如何在没有 SSL 解密的 HTTPS 会话上为 URL 响应页提供服务

详细

本文档介绍如何配置帕洛阿尔托网络设备, 以在不带 SSL 解密的 HTTPS 会话上为 URL 响应页提供服务。

要求

• 创建用于阻止不需要的 HTTP 和 HTTPS 网站的 URL 筛选配置文件。创建一个具有 "允许" 操作的安全策略, 然后将 URL 筛选配置文件链接到它。

• 必须启用响应页。这不能在 VWire 接口上执行, VWire 需要 SSL 解密才能为响应页提供服务
  1. 网络 > 网络配置文件 > 接口
     管理创建启用响应页的接口处理配置文件
  2. 网络 > 接口 > 以太网？/？>> 高级 > 管理配置文件
     选择您的管理配置文件
• 要用于向前信任在帕洛阿尔托网络设备上的证书。它在哪里下列操作之一：
  • 已选中 "证书颁发机构" 框的自签名/自生成证书
    注意:如果使用自签名/生成的证书, 则需要将此证书导入客户端计算机的证书存储以避免不需要的浏览器证书错误
  • 这由组织内部 CA 生成的帕洛阿尔托网络设备上安装的中间 CA 证书。
• 用于转发不信任的证书, 它是一个自签名/自生成的事务所确认, 用于 "证书颁发机构" 框的检查。此证书不受接收它的任何客户端的信任

注意:如果对 BrightCloud 使用动态 url 筛选, 请确保对所有 URL 筛选配置文件以及全局动态 url 筛选启用动态 url 筛选. 从设备 CLI 上的配置模式中, 输入以下命令:
# 设置 deviceconfig 设置 url 动态 url 是的
, 只有当防火墙被授权进行 BrightCloud url 筛选时, 上述命令才会起作用. 它对泛 DB URL 筛选不起作用。

一旦满足上述要求, 就可以使用以下配置命令, 使帕洛阿尔托网络设备能够在 HTTPS 会话中注入 URL 筛选响应页。此命令适用于 BrightCloud 或泛 DB URL 筛选器:

# 设置 deviceconfig 设置 ssl 解密 url 代理是

现在, 通过帕洛阿尔托网络设备浏览的客户端机器将按照 url 筛选策略的指示, 在 HTTPS 会话中提供 url 筛选响应。

继续和重写时的警告

今天的网站服务器内容来自许多来源, 如果为某种类型的操作继续或重写服务 URL 响应页, 则可能是页上的某些内容可能无法正确呈现。如果内容来自某个类别中的网站 (该操作被设置为阻止、继续或重写), 则会发生这种情况。防火墙将不显示每个嵌入链接的 "继续" 和 "覆盖" 页。

注意: 将
证书替换为续订到期日期后, 重新启动 Dataplane 或设备.
它将删除 Dataplane 中过期的证书缓存.

所有者: bvandivier