URL 列表
URL 列表功能使企业客户能够控制对特定网站和网站类别的访问。该功能通过应用绑定到 URL 匹配算法的响应器策略来过滤网站。该算法将传入 URL 与最多包含一百万 (1,000,000) 个条目的 URL 集进行匹配。如果传入的 URL 请求与该集中的某个条目匹配,设备将使用响应器策略评估请求 (HTTP/HTTPS) 并控制对其的访问。
URL 集类型
URL 集中的每个条目可以包含一个 URL,并可选择包含其元数据(URL 类别、类别组或任何其他相关数据)。对于包含元数据的 URL,设备使用评估元数据的策略表达式。有关详细信息,请参阅 URL 集。
Citrix® SWG 支持自定义 URL 集。您还可以使用模式集来过滤 URL。
自定义 URL 集。 您可以创建最多包含 1,000,000 个 URL 条目的自定义 URL 集,并将其作为文本文件导入到您的设备中。
模式集。 SWG 设备可以使用模式集来过滤 URL,然后再授予对网站的访问权限。模式集是一种字符串匹配算法,它在传入 URL 和最多 5000 个条目之间查找精确的字符串匹配。有关详细信息,请参阅 模式集。
导入的 URL 集中的每个 URL 都可以采用 URL 元数据的形式拥有自定义类别。您的组织可以托管该集,并配置 SWG 设备以定期更新该集,无需手动干预。
更新集后,Citrix ADC 设备会自动检测元数据,并且该类别可用作策略表达式,用于评估 URL 并应用允许、阻止、重定向或通知用户等操作。
与 URL 集一起使用的高级策略表达式
下表描述了您可以使用这些表达式来评估传入流量。
-
.URLSET_MATCHES_ANY- 如果 URL 与 URL 集中的任何条目完全匹配,则评估结果为TRUE。 -
.GET_URLSET_METADATA()- 如果 URL 与 URL 集中的任何模式完全匹配,则GET_URLSET_METADATA()表达式将返回关联的元数据。如果没有匹配项,则返回空字符串。 .GET_ URLSET_METADATA().EQ(<METADATA) - .GET_ URLSET_METADATA().EQ(<METADATA)-
.GET_URLSET_METADATA ().TYPECAST_LIST_T(',').GET(0).EQ()- 如果匹配的元数据位于类别的开头,则评估结果为TRUE。此模式可用于在元数据中编码单独的字段,但仅匹配第一个字段。 -
HTTP.REQ.HOSTNAME.APPEND(HTTP.REQ.URL)- 连接主机和 URL 参数,然后可将其用作匹配项。
响应器操作类型
注意: 在表中,
HTTP.REQ.URL概括为<URL expression>。
下表描述了可以应用于传入 Internet 流量的操作。
| 响应器操作 | 描述 |
|---|---|
| 允许 | 允许请求访问目标 URL。 |
| 重定向 | 将请求重定向到指定为目标的 URL。 |
| 阻止 | 拒绝请求。 |
先决条件
如果您从主机名 URL 导入 URL 集,则必须配置 DNS 服务器。如果您使用 IP 地址,则不需要这样做。
在命令提示符下,键入:
add dns nameServer ((<IP> [-local]) | <dnsVserverName>) [-state (ENABLED | DISABLED )] [-type <type>] [-dnsProfileName <string>]
示例:
add dns nameServer 10.140.50.5
配置 URL 列表
要配置 URL 列表,您可以使用 Citrix SWG 向导或 Citrix ADC 命令行界面 (CLI)。在 Citrix SWG 设备上,您必须首先配置响应器策略,然后将策略绑定到 URL 集。
Citrix 建议您使用 Citrix SWG 向导作为配置 URL 列表的首选选项。使用向导将响应器策略绑定到 URL 集。或者,您可以将策略绑定到模式集。
使用 Citrix SWG 向导配置 URL 列表
要使用 Citrix SWG GUI 配置 HTTPS 流量的 URL 列表:
- 登录到 Citrix SWG 设备并导航到 安全 Web 网关 页面。
- 在详细信息窗格中,执行以下操作之一:
- 单击 安全 Web 网关向导 以创建具有 URL 列表功能的新 SWG 配置。
- 选择现有配置,然后单击 编辑。
- 在 URL 过滤 部分中,单击 编辑。
- 选中 URL 列表 复选框以启用该功能。
- 选择 URL 列表 策略,然后单击 绑定。
- 单击 继续,然后单击 完成。
有关详细信息,请参阅 如何创建 URL 列表策略。
使用 Citrix SWG CLI 配置 URL 列表
要配置 URL 列表,请执行以下操作。
- 配置用于 HTTP 和 HTTPS 流量的代理虚拟服务器。
- 配置 SSL 拦截以拦截 HTTPS 流量。
- 配置包含用于 HTTP 流量的 URL 集的 URL 列表。
- 配置包含用于 HTTPS 流量的 URL 集的 URL 列表。
- 配置私有 URL 集。
注意
如果您已将 SWG 设备配置为 Citrix SWG 配置的一部分,则可以跳过步骤 1 和 2,并从步骤 3 开始配置。
配置用于 Internet 流量的代理虚拟服务器
Citrix SWG 设备支持透明和显式代理虚拟服务器。要在显式模式下配置用于 Internet 流量的代理虚拟服务器,请执行以下操作:
- 添加代理 SSL 虚拟服务器。
- 将响应器策略绑定到代理虚拟服务器。
要使用 Citrix SWG CLI 添加代理虚拟服务器:
在命令提示符下,键入:
add cs vserver <name> <serviceType> <IPAddress> <port>
<!--NeedCopy-->
示例:
add cs vserver starcs PROXY 10.102.107.121 80 -cltTimeout 180
<!--NeedCopy-->
要使用 Citrix SWG CLI 将响应器策略绑定到代理虚拟服务器:
bind ssl vserver <vServerName> -policyName <string> [-priority <positive_integer>]
<!--NeedCopy-->
注意
如果您已将 SSL 拦截器配置为 Citrix SWG 配置的一部分,则可以跳过以下过程。
配置 HTTPS 流量的 SSL 拦截
要配置 HTTPS 流量的 SSL 拦截,请执行以下操作:
- 将 CA 证书-密钥对绑定到代理虚拟服务器。
- 启用默认 SSL 配置文件。
- 创建前端 SSL 配置文件,并将其绑定到代理虚拟服务器,并在前端 SSL 配置文件中启用 SSL 拦截。
要使用 Citrix SWG CLI 将 CA 证书-密钥对绑定到代理虚拟服务器:
在命令提示符下,键入:
bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>
<!--NeedCopy-->
要使用 Citrix SWG CLI 配置前端 SSL 配置文件:
在命令提示符下,键入:
set ssl parameter -defaultProfile ENABLED
add ssl profile <name> -sslInterception ENABLED -ssliMaxSessPerServer <positive_integer>
<!--NeedCopy-->
要使用 Citrix SWG CLI 将前端 SSL 配置文件绑定到代理虚拟服务器
在命令提示符下,键入:
set ssl vserver <vServer name> -sslProfile <name>
<!--NeedCopy-->
通过导入用于 HTTP 流量的 URL 集来配置 URL 列表
有关如何配置用于 HTTP 流量的 URL 集的信息,请参阅 URL 集。
执行显式子域匹配
您现在可以对导入的 URL 集执行显式子域匹配。为此,import policy URLset 命令中添加了一个新参数“subdomainExactMatch”。
启用该参数后,URL 过滤算法将执行显式子域匹配。例如,如果传入 URL 是 news.example.com,并且 URL 集中的条目是 example.com,则算法不匹配这些 URL。
在命令提示符下,键入:
import policy urlset <name> [-overwrite] [-delimiter <character>][-rowSeparator <character>] -url [-interval <secs>] [-privateSet][-subdomainExactMatch] [-canaryUrl <URL>]
示例
import policy urlset test -url http://10.78.79.80/top-1k.csv -privateSet -subdomainExactMatch -interval 900
配置用于 HTTPS 流量的 URL 集
要使用 Citrix SWG CLI 配置用于 HTTPS 流量的 URL 集
在命令提示符下,键入:
add ssl policy <name> -rule <expression> -action <string> [-undefAction <string>] [-comment <string>]
<!--NeedCopy-->
示例:
add ssl policy pol1 -rule "client.ssl.client_hello.SNI.URLSET_MATCHES_ANY("top1m") -action INTERCEPT
<!--NeedCopy-->
使用 Citrix SWG 向导配置用于 HTTPS 流量的 URL 集
Citrix 建议您使用 Citrix SWG 向导作为配置 URL 列表的首选选项。使用向导导入自定义 URL 集并绑定到响应器策略。
- 登录到 Citrix SWG 设备并导航到 安全 Web 网关 > URL 过滤 > URL 列表。
- 在详细信息窗格中,单击 添加。
- 在 URL 列表策略 页面上,指定策略名称。
- 选择导入 URL 集的选项。
- 在 URL 列表策略 选项卡页面上,选中 导入 URL 集 复选框并指定以下 URL 集参数。
- URL 集名称 — 自定义 URL 集的名称。
- URL — 访问 URL 集的位置的 Web 地址。
- 覆盖 — 覆盖以前导入的 URL 集。
- 分隔符 — 分隔 CSV 文件记录的字符序列。
- 行分隔符 — CSV 文件中使用的行分隔符。
- 间隔 — URL 集更新的间隔(以秒为单位,四舍五入到最接近 15 分钟的秒数)。
- 私有集 — 防止导出 URL 集的选项。
- Canary URL — 用于测试 URL 集内容是否保密的内部 URL。URL 的最大长度为 2047 个字符。
- 从下拉列表中选择一个响应器操作。
- 单击 创建 和 关闭。
配置私有 URL 集
如果您配置私有 URL 集并使其内容保密,网络管理员可能不知道集中的黑名单 URL。对于此类情况,您可以配置一个 Canary URL 并将其添加到 URL 集。使用 Canary URL,管理员可以请求将私有 URL 集用于每个查找请求。您可以参考向导部分了解每个参数的说明。
要使用 Citrix SWG CLI 导入 URL 集:
在命令提示符下,键入:
import policy urlset <name> [-overwrite] [-delimiter <character>] [-rowSeparator <character>] -url <URL> [-interval <secs>] [-privateSet] [-canaryUrl <URL>]
<!--NeedCopy-->
示例:
import policy urlset test1 –url http://10.78.79.80/alytra/top-1k.csv -private -canaryUrl http://www.in.gr
<!--NeedCopy-->
显示导入的 URL 集
您现在除了可以显示已添加的 URL 集外,还可以显示已导入的 URL 集。为此,“show urlset”命令中添加了一个新参数“imported”。如果启用此选项,设备将显示所有导入的 URL 集,并将导入的 URL 集与已添加的 URL 集区分开来。
在命令提示符下,键入:
show policy urlset [<name>] [-imported]
示例
show policy urlset -imported
配置审核日志消息
审核日志记录使您能够查看 URL 列表过程任何阶段的条件或情况。当 Citrix ADC 设备收到传入 URL 时,如果响应器策略具有 URL 集高级策略表达式,审核日志功能会收集 URL 中的 URL 集信息,并将详细信息存储为审核日志记录允许的任何目标的日志消息。
- 日志消息包含以下信息:
- 时间戳。
- 日志消息类型。
- 预定义的日志级别(严重、错误、通知、警告、信息、调试、警报和紧急)。
- 日志消息信息,例如 URLset 名称、策略操作、URL。
要为 URL 列表功能配置审核日志记录,您必须完成以下任务:
- 启用审核日志。
- 创建审核日志消息操作。
- 使用审核日志消息操作设置 URL 列表响应器策略。
有关详细信息,请参阅 审核日志记录 主题。