SSL 復号化せずに HTTPS セッションを介して URL 応答ページを提供する方法

詳細

このドキュメントでは、SSL 復号化なしで HTTPS セッションを介して URL 応答ページを提供するように、パロアルトネットワークデバイスを構成する方法について説明します。

要件

• 不要な HTTP および HTTPS web サイトをブロックする URL フィルタプロファイルを作成します。"許可" のアクションを使用してセキュリティポリシーを作成し、URL フィルタプロファイルをリンクします。

• 応答ページを有効にする必要があります。これは VWire インターフェイスでは実行できず、VWire は応答ページを提供できるように SSL 復号化を必要とします。
  1. ネットワーク > ネットワークプロファイル > インターフェイスの
     管理応答ページが有効になっているインターフェイスマネジメントプロファイルを作成する
  2. ネットワーク > インタフェース > イーサネット?> 詳細設定 > 管理プロファイル
     管理プロファイルを選択します。
• パロ ・ アルトのネットワーク デバイスに前方信頼に使用される証明書。次のいずれかです。
  • "証明機関" のボックスがチェックされている自己署名/自己生成証明書
    メモ:自己署名/sef によって生成された証明書を使用する場合は、この証明書をクライアントコンピュータにインポートする必要があります不要なブラウザ証明書エラーを回避するための証明書ストア
  • 組織の内部の CA によって生成されたパロ ・ アルトのネットワーク デバイスにインストールされて、中間 CA の証明書。
• "証明機関" のボックスがチェックされている自己署名/自己生成 cetificate であるフォワード Untrust に使用される証明書。この証明書は、受信したすべてのクライアントから信頼されることはありません。

注意: BrightCloud で動的 url フィルタリングを使用する場合は、すべての url フィルタリングプロファイルで動的 url フィルタリングを有効にし、グローバルに動的なurl フィルタリングを行うようにしてください。デバイスの CLI の構成モードから、次のコマンドを入力します。
# set deviceconfig 設定 url 動的 url yes
上記のコマンドは、ファイアウォールが BrightCloud url フィルタリング用にライセンス供与されている場合にのみ動作します。パン DB URL フィルタリングでは機能しません。

上記の要件が満たされたら、次の構成コマンドを使用して、HTTPS セッション内で URL フィルタリング応答ページを挿入できるように、パロアルトネットワークデバイスの機能を有効にします。このコマンドは、BrightCloud またはパン DB URL フィルタのいずれかで動作します。

# 設定 deviceconfig 設定 ssl 復号化 url プロキシはい

パロアルトネットワークデバイスを参照するクライアントマシンは、url フィルタリングポリシーによって決定されるように、HTTPS セッション内で url フィルタリング応答を提供するようになりました。

続行と上書きに関する注意事項

今日の web サイトのサーバーのコンテンツは、多くのソースから来ている場合は、URL の応答ページの種類のアクションの継続またはオーバーライドを提供する場合は、ページ上の一部のコンテンツが正しくレンダリングされない可能性があります。これは、アクションがブロック、継続、または上書きに設定されているカテゴリにあるサイトからコンテンツが来ている場合に発生します。ファイアウォールは、埋め込まれた各リンクに対して [続行] ページと [上書き] を表示しません。

注:
証明書を交換した後、有効期限を更新するには、Dataplane またはデバイスを再起動します。
Dataplane の期限切れの証明書キャッシュを削除します。

所有者: bvandivier