インターネットアクセスから internet Explorer (すべてのバージョン) をブロックする方法

特定の web ブラウザが http または https のために完全にブロックされる必要があるシナリオでは、パロアルト NGFW は、カスタム署名を介してきめ細かな制御を提供することができます。この例では、ユビキタス・ internet Explorer になります。要件は、http または https トラフィックのみを防ぐためには、ブラウザを使用して他のプロトコル (ftp など) を許可する必要があります。 どのようにこれを達成するには?

注: 復号化は https トラフィックのための必須です。我々は、SSL ハンドシェイク後のトラフィックの完全な可視性を持っている必要があります。

1. [オブジェクト] タブに移動します。[アプリケーション] で、[追加] をクリックして新しいアプリケーションを作成します。
   適切な名前、カテゴリ、サブカテゴリ、およびテクノロジを提供します。
2. [署名] タブで、[追加] をクリックして新しい署名を追加します。これでポップアップボックスが開きます。
3. 適切な名前を指定したら、[追加] または [条件]または [追加と条件 ] のいずれかをクリックします。1つの条件を追加しているので、どちらのオプションでも問題ありません。ただし、複数の条件を追加する場合は、適切な演算子を選択してください。
4. 「or 条件」または「条件」オプションを選択すると、別のポップアップボックスが開きます。ここでは、次のものを選択します。
   • 演算子-パターンマッチ
   • コンテキスト- http-必須ヘッダー
   • パターン-トライデント \/
5. 最後に、特定の拒否ポリシーに追加します。わずかな違いとして、あなたは 'リセット (クライアント、サーバーまたはその両方)' としてアクションを選択することができます。これにより、セッションがより速く終了し、ファイアウォール上のリソースを迅速に解放できます。

検証：

すべてが正しく構成されていれば、ファイアウォールによって適切なアクションが実行されるはずです。その結果、トラフィックログは次のようになります。 

クライアントでは、ブラウザはすぐに ' このページを表示することはできません ' または同様のメッセージが表示されます。

しかし、web ブラウザを介して期待される FTP のアクセスだけで正常に動作します。

パケットキャプチャを実行する場合は、TCP ストリームに挿入された RST パケットを観察します。

追加のコメント:

このシグネチャは、GET パケットの ' ユーザーエージェント ' フィールドから派生します。必要に応じて、同じ手法を他の web ブラウザや異なるバージョンに合わせて使用することもできます。たとえば、firefox のすべてのバージョンと一致させるために、パターンは firefox \/などになります。

所有者-ansharma