Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Wie man eine URL-AntwortSeite über eine HTTPS-Session ohne SSL-... - Knowledge Base - Palo Alto Networks

Wie man eine URL-AntwortSeite über eine HTTPS-Session ohne SSL-Entschlüsselung bedient

235562
Created On 09/25/18 17:27 PM - Last Modified 09/17/24 05:28 AM


Resolution


Details

Dieses Dokument beschreibt, wie man das Palo Alto Networks-Gerät so konfiguriert, dass es eine URL-Antwortseite über eine HTTPS-Session ohne SSL-Entschlüsselung bedient.

 

Anforderungen

  • Erstellen Sie ein URL-Filter Profil, das die unerwünschten HTTP und HTTPS-Websites blockiert. Erstellen Sie eine SicherheitsPolitik mit einer Aktion von "Allow" und verknüpfen Sie dann das URL-Filter Profil mit ihm.

  • Antwortseiten müssen aktiviert sein. Dies kann nicht auf einer VWire-Schnittstelle durchgeführt werden, VWire benötigt SSL-Entschlüsselung, um eine Antwortseite bedienen zu können
    1. Netzwerk > Netzwerk Profile > Interface-Mgmt
      Erstellen Sie ein Interface-Management-Profil mit Antwortseiten aktiviert
    2. Netzwerk > Interfaces > Ethernet?/? > Advanced > Management Profile
      Wählen Sie Ihr Management Profil
  • Ein Zertifikat, das für uns Vertrauen auf die Palo Alto Networks-Gerät verwendet werden. wo ist es eines der folgenden:
    • EIN selbst signiertes/selbst generiertes Zertifikat, mit dem die Box für "ZertifikatsBehörde" geprüft wurde
      , ist zu beachten: bei Verwendung eines selbst signierten/SEF-generierten Zertifikats ist es notwendig, dieses Zertifikat in den Client-Rechner zu importieren. Zertifikats Shop zur Vermeidung unerwünschter Browser-Zertifikats Fehler
    • Ein intermediate CA-Zertifikat auf die Palo Alto Networks-Gerät, das von einer Organisation interne Zertifizierungsstelle generiert wurde installiert.
  • EIN Zertifikat, das für vorwärts-Unvertrauen verwendet werden soll, das ein selbst Zeichen/selbst generiertes cetifikat ist, mit dem die Box für "ZertifikatsBehörde" geprüft wurde. Dieses Zertifikat ist keinem Kunden zuzutrauen, der es erhält

Hinweis: Wenn Sie dynamische URL-Filterung mit Brightcloud verwenden, sollten Sie eine dynamische URL-Filterung auf allen URL-Filter Profilen sowie eine dynamische URL-Filterung weltweit aktivieren. Geben Sie aus dem Konfigurations Modus auf dem CLI des Geräts den folgenden Befehl ein:
# Set DeviceConfig-Einstellung URL Dynamic-URL ja
der obige Befehl funktioniert nur, wenn die Firewall für die brightcloud-URL-Filterung lizenziert ist. Es funktioniert nicht für PAN-DB-URL-Filterung.

 

Sobald die oben genannten Anforderungen erfüllt sind, aktivieren Sie die Möglichkeit des Geräts des Palo Alto Networks, URL-Filter-Antwortseiten innerhalb einer HTTPS-Sitzung mit folgendem Konfigurationsbefehl zu injizieren. Dieser Befehl funktioniert entweder mit BrightCloud oder PAN-DB URL Filter:

# setzen ja Deviceconfig Einstellung Ssl entschlüsseln Url-proxy

 

Client-Maschinen, die durch das Palo Alto Networks-Gerät stöbern, werden nun in einer HTTPS-Session, wie Sie von der URL-Filter Richtlinie diktiert wird, eine URL-Filterung

 

Vorbehalte mit weiter und überFahren

Die heutigen Websites Server-Inhalte kommen aus vielen Quellen, wenn die Bedienung einer URL-Antwort-Seite für eine Aktion des Typs FortGesetzt oder überFahren, ist es möglich, dass einige Inhalte auf der Seite nicht richtig wiedergegeben werden. Dies wird geschehen, wenn der Inhalt von einer Website kommt, die sich in einer Kategorie befindet, für die die Aktion blockiert, FortGesetzt oder überFahren wird. Die Firewall wird nicht die weiter-und override-Seite für jeden eingebetteten Link präsentieren.

 

Hinweis:
nachdem Sie das Zertifikat ersetzt haben, um das Verfallsdatum zu erneuern, starten Sie dataplane oder das Gerät neu.
Es entfernt den abgelaufenen Zertifikats Cache im Dataplane.

 

Besitzer: bvandivier



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFKCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language