Comment servir une page de réponse d'URL sur une session HTTPS sans décryptage SSL
Resolution
Détails
Ce document décrit comment configurer le périphérique Palo Alto Networks pour qu'il serve une page de réponse d'URL sur une session HTTPS sans décryptage SSL.
Exigences en matière
Créez un profil de filtrage d'URL qui bloque les sites http et HTTPS indésirables. Créez une stratégie de sécurité avec une action de "Autoriser", puis liez le profil de filtrage d'URL à celui-ci.
- Les pages de réponse doivent être activées. Cela ne peut pas être effectué sur une interface VWire, VWire nécessite le décryptage SSL pour pouvoir servir une page de réponse
- Réseau > profils réseau > interface-Mgmt
créer un profil de gestion d'interface avec les pages de réponse activées - Réseau > interfaces > Ethernet?/? > Advanced > profil de gestion
Sélectionnez votre profil de gestion
- Réseau > profils réseau > interface-Mgmt
- Un certificat à utiliser pour avancer en confiance sur le périphérique de Palo Alto Networks. où il est un des numéros suivants :
- Un certificat auto-signé/auto-généré avec lequel la case «autorité de certification» a été cochée
Remarque: si vous utilisez un certificat auto-signé/SEF, il sera nécessaire d'importer ce certificat dans l'ordinateur client magasin de certificats pour éviter les erreurs de certificat de navigateur indésirables - Un certificat d’autorité de certification intermédiaire, installé sur le périphérique de Palo Alto Networks a été généré par l’autorité de certification interne de l’organisation.
- Un certificat auto-signé/auto-généré avec lequel la case «autorité de certification» a été cochée
- Certificat à utiliser pour la non-confiance en avant, qui est un cetificate auto-signé/auto-généré avec lequel la case «autorité de certification» a été cochée. Ce certificat ne doit pas être approuvé par un client qui le reçoit
Remarque: si vous utilisez le filtrage dynamique d'url avec BrightCloud, assurez-vous d'activer le filtrage dynamique d'url sur tous les profils de filtrage d'url ainsi que le filtrage dynamique des URL à l'échelle mondiale. À partir du mode de configuration sur la CLI du périphérique, entrez la commande suivante:
# Set deviceconfig Setting URL Dynamic-URL Yes
la commande ci-dessus ne fonctionne que si le pare-feu est autorisé pour le filtrage d'url BrightCloud. Il ne fonctionne pas pour le filtrage d'URL PAN-DB.
Une fois que les exigences ci-dessus ont été remplies, activez la capacité du périphérique Palo Alto Networks à injecter des pages de réponse de filtrage d'URL dans une session HTTPS avec la commande de configuration suivante. Cette commande fonctionne avec un filtre d'URL BrightCloud ou PAN-DB:
# deviceconfig paramètre url proxy ssl-décrypter la valeur Oui
Les machines clientes parcourant l'appareil de Palo Alto Networks seront désormais servies une réponse de filtrage d'url dans une session HTTPS comme dicté par la stratégie de filtrage d'url.
Mises en garde avec continue and override
Le contenu du serveur des sites Web d'aujourd'hui provient de nombreuses sources, si vous servez une page de réponse d'URL pour une action de type continue ou override, il est possible que certains contenus sur la page ne soient pas restitués correctement. Cela se produira si le contenu provient d'un site qui se trouve dans une catégorie pour laquelle l'action est définie sur bloquer, continuer ou remplacer. Le pare-feu ne présentera pas la page continuer et remplacer pour chaque lien incorporé.
Remarque:
après avoir remplacé le certificat pour renouveler la date d'expiration, redémarrez Dataplane ou le périphérique.
Il supprime le cache de certificat expiré dans Dataplane.
propriétaire: bvandivier