如何阻止互联网浏览器 (所有版本) 从互联网访问

在某些 web 浏览器需要完全阻止 http 或 https 的情况下, 帕洛阿尔托 NGFW 可以通过自定义签名提供粒状控制。在我们的例子中, 它是无处不在的互联网浏览器。该要求是为了防止 http 或 https 通信量, 应允许使用浏览器 (如 ftp) 的任何其他协议。 如何实现这个目标？

注意: 对于 https 通信, 解密是必需的. 在 SSL 握手后, 我们需要对通信量有充分的可见性。

1. 导航到 "对象" 选项卡。在 "应用程序" 下, 单击 "添加" 选项以创建新的应用程序.
   给出一个合适的名称、类别、子类别和技术.
2. 在 "签名" 选项卡下, 单击 "添加" 以添加新签名. 这将打开一个弹出框。
3. 在提供适当的名称后, 单击 "添加或条件" 或 "添加和条件". 由于我们正在添加一个条件, 所以任一选项都是好的。但是, 如果您要添加多个条件, 请选择合适的操作符。
4. 选择 "or 条件"或 "条件" 选项将打开另一个弹出框. 在这里, 您应该选择以下内容:
   • 运算符模式匹配
   • 上下文- http-应用于标头
   • 模式-三叉戟 \
5. 最后, 将其添加到特定的拒绝策略中。略有不同, 您可以选择 "重置 (客户端、服务器或两者) " 的操作。这将使会话更快结束, 并且可以更快地释放防火墙上的资源。

验证：

如果所有的配置都正确无误, 我们应该看到防火墙采取的正确操作。因此, 通信日志应该如下所: 

在客户端上, 浏览器将立即显示 "此页无法显示" 或类似的消息。

但是, 由于预期通过 web 浏览器进行的 FTP 访问工作正常。

如果我们接受包捕获, 我们将观察在 TCP 流中注入的 RST 数据包:

其他评论:

此签名是从 "获取数据包" 中的 "用户代理" 字段派生的。如果需要, 同样的技术可以用于其他 web 浏览器或不同版本的匹配。例如, 要匹配所有版本的火狐, 模式将是火狐 \ 等等。

所有者-ansharma