Wie man eine URL-AntwortSeite über eine HTTPS-Session ohne SSL-Entschlüsselung bedient
Resolution
Details
Dieses Dokument beschreibt, wie man das Palo Alto Networks-Gerät so konfiguriert, dass es eine URL-Antwortseite über eine HTTPS-Session ohne SSL-Entschlüsselung bedient.
Anforderungen
Erstellen Sie ein URL-Filter Profil, das die unerwünschten HTTP und HTTPS-Websites blockiert. Erstellen Sie eine SicherheitsPolitik mit einer Aktion von "Allow" und verknüpfen Sie dann das URL-Filter Profil mit ihm.
- Antwortseiten müssen aktiviert sein. Dies kann nicht auf einer VWire-Schnittstelle durchgeführt werden, VWire benötigt SSL-Entschlüsselung, um eine Antwortseite bedienen zu können
- Netzwerk > Netzwerk Profile > Interface-Mgmt
Erstellen Sie ein Interface-Management-Profil mit Antwortseiten aktiviert - Netzwerk > Interfaces > Ethernet?/? > Advanced > Management Profile
Wählen Sie Ihr Management Profil
- Netzwerk > Netzwerk Profile > Interface-Mgmt
- Ein Zertifikat, das für uns Vertrauen auf die Palo Alto Networks-Gerät verwendet werden. wo ist es eines der folgenden:
- EIN selbst signiertes/selbst generiertes Zertifikat, mit dem die Box für "ZertifikatsBehörde" geprüft wurde
, ist zu beachten: bei Verwendung eines selbst signierten/SEF-generierten Zertifikats ist es notwendig, dieses Zertifikat in den Client-Rechner zu importieren. Zertifikats Shop zur Vermeidung unerwünschter Browser-Zertifikats Fehler - Ein intermediate CA-Zertifikat auf die Palo Alto Networks-Gerät, das von einer Organisation interne Zertifizierungsstelle generiert wurde installiert.
- EIN selbst signiertes/selbst generiertes Zertifikat, mit dem die Box für "ZertifikatsBehörde" geprüft wurde
- EIN Zertifikat, das für vorwärts-Unvertrauen verwendet werden soll, das ein selbst Zeichen/selbst generiertes cetifikat ist, mit dem die Box für "ZertifikatsBehörde" geprüft wurde. Dieses Zertifikat ist keinem Kunden zuzutrauen, der es erhält
Hinweis: Wenn Sie dynamische URL-Filterung mit Brightcloud verwenden, sollten Sie eine dynamische URL-Filterung auf allen URL-Filter Profilen sowie eine dynamische URL-Filterung weltweit aktivieren. Geben Sie aus dem Konfigurations Modus auf dem CLI des Geräts den folgenden Befehl ein:
# Set DeviceConfig-Einstellung URL Dynamic-URL ja
der obige Befehl funktioniert nur, wenn die Firewall für die brightcloud-URL-Filterung lizenziert ist. Es funktioniert nicht für PAN-DB-URL-Filterung.
Sobald die oben genannten Anforderungen erfüllt sind, aktivieren Sie die Möglichkeit des Geräts des Palo Alto Networks, URL-Filter-Antwortseiten innerhalb einer HTTPS-Sitzung mit folgendem Konfigurationsbefehl zu injizieren. Dieser Befehl funktioniert entweder mit BrightCloud oder PAN-DB URL Filter:
# setzen ja Deviceconfig Einstellung Ssl entschlüsseln Url-proxy
Client-Maschinen, die durch das Palo Alto Networks-Gerät stöbern, werden nun in einer HTTPS-Session, wie Sie von der URL-Filter Richtlinie diktiert wird, eine URL-Filterung
Vorbehalte mit weiter und überFahren
Die heutigen Websites Server-Inhalte kommen aus vielen Quellen, wenn die Bedienung einer URL-Antwort-Seite für eine Aktion des Typs FortGesetzt oder überFahren, ist es möglich, dass einige Inhalte auf der Seite nicht richtig wiedergegeben werden. Dies wird geschehen, wenn der Inhalt von einer Website kommt, die sich in einer Kategorie befindet, für die die Aktion blockiert, FortGesetzt oder überFahren wird. Die Firewall wird nicht die weiter-und override-Seite für jeden eingebetteten Link präsentieren.
Hinweis:
nachdem Sie das Zertifikat ersetzt haben, um das Verfallsdatum zu erneuern, starten Sie dataplane oder das Gerät neu.
Es entfernt den abgelaufenen Zertifikats Cache im Dataplane.
Besitzer: bvandivier