製品ドキュメント
Citrix Secure Web Gateway
12.1
PDFを表示

URLリスト

September 29, 2025
寄稿者: 
C C

URLリスト機能は、企業顧客が特定のウェブサイトおよびウェブサイトカテゴリへのアクセスを制御できるようにします。この機能は、URLマッチングアルゴリズムにバインドされたレスポンダーポリシーを適用することでウェブサイトをフィルタリングします。このアルゴリズムは、最大100万(1,000,000)エントリで構成されるURLセットに対して、受信URLを照合します。受信URLリクエストがセット内のエントリと一致する場合、アプライアンスはレスポンダーポリシーを使用してリクエスト(HTTP/HTTPS)を評価し、それへのアクセスを制御します。

URLセットの種類

URLセットの各エントリには、URLと、オプションでそのメタデータ(URLカテゴリ、カテゴリグループ、またはその他の関連データ)を含めることができます。メタデータを持つURLの場合、アプライアンスはメタデータを評価するポリシー式を使用します。詳細については、「URLセット」を参照してください。

Citrix® SWGはカスタムURLセットをサポートしています。パターンセットを使用してURLをフィルタリングすることもできます。

カスタムURLセット。 最大1,000,000のURLエントリを含むカスタマイズされたURLセットを作成し、テキストファイルとしてアプライアンスにインポートできます。

パターンセット。 SWGアプライアンスは、ウェブサイトへのアクセスを許可する前に、パターンセットを使用してURLをフィルタリングできます。パターンセットは、受信URLと最大5000のエントリとの間で正確な文字列一致を検索する文字列マッチングアルゴリズムです。詳細については、「パターンセット」を参照してください。

インポートされたURLセット内の各URLは、URLメタデータの形式でカスタムカテゴリを持つことができます。組織はセットをホストし、手動介入なしで定期的にセットを更新するようにSWGアプライアンスを構成できます。

セットが更新されると、Citrix ADCアプライアンスはメタデータを自動的に検出し、カテゴリはURLを評価し、許可、ブロック、リダイレクト、またはユーザーへの通知などのアクションを適用するためのポリシー式として利用可能になります。

URLセットで使用される高度なポリシー式

次の表は、受信トラフィックを評価するために使用できる基本的な式について説明しています。

  1. .URLSET_MATCHES_ANY - URLがURLセット内のいずれかのエントリと完全に一致する場合にTRUEと評価されます。
  2. .GET_URLSET_METADATA() - GET_URLSET_METADATA()式は、URLがURLセット内のいずれかのパターンと完全に一致する場合に、関連するメタデータを返します。一致がない場合は空の文字列が返されます。
  3. .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)
  4. .GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ() - 一致したメタデータがカテゴリの先頭にある場合にTRUEと評価されます。このパターンは、メタデータ内の個別のフィールドをエンコードし、最初のフィールドのみを照合するために使用できます。
  5. HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL) - ホストとURLパラメータを結合し、それを照合に使用できます。

レスポンダーアクションの種類

注: 表では、HTTP.REQ.URL<URL expression>として一般化されています。

次の表は、受信インターネットトラフィックに適用できるアクションについて説明しています。

レスポンダーアクション 説明
許可 リクエストがターゲットURLにアクセスすることを許可します。
リダイレクト リクエストをターゲットとして指定されたURLにリダイレクトします。
ブロック リクエストを拒否します。

前提条件

ホスト名URLからURLセットをインポートする場合は、DNSサーバーを構成する必要があります。IPアドレスを使用する場合は、これは必要ありません。

コマンドプロンプトで、次のように入力します。

add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]

:

add dns nameServer 10.140.50.5

URLリストの構成

URLリストを構成するには、Citrix SWGウィザードまたはCitrix ADCコマンドラインインターフェイス(CLI)を使用できます。Citrix SWGアプライアンスでは、まずレスポンダーポリシーを構成し、次にそのポリシーをURLセットにバインドする必要があります。

Citrixは、URLリストを構成するための推奨オプションとしてCitrix SWGウィザードを使用することを推奨します。ウィザードを使用して、レスポンダーポリシーをURLセットにバインドします。または、ポリシーをパターンセットにバインドすることもできます。

Citrix SWGウィザードを使用したURLリストの構成

Citrix SWG GUIを使用してHTTPSトラフィックのURLリストを構成するには、次の手順を実行します。

  1. Citrix SWGアプライアンスにログオンし、Secured Web Gatewayページに移動します。
  2. 詳細ペインで、次のいずれかを実行します。
    1. Secured Web Gateway Wizardをクリックして、URLリスト機能を含む新しいSWG構成を作成します。
    2. 既存の構成を選択し、Editをクリックします。
  3. URL Filteringセクションで、Editをクリックします。
  4. URL Listチェックボックスを選択して、この機能を有効にします。
  5. URL Listポリシーを選択し、Bindをクリックします。
  6. Continueをクリックし、次にDoneをクリックします。

詳細については、「URLリストポリシーの作成方法」を参照してください。

Citrix SWG CLIを使用したURLリストの構成

URLリストを構成するには、次の手順を実行します。

  1. HTTPおよびHTTPSトラフィック用のプロキシ仮想サーバーを構成します。
  2. HTTPSトラフィックを傍受するためのSSLインターセプトを構成します。
  3. HTTPトラフィック用のURLセットを含むURLリストを構成します。
  4. HTTPSトラフィック用のURLセットを含むURLリストを構成します。
  5. プライベートURLセットを構成します。

SWGアプライアンスをすでに構成している場合は、手順1と2をスキップし、手順3で構成できます。

インターネットトラフィック用のプロキシ仮想サーバーの構成

Citrix SWGアプライアンスは、透過型および明示型プロキシ仮想サーバーをサポートしています。明示モードでインターネットトラフィック用のプロキシ仮想サーバーを構成するには、次の手順を実行します。

  1. プロキシSSL仮想サーバーを追加します。
  2. レスポンダーポリシーをプロキシ仮想サーバーにバインドします。

Citrix SWG CLIを使用してプロキシ仮想サーバーを追加するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->

:

add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->

Citrix SWG CLIを使用してレスポンダーポリシーをプロキシ仮想サーバーにバインドするには、次の手順を実行します。

bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->

Citrix SWG構成の一部としてSSLインターセプターをすでに構成している場合は、以下の手順をスキップできます。

HTTPSトラフィックのSSLインターセプトの構成

HTTPSトラフィックのSSLインターセプトを構成するには、次の手順を実行します。

  1. CA証明書とキーのペアをプロキシ仮想サーバーにバインドします。
  2. デフォルトのSSLプロファイルを有効にします。
  3. フロントエンドSSLプロファイルを作成し、それをプロキシ仮想サーバーにバインドし、フロントエンドSSLプロファイルでSSLインターセプトを有効にします。

Citrix SWG CLIを使用してCA証明書とキーのペアをプロキシ仮想サーバーにバインドするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->

Citrix SWG CLIを使用してフロントエンドSSLプロファイルを構成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

set ssl parameter -defaultProfile ENABLED

add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->

Citrix SWG CLIを使用してフロントエンドSSLプロファイルをプロキシ仮想サーバーにバインドするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

set ssl vserver <vServer name>  -sslProfile <name>
<!--NeedCopy-->

HTTPトラフィック用のURLセットをインポートしてURLリストを構成

HTTPトラフィック用のURLセットを構成する方法については、「URLセット」を参照してください。

明示的なサブドメインの一致を実行

インポートされたURLセットに対して明示的なサブドメインの一致を実行できるようになりました。これを行うには、import policy URLsetコマンドに新しいパラメータ「subdomainExactMatch」が追加されています。

このパラメータを有効にすると、URLフィルタリングアルゴリズムは明示的なサブドメインの一致を実行します。たとえば、受信URLがnews.example.comで、URLセットのエントリがexample.comの場合、アルゴリズムはURLを一致させません。

コマンドプロンプトで、次のように入力します。 import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]

import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900

HTTPSトラフィック用のURLセットの構成

Citrix SWG CLIを使用してHTTPSトラフィック用のURLセットを構成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->

:

add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->

Citrix SWGウィザードを使用したHTTPSトラフィック用のURLセットの構成

Citrixは、URLリストを構成するための推奨オプションとしてCitrix SWGウィザードを使用することを推奨します。ウィザードを使用して、カスタムURLセットをインポートし、レスポンダーポリシーにバインドします。

  1. Citrix SWGアプライアンスにログオンし、Secured Web Gateway > URL Filtering > URL Listsに移動します。
  2. 詳細ペインで、Addをクリックします。
  3. URL List Policyページで、ポリシー名を指定します。
  4. URLセットをインポートするオプションを選択します。
  5. URL List Policyタブページで、Import URL Setチェックボックスを選択し、次のURLセットパラメータを指定します。
    1. URLセット名—カスタムURLセットの名前。
    2. URL—URLセットにアクセスする場所のウェブアドレス。
    3. 上書き—以前にインポートされたURLセットを上書きします。
    4. 区切り文字—CSVファイルレコードを区切る文字シーケンス。
    5. 行区切り文字—CSVファイルで使用される行区切り文字。
    6. 間隔—URLセットが更新される間隔(秒単位、15分に等しい秒数に最も近い値に丸められます)。
    7. プライベートセット—URLセットのエクスポートを防止するオプション。
    8. カナリアURL—URLセットの内容を機密に保つ必要があるかどうかをテストするための内部URL。URLの最大長は2047文字です。
  6. ドロップダウンリストからレスポンダーアクションを選択します。
  7. Createをクリックし、次にCloseをクリックします。

プライベートURLセットの構成

プライベートURLセットを構成し、その内容を機密に保つ場合、ネットワーク管理者はセット内のブラックリストに登録されたURLを知らない可能性があります。そのような場合、カナリアURLを構成し、それをURLセットに追加できます。カナリアURLを使用すると、管理者はすべてのルックアップリクエストにプライベートURLセットを使用するように要求できます。各パラメータの説明については、ウィザードセクションを参照してください。

Citrix SWG CLIを使用してURLセットをインポートするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->

:

import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->

インポートされたURLセットの表示

追加されたURLセットに加えて、インポートされたURLセットも表示できるようになりました。これを行うには、「show urlset」コマンドに新しいパラメータ「imported」が追加されています。このオプションを有効にすると、アプライアンスはすべてのインポートされたURLセットを表示し、インポートされたURLセットと追加されたURLセットを区別します。

コマンドプロンプトで、次のように入力します。 show policy urlset [<name>] [-imported]

show policy urlset -imported

監査ログメッセージングの構成

監査ログは、URLリストプロセスのどの段階でも条件や状況を確認できるようにします。Citrix ADCアプライアンスが受信URLを受信し、レスポンダーポリシーにURLセットの高度なポリシー式がある場合、監査ログ機能はURL内のURLセット情報を収集し、監査ログによって許可されたターゲットのログメッセージとして詳細を保存します。

  1. ログメッセージには次の情報が含まれます。
  2. タイムスタンプ。
  3. ログメッセージの種類。
  4. 事前定義されたログレベル(Critical、Error、Notice、Warning、Informational、Debug、Alert、Emergency)。
  5. URLセット名、ポリシーアクション、URLなどのログメッセージ情報。

URLリスト機能の監査ログを構成するには、次のタスクを完了する必要があります。

  1. 監査ログを有効にします。
  2. 監査ログメッセージアクションを作成します。
  3. 監査ログメッセージアクションでURLリストレスポンダーポリシーを設定します。

詳細については、「監査ログ」トピックを参照してください。

URLリスト
September 29, 2025
寄稿者: 
C C
September 29, 2025
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.