Documentation Produit
Citrix Secure Web Gateway
12.1
Voir PDF

Liste d’URL

September 29, 2025
Contributeur: 
C C

La fonctionnalité Liste d’URL permet aux clients d’entreprise de contrôler l’accès à des sites web et catégories de sites web spécifiques. Cette fonctionnalité filtre les sites web en appliquant une stratégie de répondeur liée à un algorithme de correspondance d’URL. L’algorithme fait correspondre l’URL entrante à un ensemble d’URL composé d’un maximum d’un million (1 000 000) d’entrées. Si la requête d’URL entrante correspond à une entrée de l’ensemble, l’appliance utilise la stratégie de répondeur pour évaluer la requête (HTTP/HTTPS) et en contrôler l’accès.

Types d’ensembles d’URL

Chaque entrée d’un ensemble d’URL peut inclure une URL et, facultativement, ses métadonnées (catégorie d’URL, groupes de catégories ou toute autre donnée connexe). Pour les URL avec métadonnées, l’appliance utilise une expression de stratégie qui évalue les métadonnées. Pour plus d’informations, consultez Ensemble d’URL.

Citrix® SWG prend en charge les ensembles d’URL personnalisés. Vous pouvez également utiliser des ensembles de modèles pour filtrer les URL.

Ensemble d’URL personnalisé. Vous pouvez créer un ensemble d’URL personnalisé avec jusqu’à 1 000 000 d’entrées d’URL et l’importer en tant que fichier texte dans votre appliance.

Ensemble de modèles. Une appliance SWG peut utiliser des ensembles de modèles pour filtrer les URL avant d’accorder l’accès aux sites web. Un ensemble de modèles est un algorithme de correspondance de chaînes qui recherche une correspondance exacte de chaîne entre une URL entrante et jusqu’à 5 000 entrées. Pour plus d’informations, consultez Ensemble de modèles.

Chaque URL d’un ensemble d’URL importé peut avoir une catégorie personnalisée sous la forme de métadonnées d’URL. Votre organisation peut héberger l’ensemble et configurer l’appliance SWG pour mettre à jour périodiquement l’ensemble sans nécessiter d’intervention manuelle.

Une fois l’ensemble mis à jour, l’appliance Citrix ADC détecte automatiquement les métadonnées, et la catégorie est disponible en tant qu’expression de stratégie pour évaluer l’URL et appliquer une action telle que l’autorisation, le blocage, la redirection ou la notification de l’utilisateur.

Expressions de stratégie avancées utilisées avec les ensembles d’URL

Le tableau suivant décrit les expressions de base que vous pouvez utiliser pour évaluer le trafic entrant.

  1. .URLSET_MATCHES_ANY - Évalue à TRUE si l’URL correspond exactement à une entrée de l’ensemble d’URL.
  2. .GET_URLSET_METADATA() - L’expression GET_URLSET_METADATA() renvoie les métadonnées associées si l’URL correspond exactement à un modèle de l’ensemble d’URL. Une chaîne vide est renvoyée s’il n’y a pas de correspondance.
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() - Évalue à TRUE si les métadonnées correspondantes se trouvent au début de la catégorie. Ce modèle peut être utilisé pour encoder des champs distincts dans les métadonnées, mais ne correspond qu’au premier champ.
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - Joint les paramètres d’hôte et d’URL, qui peuvent ensuite être utilisés pour la correspondance.

Types d’actions du répondeur

Remarque : Dans le tableau, HTTP.REQ.URL est généralisé en tant qu’ <expression d'URL>.

Le tableau suivant décrit les actions qui peuvent être appliquées au trafic Internet entrant.

Action du répondeur Description
Autoriser Autorise la requête à accéder à l’URL cible.
Rediriger Redirige la requête vers l’URL spécifiée comme cible.
Bloquer Refuse la requête.

Prérequis

Vous devez configurer un serveur DNS si vous importez un ensemble d’URL à partir d’une URL de nom d’hôte. Cela n’est pas nécessaire si vous utilisez une adresse IP.

À l’invite de commandes, tapez :

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

Exemple :

add dns nameServer 10.140.50.5
<!--NeedCopy-->

Configurer une liste d’URL

Pour configurer une liste d’URL, vous pouvez utiliser l’assistant Citrix SWG ou l’interface de ligne de commande (CLI) de Citrix ADC. Sur l’appliance Citrix SWG, vous devez d’abord configurer la stratégie de répondeur, puis lier la stratégie à un ensemble d’URL.

Citrix vous recommande d’utiliser l’assistant Citrix SWG comme option préférée pour configurer une liste d’URL. Utilisez l’assistant pour lier une stratégie de répondeur à un ensemble d’URL. Vous pouvez également lier la stratégie à un ensemble de modèles.

Configurer une liste d’URL à l’aide de l’assistant Citrix SWG

Pour configurer la liste d’URL pour le trafic HTTPS à l’aide de l’interface graphique de Citrix SWG :

  1. Connectez-vous à l’appliance Citrix SWG et accédez à la page Secured Web Gateway.
  2. Dans le volet d’informations, effectuez l’une des opérations suivantes :
    1. Cliquez sur Secured Web Gateway Wizard pour créer une nouvelle configuration SWG avec la fonctionnalité Liste d’URL.
    2. Sélectionnez une configuration existante et cliquez sur Modifier.
  3. Dans la section Filtrage d’URL, cliquez sur Modifier.
  4. Cochez la case Liste d’URL pour activer la fonctionnalité.
  5. Sélectionnez une stratégie de Liste d’URL et cliquez sur Lier.
  6. Cliquez sur Continuer, puis sur Terminé.

Pour plus d’informations, consultez Comment créer une stratégie de liste d’URL.

Configurer une liste d’URL à l’aide de la CLI Citrix SWG

Pour configurer une liste d’URL, procédez comme suit :

  1. Configurez un serveur virtuel proxy pour le trafic HTTP et HTTPS.
  2. Configurez l’interception SSL pour intercepter le trafic HTTPS.
  3. Configurez une liste d’URL contenant un ensemble d’URL pour le trafic HTTP.
  4. Configurez une liste d’URL contenant un ensemble d’URL pour le trafic HTTPS.
  5. Configurez un ensemble d’URL privé.

Remarque

Si vous avez déjà configuré une appliance SWG, vous pouvez ignorer les étapes 1 et 2 et configurer à partir de l’étape 3.

Configuration d’un serveur virtuel proxy pour le trafic Internet

L’appliance Citrix SWG prend en charge les serveurs virtuels proxy transparents et explicites. Pour configurer un serveur virtuel proxy pour le trafic Internet en mode explicite, procédez comme suit :

  1. Ajoutez un serveur virtuel proxy SSL.
  2. Lie une stratégie de répondeur au serveur virtuel proxy.

Pour ajouter un serveur virtuel proxy à l’aide de la CLI Citrix SWG :

À l’invite de commandes, tapez :

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

Exemple :

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

Pour lier une stratégie de répondeur à un serveur virtuel proxy à l’aide de la CLI Citrix SWG :

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Remarque

Si vous avez déjà configuré l’intercepteur SSL dans le cadre de la configuration de Citrix SWG, vous pouvez ignorer la procédure suivante.

Configurer l’interception SSL pour le trafic HTTPS

Pour configurer l’interception SSL pour le trafic HTTPS, procédez comme suit :

  1. Lie une paire de certificats-clés CA au serveur virtuel proxy.
  2. Active le profil SSL par défaut.
  3. Crée un profil SSL frontal, le lie au serveur virtuel proxy et active l’interception SSL dans le profil SSL frontal.

Pour lier une paire de certificats-clés CA au serveur virtuel proxy à l’aide de la CLI Citrix SWG :

À l’invite de commandes, tapez :

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

Pour configurer un profil SSL frontal à l’aide de la CLI Citrix SWG :

À l’invite de commandes, tapez :

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

Pour lier un profil SSL frontal à un serveur virtuel proxy à l’aide de la CLI Citrix SWG :

À l’invite de commandes, tapez :

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

Configurer une liste d’URL en important un ensemble d’URL pour le trafic HTTP

Pour plus d’informations sur la configuration d’un ensemble d’URL pour le trafic HTTP, consultez Ensemble d’URL.

Effectuer une correspondance exacte de sous-domaine

Vous pouvez désormais effectuer une correspondance exacte de sous-domaine pour un ensemble d’URL importé. Pour ce faire, un nouveau paramètre, « subdomainExactMatch », est ajouté à la commande import policy URLset.

Lorsque vous activez le paramètre, l’algorithme de filtrage d’URL effectue une correspondance exacte de sous-domaine. Par exemple, si l’URL entrante est news.example.com et si l’entrée dans l’ensemble d’URL est example.com, l’algorithme ne fait pas correspondre les URL.

À l’invite de commandes, tapez : import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

Exemple import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

Configurer un ensemble d’URL pour le trafic HTTPS

Pour configurer un ensemble d’URL pour le trafic HTTPS à l’aide de la CLI Citrix SWG :

À l’invite de commandes, tapez :

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

Exemple :

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

Pour configurer un ensemble d’URL pour le trafic HTTPS à l’aide de l’assistant Citrix SWG

Citrix vous recommande d’utiliser l’assistant Citrix SWG comme option préférée pour configurer une liste d’URL. Utilisez l’assistant pour importer un ensemble d’URL personnalisé et le lier à une stratégie de répondeur.

  1. Connectez-vous à l’appliance Citrix SWG et accédez à Secured Web Gateway > Filtrage d’URL > Listes d’URL.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Sur la page Stratégie de liste d’URL, spécifiez le nom de la stratégie.
  4. Sélectionnez une option pour importer un ensemble d’URL.
  5. Sur la page de l’onglet Stratégie de liste d’URL, cochez la case Importer un ensemble d’URL et spécifiez les paramètres d’ensemble d’URL suivants :
    1. Nom de l’ensemble d’URL — Nom de l’ensemble d’URL personnalisé.
    2. URL — Adresse web de l’emplacement où accéder à l’ensemble d’URL.
    3. Écraser — Écrase un ensemble d’URL précédemment importé.
    4. Délimiteur — Séquence de caractères qui délimite un enregistrement de fichier CSV.
    5. Séparateur de lignes — Séparateur de lignes utilisé dans le fichier CSV.
    6. Intervalle — Intervalle en secondes, arrondi au nombre de secondes le plus proche égal à 15 minutes, auquel l’ensemble d’URL est mis à jour.
    7. Ensemble privé — Option pour empêcher l’exportation de l’ensemble d’URL.
    8. URL Canary — URL interne pour vérifier si le contenu de l’ensemble d’URL doit rester confidentiel. La longueur maximale de l’URL est de 2047 caractères.
  6. Sélectionnez une action de répondeur dans la liste déroulante.
  7. Cliquez sur Créer, puis sur Fermer.

Configurer un ensemble d’URL privé

Si vous configurez un ensemble d’URL privé et que vous en gardez le contenu confidentiel, l’administrateur réseau pourrait ne pas connaître les URL figurant sur la liste noire de l’ensemble. Dans de tels cas, vous pouvez configurer une URL Canary et l’ajouter à l’ensemble d’URL. À l’aide de l’URL Canary, l’administrateur peut demander que l’ensemble d’URL privé soit utilisé pour chaque requête de recherche. Vous pouvez vous référer à la section de l’assistant pour la description de chaque paramètre.

Pour importer un ensemble d’URL à l’aide de la CLI Citrix SWG :

À l’invite de commandes, tapez :

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

Exemple :

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

Afficher l’ensemble d’URL importé

Vous pouvez désormais afficher les ensembles d’URL importés en plus des ensembles d’URL ajoutés. Pour ce faire, un nouveau paramètre « imported » est ajouté à la commande « show urlset ». Si vous activez cette option, l’appliance affiche tous les ensembles d’URL importés et distingue les ensembles d’URL importés des ensembles d’URL ajoutés.

À l’invite de commandes, tapez : show policy urlset [<name>] [-imported]

Exemple show policy urlset -imported

Configurer la messagerie du journal d’audit

La journalisation d’audit vous permet d’examiner une condition ou une situation à n’importe quelle phase du processus de liste d’URL. Lorsqu’une appliance Citrix ADC reçoit une URL entrante, si la stratégie de répondeur contient une expression de stratégie avancée d’ensemble d’URL, la fonctionnalité de journal d’audit collecte les informations d’ensemble d’URL dans l’URL et stocke les détails sous forme de message de journal pour toute cible autorisée par la journalisation d’audit.

  1. Le message de journal contient les informations suivantes :
  2. Horodatage.
  3. Type de message de journal.
  4. Les niveaux de journal prédéfinis (Critique, Erreur, Avis, Avertissement, Information, Débogage, Alerte et Urgence).
  5. Informations du message de journal, telles que le nom de l’ensemble d’URL, l’action de la stratégie, l’URL.

Pour configurer la journalisation d’audit pour la fonctionnalité Liste d’URL, vous devez effectuer les tâches suivantes :

  1. Activez le journal d’audit.
  2. Créez une action de message de journal d’audit.
  3. Définissez la stratégie de répondeur de liste d’URL avec l’action de message de journal d’audit.

Pour plus d’informations, consultez la rubrique Journalisation d’audit.

Liste d’URL
September 29, 2025
Contributeur: 
C C
September 29, 2025
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.