Liste des URL
La fonctionnalité Liste d’URL permet aux clients d’entreprise de contrôler l’accès à des sites Web et à des catégories de sites Web spécifiques. La fonctionnalité filtre les sites Web en appliquant une stratégie de répondeur liée à un algorithme de correspondance d’URL. L’algorithme correspond à l’URL entrante par rapport à un ensemble d’URL comprenant jusqu’à un million (1 000 000) entrées. Si la requête d’URL entrante correspond à une entrée de l’ensemble, l’appliance utilise la stratégie du répondeur pour évaluer la demande (HTTP/HTTPS) et en contrôler l’accès.
Types de jeux d’URL
Chaque entrée d’un jeu d’URL peut inclure une URL et, éventuellement, ses métadonnées (catégorie d’URL, groupes de catégories ou toute autre donnée connexe). Pour les URL avec métadonnées, l’appliance utilise une expression de stratégie qui évalue les métadonnées. Pour de plus amples informations, consultez la section Jeu d’URL.
Citrix SWG prend en charge les ensembles d’URL personnalisés. Vous pouvez également utiliser des jeux de motifs pour filtrer les URL.
Jeu d’URL personnalisé. Vous pouvez créer un ensemble d’URL personnalisé avec jusqu’à 1 000 000 entrées d’URL et l’importer en tant que fichier texte dans votre appliance.
Jeu de motifs. Une appliance SWG peut utiliser des jeux de modèles pour filtrer les URL avant d’accorder l’accès aux sites Web. Un jeu de motifs est un algorithme de correspondance de chaînes qui recherche une correspondance exacte entre une URL entrante et jusqu’à 5000 entrées. Pour de plus amples informations, consultez la section Jeu de motifs.
Chaque URL d’un ensemble d’URL importé peut avoir une catégorie personnalisée sous la forme de métadonnées d’URL. Votre organisation peut héberger le jeu et configurer l’appliance SWG pour mettre à jour périodiquement le jeu sans intervention manuelle.
Une fois l’ensemble mis à jour, l’appliance Citrix ADC détecte automatiquement les métadonnées et la catégorie est disponible en tant qu’expression de stratégie pour évaluer l’URL et appliquer une action telle que permettre, bloquer, rediriger ou notifier l’utilisateur.
Expressions de stratégie avancées utilisées avec les jeux d’URL
Le tableau suivant décrit les expressions de base que vous pouvez utiliser pour évaluer le trafic entrant.
-
.URLSET_MATCHES_ANY
- Évalue surTRUE
si l’URL correspond exactement à n’importe quelle entrée de l’ensemble d’URL. -
.GET_URLSET_METADATA()
- L’expressionGET_URLSET_METADATA()
renvoie les métadonnées associées si l’URL correspond exactement à un motif dans l’ensemble d’URL. Une chaîne vide est renvoyée s’il n’y a pas de correspondance. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
-
.GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ()
- Évalue surTRUE
si les métadonnées appariées sont au début de la catégorie. Ce modèle peut être utilisé pour encoder des champs distincts dans les métadonnées, mais correspondre uniquement au premier champ. -
HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL)
- Joint les paramètres hôte et URL, qui peuvent ensuite être utilisés comme un pour la correspondance.
Types d’action du répondeur
Note : Dans le tableau,
HTTP.REQ.URL
est généralisé comme<URL expression>
.
Le tableau suivant décrit les actions qui peuvent être appliquées au trafic Internet entrant.
Action du répondeur | Description |
---|---|
Autoriser | Autoriser la demande à accéder à l’URL cible. |
Rediriger | Redirigez la demande vers l’URL spécifiée comme cible. |
Bloquer | Refuser la demande. |
Conditions préalables
Vous devez configurer un serveur DNS si vous importez un jeu d’URL à partir d’une URL de nom d’hôte. Cela n’est pas nécessaire si vous utilisez une adresse IP.
À l’invite de commandes, tapez :
add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]
Exemple :
ajouter le serveur de noms dns 10.140.50.5
Configurer une liste d’URL
Pour configurer une liste d’URL, vous pouvez utiliser l’assistant Citrix SWG ou l’interface de ligne de commande (CLI) de Citrix ADC. Sur l’appliance Citrix SWG, vous devez d’abord configurer la stratégie de répondeur, puis lier la stratégie à un jeu d’URL.
Citrix vous recommande d’utiliser l’Assistant SWG Citrix comme option préférée pour configurer une liste d’URL. Utilisez l’Assistant pour lier une stratégie de répondeur à un jeu d’URL. Vous pouvez également lier la stratégie à un jeu de motifs.
Configurer une liste d’URL à l’aide de l’assistant Citrix SWG
Pour configurer la liste d’URL pour le trafic HTTPS à l’aide de l’interface utilisateur graphique Citrix SWG :
- Ouvrez une session sur le dispositif Citrix SWG et accédez à la page Secured Web Gateway .
- Dans le volet d’informations, effectuez l’une des opérations suivantes :
- Cliquez sur Secured Web Gateway Wizard pour créer une nouvelle configuration SWG avec la fonctionnalité Liste d’URL.
- Sélectionnez une configuration existante et cliquez sur Modifier.
- Dans la section Filtrage d’URL, cliquez sur Modifier.
- Activez la case à cocher Liste d’URL pour activer la fonctionnalité.
- Sélectionnez une stratégie de liste d’URL et cliquez sur Lier .
- Cliquez sur Continuer, puis Terminé.
Pour de plus amples informations, consultez la section Procédure de création d’une stratégie de liste d’URL.
Configurer une liste d’URL à l’aide de l’interface de ligne de commande Citrix SWG
Pour configurer une liste d’URL, procédez comme suit.
- Configurez un serveur virtuel proxy pour le trafic HTTP et HTTPS.
- Configurer l’interception SSL pour intercepter le trafic HTTPS.
- Configurez une liste d’URL contenant un jeu d’URL pour le trafic HTTP.
- Configurer la liste d’URL contenant le jeu d’URL pour le trafic HTTPS.
- Configurer un jeu d’URL privé.
Remarque
Si vous avez déjà configuré une appliance SWG, vous pouvez ignorer les étapes 1 et 2 et la configurer à l’étape 3.
Configuration d’un serveur virtuel proxy pour le trafic Internet
L’appliance Citrix SWG prend en charge les serveurs virtuels proxy transparents et explicites. Pour configurer un serveur virtuel proxy pour le trafic Internet en mode explicite, procédez comme suit :
- Ajouter un serveur virtuel SSL proxy.
- Liez une stratégie de répondeur au serveur virtuel proxy.
Pour ajouter un serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG :
À l’invite de commandes, tapez :
add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->
Exemple :
add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->
Pour lier une stratégie de répondeur à un serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG :
bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->
Remarque
Si vous avez déjà configuré l’intercepteur SSL dans le cadre de la configuration de Citrix SWG, vous pouvez ignorer la procédure suivante.
Configurer l’interception SSL pour le trafic HTTPS
Pour configurer l’interception SSL pour le trafic HTTPS, procédez comme suit :
- Liez une paire de clés de certificat de l’autorité de certification au serveur virtuel proxy.
- Activez le profil SSL par défaut.
- Créez un profil SSL frontal et liez-le au serveur virtuel proxy et activez l’interception SSL dans le profil SSL frontal.
Pour lier une paire de clés de certificat de l’autorité de certification au serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG :
À l’invite de commandes, tapez :
bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->
Pour configurer un profil SSL frontal à l’aide de l’interface de ligne de commande Citrix SWG :
À l’invite de commandes, tapez :
set ssl parameter -defaultProfile ENABLED
add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->
Pour lier un profil SSL frontal à un serveur virtuel proxy à l’aide de l’interface de ligne de commande Citrix SWG
À l’invite de commandes, tapez :
set ssl vserver <vServer name> -sslProfile <name>
<!--NeedCopy-->
Configurer une liste d’URL en important un jeu d’URL pour le trafic HTTP
Pour plus d’informations sur la configuration d’un jeu d’URL pour le trafic HTTP, reportez-vous à la sectionJeu d’URL.
Effectuer une correspondance de sous-domaine explicite
Vous pouvez maintenant effectuer une correspondance de sous-domaine explicite pour un jeu d’URL importé. Pour ce faire, un nouveau paramètre, “SubDomainExactMatch’est ajouté à laimport policy URLset
commande.
Lorsque vous activez le paramètre, l’algorithme de filtrage d’URL effectue une correspondance de sous-domaine explicite. Par exemple, si l’URL entrante estnews.example.com
et si l’entrée de l’ensemble d’URL estexample.com
, l’algorithme ne correspond pas aux URL.
À l’invite de commandes, tapez :
import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]
Exemple
import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900
Configurer un jeu d’URL pour le trafic HTTPS
Pour configurer un jeu d’URL pour le trafic HTTPS à l’aide de l’interface de ligne de commande Citrix SWG
À l’invite de commandes, tapez :
add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->
Exemple :
add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->
Pour configurer un jeu d’URL pour le trafic HTTPS à l’aide de l’assistant Citrix SWG
Citrix vous recommande d’utiliser l’assistant Citrix SWG comme option préférée pour configurer une liste d’URL. Utilisez l’Assistant pour importer un jeu d’URL personnalisé et lier à une stratégie de répondeur.
- Ouvrez une session sur l’appliance Citrix SWG et accédez à Secured Web Gateway > Filtrage d’URL > Listes d’URL.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans la page Stratégie de liste d’URL, spécifiez le nom de la stratégie.
- Sélectionnez une option pour importer un jeu d’URL.
- Dans la page de l’onglet Stratégie de liste d’URL, activez la case à cocher Importer le jeu d’URL et spécifiez les paramètres de jeu d’URL suivants.
- Nom du jeu d’URL : nom du jeu d’URL personnalisé.
- URL—Adresse Web de l’emplacement où accéder à l’ensemble d’URL.
- Remplacer : écrase un jeu d’URL précédemment importé.
- Delimiter—Séquence de caractères qui délimite un enregistrement de fichier CSV.
- Séparateur de lignes —Séparateur de lignes utilisé dans le fichier CSV.
- Intervalle (Intervalle) : intervalle en secondes arrondi au nombre de secondes le plus proche égal à 15 minutes au cours duquel le jeu d’URL est mis à jour.
- Private Set—Option pour empêcher l’exportation du jeu d’URL.
- URL Canary : URL interne permettant de vérifier si le contenu de l’ensemble d’URL doit rester confidentiel. La longueur maximale de l’URL est de 2047 caractères.
- Sélectionnez une action du répondeur dans la liste déroulante.
- Cliquez sur Créer et Fermer.
Configurer un jeu d’URL privé
Si vous configurez un jeu d’URL privé et que son contenu reste confidentiel, l’administrateur réseau peut ne pas connaître les URL répertoriées sur la liste rouge de l’ensemble. Dans de tels cas, vous pouvez configurer une URL Canary et l’ajouter à l’ensemble d’URL. À l’aide de l’URL Canary, l’administrateur peut demander que le jeu d’URL privé soit utilisé pour chaque requête de recherche. Vous pouvez vous référer à la section Assistant pour obtenir la description de chaque paramètre.
Pour importer un jeu d’URL à l’aide de l’interface de ligne de commande Citrix SWG :
À l’invite de commandes, tapez :
import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->
Exemple :
import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->
Afficher le jeu d’URL importé
Vous pouvez désormais afficher des jeux d’URL importés en plus des jeux d’URL ajoutés. Pour ce faire, un nouveau paramètre’imported’est ajouté à la commande’show urlset “. Si vous activez cette option, l’appliance affiche tous les jeux d’URL importés et les distingue des jeux d’URL ajoutés.
À l’invite de commandes, tapez :
show policy urlset [<name>] [-imported]
Exemple
show policy urlset -imported
Configurer la messagerie du journal d’audit
La journalisation d’audit vous permet de consulter une condition ou une situation dans n’importe quelle phase du processus de liste d’URL. Lorsqu’une appliance Citrix ADC reçoit une URL entrante, si la stratégie du répondeur possède une expression de stratégie avancée de jeu d’URL, la fonctionnalité de journal d’audit collecte les informations d’ensemble d’URL dans l’URL et stocke les détails sous forme de message de journal pour toute cible autorisée par la journalisation d’audit.
- Le message de journal contient les informations suivantes :
- Horodatage.
- Type de message de journal.
- Les niveaux de journalisation prédéfinis (Critique, Erreur, Avis, Avertissement, Informations, Débogage, Alerte et Urgence).
- Consigner les informations du message, telles que le nom du jeu d’URL, l’action de stratégie, l’URL.
Pour configurer la journalisation d’audit pour la fonctionnalité Liste d’URL, vous devez effectuer les tâches suivantes :
- Activer le journal d’audit :
- Action Créer un message journal d’audit.
- Définissez la stratégie de répondeur de liste d’URL avec l’action de message Journal d’audit.
Pour plus d’informations, reportez-vous à la rubrique Journalisation de l’audit.