Cómo servir una página de respuesta de URL en una sesión https sin descifrar SSL
Resolution
Detalles
Este documento describe cómo configurar el dispositivo Palo Alto Networks para que sirva una página de respuesta URL en una sesión https sin descifrar SSL.
Requisitos
Cree un perfil de filtrado de URL que bloquee los sitios web http y https no deseados. Cree una directiva de seguridad con una acción de "permitir" y, a continuación, vincule el perfil de filtrado de URL.
- Las páginas de respuesta deben estar habilitadas. Esto no se puede realizar en una interfaz VWire, VWire requiere desencriptación SSL para poder servir una página de respuesta
- Red > perfiles de red > Interface-MGMT
crear un perfil de administración de interfaces con páginas de respuesta habilitadas - Red > interfaces > Ethernet?/? > Advanced > Perfil de gestión
Seleccione su perfil de gestión
- Red > perfiles de red > Interface-MGMT
- Un certificado para ser utilizado para adelante confiar en el equipo de Palo Alto Networks. donde es uno de los siguientes:
- Un certificado autofirmado/autogenerado con el que se ha comprobado la casilla de "autoridad de certificación"
Nota: si se utiliza un certificado generado por uno mismo/con la caja fuerte, será necesario importar este certificado en el equipo del cliente almacén de certificados para evitar errores de certificado de explorador no deseados - Un certificado de CA intermedio instalado en el dispositivo de Palo Alto Networks que se generó por CA interna de la organización.
- Un certificado autofirmado/autogenerado con el que se ha comprobado la casilla de "autoridad de certificación"
- Un certificado que se utilizará para reenviar sin confianza, que es un cetificate auto-Sign/Self-generated con el cual la caja para la "autoridad del certificado" se ha comprobado. Este certificado no debe ser confiado por ningún cliente que lo reciba
Nota: si utiliza el filtrado dinámico de URL con BrightCloud, asegúrese de habilitar el filtrado dinámico de URL en todos los perfiles de filtrado de URL, así como el filtrado dinámico de URL globalmente. Desde el modo configure en la CLI del dispositivo, ingrese el siguiente comando:
# set deviceconfig Setting URL Dynamic-URL Yes
el comando anterior funcionará sólo si el cortafuegos tiene licencia para el filtrado de URL BrightCloud. No funciona para el filtrado de URL de PAN-DB.
Una vez cumplidos los requisitos anteriores, habilite la capacidad del dispositivo de Palo Alto Networks para inyectar páginas de respuesta de filtrado de URL dentro de una sesión https con el siguiente comando de configuración. Este comando funciona con BrightCloud o con el filtro URL de PAN-DB:
# configurar a deviceconfig configuración ssl-descifrar url proxy sí
Las máquinas cliente que naveguen por el dispositivo Palo Alto Networks ahora se servirá una respuesta de filtrado de URL dentro de una sesión https según lo dictado por la Directiva de filtrado de URL.
Advertencias con continuar y anular
El contenido del servidor de sitios web de hoy proviene de muchas fuentes, si sirve una página de respuesta de URL para una acción de tipo continue o override, es posible que algún contenido de la página no se pueda representar correctamente. Esto ocurrirá si el contenido procede de un sitio que se encuentra en una categoría para la que la acción está establecida en bloquear, continuar o reemplazar. El cortafuegos no presentará la página continuar y anular para cada vínculo incrustado.
Nota:
después de reemplazar el certificado para renovar la fecha de caducidad, reinicie el plan de datos o el dispositivo.
Elimina la caché de certificados caducadas en el plan de la misma.
Propietario: bvandivier