Pour configurer la fonction de catégorisation d’URL pour le trafic HTTP, vous devez configurer un serveur virtuel d’équilibrage de chargement, ajouter des stratégies de catégorisation d’URL et lier les stratégies au serveur virtuel. Ce faisant, le serveur virtuel reçoit le trafic HTTP et, en fonction de l’évaluation des stratégies, le système attribue une action de filtrage.

Pour ajouter une action de catégorisation d’URL pour le trafic HTTP

À l’invite de commandes, tapez :

add responder action <name> <type> (<target> | <htmlpage>) [-comment <string>] [-responseStatusCode <positive_integer>] [-reasonPhrase <string>]

Exemple :

add responder action act_url_categorize respondwith "\"HTTP/1.1 200 OK\r\n\r\n\" + HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).CATEGORY + \"\n\""

Pour ajouter une stratégie de catégorisation d’URL pour le trafic HTTP

À l’invite de commandes, tapez :

add responder policy <name> <rule> <action> [<undefAction>] [-comment <string>] [-logAction <string>] [-appflowAction <string>]

Exemple :

add responder policy pol_url_categorize_http "HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).GROUP.EQ(\"Adult\") || HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL).URL_CATEGORIZE(0,0).GROUP.EQ(\"Gambling\")" RESET

Pour ajouter un serveur virtuel d’équilibrage de charge HTTP

Si un serveur virtuel pour le trafic HTTP n’est pas déjà configuré, à l’invite de commandes, tapez :

add lb vserver <name> [-td <positive_integer>] <serviceType> [-clt Timeout <secs>]

Exemple :

add lb vserver vsrv-HTTP HTTP * 80 -persistenceType NONE -cltTimeout 120

Pour lier une stratégie de catégorisation d’URL avec un serveur virtuel d’équilibrage de charge

À l’invite de commandes, tapez :

bind lb vserver <name> -policyName <string> [-priority <positive_integer>]

Exemple :

bind lb vserver vsrv-HTTP -policyName pol_url_categorize_http -priority 10 -gotoPriorityExpression END -type REQUEST

Configuration de la catégorisation d’URL pour le trafic HTTPS

Pour configurer la fonction de catégorisation d’URL pour le trafic HTTPS, vous devez configurer un serveur virtuel d’équilibrage de chargement SSL, ajouter des stratégies de catégorisation d’URL et lier les stratégies au serveur virtuel de pont SSL. Ce faisant, le serveur reçoit le trafic HTTPS et, en fonction de l’évaluation de la stratégie, le système attribue une action de filtrage.

Pour ajouter une stratégie de catégorisation d’URL pour le trafic HTTPS

À l’invite de commandes, tapez :

add videooptimization detectionpolicy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>] [-logAction <string>]

Exemple :

add videooptimization detectionpolicy pol_url_categorize_https_block_adult –rule "CLIENT.SSL.DETECTED_DOMAIN.URL_CATEGORIZE(0,0).CATEGORY.EQ("Adult")' –action RESET

Pour ajouter un serveur virtuel d’équilibrage de charge SSL pont

À l’invite de commandes, tapez :

add lb vserver <name> [-td <positive_integer>] <serviceType> [-cltT imeout <secs>]

Exemple :

add lb vserver vsrv-HTTPS SSL_BRIDGE * 443 -persistenceType NONE -cltTimeout 180

Pour lier une stratégie de catégorisation avec un serveur virtuel SSL Bridge

À l’invite de commandes, tapez :

bind lb vserver <name> -policyName <string> [-priority <positive_integer>]

Exemple :

bind lb vserver vsrv-HTTPS -policyName pol_url_categorize_https_block_adult -priority 20 -type REQUEST

Configuration de la catégorisation d’URL à l’aide de l’interface graphique

L’interface graphique vous permet de :

• Activez la fonction de catégorisation d’URL.
• Ajouter des actions de catégorisation d’URL pour le trafic HTTP.
• Ajouter des stratégies de catégorisation d’URL pour le trafic HTTP.
• Ajouter des stratégies de catégorisation d’URL pour le trafic HTTPS.
• Ajoutez un serveur virtuel d’équilibrage de charge pour le trafic HTTP.
• Ajoutez un serveur virtuel d’équilibrage de charge de pont SSL pour le trafic HTTPS.
• Liez les stratégies de catégorisation d’URL au serveur virtuel d’équilibrage de charge.
• Liez les stratégies de catégorisation d’URL au serveur virtuel d’équilibrage de charge SSL Bridge.
• Configurez la limite de mémoire partagée.
• Configurez les paramètres de catégorisation d’URL.

Pour activer la catégorisation d’URL

1. Dans le volet de navigation, développez Système, puis cliquez sur Paramètres .
2. Dans la page Paramètres, cliquez sur le lien Configurer les fonctionnalités avancées .
3. Dans la page Configurer les fonctionnalités avancées, activez la case à cocher Filtrage d’URL .
4. Cliquez sur OK et Fermer.

Pour ajouter une action de catégorisation d’URL

1. Dans le volet de navigation, développez AppExpert > Répondeur > Action .
2. Dans le volet d’informations, cliquez sur Ajouter.
3. Dans la page Créer une action de répondeur, définissez les paramètres suivants.
   1. Nom. Nom de l’action de stratégie de catégorisation d’URL.
   2. Type. Sélectionnez un type d’action.
   3. Expression. Utilisez l’éditeur d’expressions pour créer l’expression de stratégie.
   4. Commentaires. Une brève description de l’action de stratégie.
4. Cliquez sur Créer et Fermer.

Pour ajouter une stratégie de catégorisation d’URL pour le trafic HTTP

1. Dans le volet de navigation, développez AppExpert > Répondeur > Stratégies.
2. Dans le volet d’informations, cliquez sur Ajouter.
3. Dans la page Créer une stratégie de répondeur, définissez les paramètres suivants.
   1. Nom. Nom de l’action de stratégie de catégorisation d’URL.
   2. Action : Sélectionnez l’action de catégorisation d’URL que vous préférez associer à la stratégie.
   3. Actions de journalisation. Sélectionnez l’action du journal.
   4. AppFlow. Sélectionnez une action AppFlow.
   5. Expression. Utilisez l’éditeur d’expressions pour créer l’expression de stratégie.
   6. Commentaires. Une brève description sur l’action de stratégie.
4. Cliquez sur Créer et Fermer.

Pour ajouter une stratégie de catégorisation pour le trafic HTTPS

1. Ouvrez une session sur l’appliance Citrix ADC et accédez à Configuration > Optimisation > Optimisation vidéo > Détection.
2. Dans la page Détection, cliquez sur le lien Stratégies de détection d’optimisation vidéo.
3. Dans la page Stratégies de détection d’optimisation vidéo, cliquez sur Ajouter.
4. Dans la page Créer une stratégie de détection d’optimisation vidéo, définissez les paramètres suivants.
   1. Nom. Nom de la stratégie d’optimisation
   2. Expression. Configurez la stratégie à l’aide d’expressions personnalisées.
   3. Action : Action d’optimisation associée à la stratégie pour gérer le trafic vidéo entrant.
   4. Action de l’UNDEF. Événement non défini si la demande entrante ne correspond pas à la stratégie d’optimisation.
   5. Commentaire. Une brève description de la stratégie.
   6. Action de journalisation. Sélectionnez une action du journal d’audit qui spécifie l’action à effectuer pour les messages du journal.
5. Cliquez sur Créer et Fermer.

Pour ajouter un serveur virtuel d’équilibrage de charge pour le trafic HTTP

1. Accédez à la page Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
2. Dans le volet d’informations, cliquez sur Ajouter.
3. Dans la page Serveur virtuel d’équilibrage de charge, définissez les paramètres suivants :
   1. Nom. Nom du serveur virtuel d’équilibrage de charge.
   2. Protocole. Choisissez le type de protocole comme HTTP.
   3. Type d’adresse IP. IPv4 ou IPv6.
   4. Adresse IP. IPv4 ou IPv6, adresse VIP attribuée au serveur virtuel.
   5. Port. Numéro de port du serveur virtuel.
4. Cliquez sur OK pour poursuivre la configuration des autres paramètres facultatifs.
5. Cliquez sur Créer et Fermer.

Pour ajouter un serveur virtuel d’équilibrage de charge SSL pont

1. Accédez à la page Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
2. Dans le volet d’informations, cliquez sur Ajouter.
3. Dans la page Serveur virtuel d’équilibrage de charge, définissez les paramètres suivants :
   1. Nom. Nom du serveur virtuel d’équilibrage de charge.
   2. Protocole. Sélectionnez le type de protocole comme pont SSL.
   3. Type d’adresse IP. Type adressable IP.
   4. Adresse IP. Adresse IP 4 ou IP6 attribuée au serveur virtuel.
   5. Port. Numéro de port du serveur virtuel.
4. Cliquez sur OK pour continuer la configuration d’autres paramètres facultatifs.
5. Cliquez sur Créer, puis sur Fermer.

Pour lier une stratégie de catégorisation d’URL au serveur virtuel d’équilibrage de charge HTTP

1. Accédez à la page Gestion du trafic > Équilibrage de charge > Serveurs virtuels .
2. Dans le volet d’informations, sélectionnez le serveur virtuel d’équilibrage de charge et cliquez sur Modifier.
3. Dans la section Paramètres avancés, cliquez sur Stratégies.
4. Dans la section Stratégies, cliquez sur l’icône + pour accéder au curseur Stratégies.
5. Définissez les paramètres suivants.
   1. Choisissez Policy. Sélectionnez la stratégie de catégorisation d’URL dans la liste déroulante.
   2. Choisissez Type. Sélectionnez le type de stratégie en tant que Demande.
6. Cliquez sur Continuer.
7. Sélectionnez la stratégie de catégorisation d’URL dans la liste et cliquez sur Fermer.

Pour lier une stratégie de catégorisation au serveur virtuel d’équilibrage de charge SSL pont

1. Accédez à l’écran Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
2. Dans le volet d’informations, sélectionnez le serveur virtuel d’équilibrage de charge SSL Bridge et cliquez sur Modifier.
3. Dans la section Paramètres avancés, cliquez sur Stratégies.
4. Dans la section Stratégies, cliquez sur l’icône + pour accéder au curseur Stratégies .
5. Dans la section Stratégies, définissez les paramètres suivants.
   1. Choisissez Policy. Sélectionnez la stratégie de détection vidéo dans la liste déroulante.
   2. Choisissez Type. Sélectionnez le type de stratégie en tant que Demande.
6. Cliquez sur Continuer.
7. Sélectionnez la stratégie de détection vidéo dans la liste et cliquez sur Fermer.

Pour configurer la limite de mémoire partagée

1. Connectez-vous à l’appliance et accédez à Optimisation > Mise en cache intégrée.
2. Dans le volet d’informations, cliquez sur le lien Modifier les paramètres du cache .
3. Dans la page Paramètres globaux du cache, définissez les paramètres suivants.
   1. Limite d’utilisation de la mémoire (Mo).
   2. Limite d’utilisation de la mémoire active.
   3. Via En-tête.
   4. Longueur maximale du corps du poste à mettre en cache
   5. Action globale à résultat indéfini
   6. Activer la persistance de l’objet HA
   7. Vérifier la persistance de l’objet mis en cache
   8. Pré-récupérés
4. Cliquez sur OK et Fermer.

Pour configurer les paramètres de catégorisation d’URL

1. Connectez-vous à l’appliance et accédez à Sécurité.
2. Dans le volet d’informations, cliquez sur Modifier le lien des paramètres de filtrage d’URL .
3. Dans la page Configuration des paramètres de filtrage d’URL, définissez les paramètres suivants.
   1. Heures entre les mises à jour de base de données. Heures de filtrage d’URL entre les mises à jour de la base de données. Valeur minimale : 0 et Valeur maximale : 720.
   2. Heure de la journée pour mettre à jour la base de données. URL Filtrage heure de la journée pour mettre à jour la base de données.
4. Cliquez sur OK et sur Fermer.

Configuration de la messagerie du journal d’audit

Lorsqu’une appliance Citrix ADC reçoit une URL entrante, si la stratégie de répondeur possède une expression de filtrage d’URL, la fonctionnalité du journal d’audit collecte les informations de catégorisation et les affiche sous forme de messages de journal à tout serveur de journal d’audit cible configuré. Les informations sont consignées.

• Adresse IP source (adresse IP du client qui a fait la demande).
• Adresse IP de destination (adresse IP du serveur demandé).
• URL demandée contenant le schéma, l’hôte et le nom de domaine (http://www.example.com).
• Catégorie d’URL renvoyée par le cadre de filtrage d’URL.
• groupe de catégories d’URL renvoyé par le cadre de filtrage d’URL.
• Numéro de réputation d’URL renvoyé par le cadre de filtrage d’URL.
• Action du journal d’audit effectuée par la stratégie de catégorisation d’URL.

Pour configurer la journalisation d’audit pour la fonctionnalité Liste d’URL, vous devez effectuer les tâches suivantes :

1. Activer le journal d’audit :
2. Action Créer un message journal d’audit.
3. Définissez la stratégie de répondeur de liste d’URL avec l’action de message Journal d’audit.

Pour plus d’informations, consultez la rubrique Audit Logging .

Stockage des erreurs d’échec à l’aide de la messagerie SYSLOG

À n’importe quelle étape du processus de filtrage d’URL, en cas de défaillance au niveau du système, l’appliance Citrix ADC utilise le mécanisme du journal d’audit pour stocker les journaux dans le fichier ns.log. Les erreurs sont stockées sous forme de messages texte au format SYSLOG de sorte qu’un administrateur puisse les afficher plus tard dans un ordre chronologique d’occurrence d’événement. Ces journaux sont également envoyés à un serveur SYSLOG externe pour archivage. Pour plus d’informations, consultez l’article CTX229399.

Par exemple, si un échec se produit lorsque vous initialisez le SDK de filtrage d’URL, le message d’erreur est stocké dans le format de messagerie suivant.

3 oct 15 : 43:40 <local0.err> ns URLFiltering[1349] : Erreur lors de l’initialisation du SDK NetStar (erreur SDK = -1). (statut = 1).

L’appliance Citrix ADC stocke les messages d’erreur sous quatre catégories de défaillance différentes :

• Échec du téléchargement. Si une erreur se produit lorsque vous essayez de télécharger la base de données de catégorisation.
• Échec de l’intégration. Si une erreur se produit lorsque vous intégrez une mise à jour dans la base de données de catégorisation existante.
• Échec de l’initialisation. Si une erreur se produit lorsque vous initialisez la fonction de catégorisation d’URL, définissez des paramètres de catégorisation ou terminez un service de catégorisation.
• Échec de la récupération. Si une erreur se produit lorsque l’appliance récupère les détails de catégorisation de la demande.

Score de réputation d’URL

La fonction de catégorisation d’URL fournit un contrôle basé sur des stratégies pour restreindre les URL sur la liste rouge. Vous pouvez contrôler l’accès aux sites Web en fonction de la catégorie d’URL, du score de réputation ou de la catégorie d’URL et du score de réputation. Si un administrateur réseau surveille un utilisateur accédant à des sites Web à risque élevé, il peut utiliser une stratégie de répondeur liée au score de réputation d’URL pour bloquer ces sites Web à risque.

À la réception d’une demande d’URL entrante, l’appliance récupère la catégorie et le score de réputation de la base de données de catégorisation d’URL. En fonction du score de réputation renvoyé par la base de données, l’appliance attribue une cote de réputation aux sites Web. La valeur peut varier de 1 à 4, où 4 est le type de sites Web le plus risqué, comme indiqué dans le tableau suivant.