如何阻止一个特定的 HTTPS 站点的 URL 过滤

概述

阻止特定的 HTTPS 站点时，在同一时间，允许一切根据该网站的 URL 过滤带来了一些挑战。

例如, 要求是阻止 "https://public.example.com/extension1/a", 但允许 "https://public.example.com/extension1/b".

使用安全策略和自定义的 URL 类别将只匹配"颁发给"公用名称 (CN) 上提供该网站的证书。

注意: 随着 PAN OS 6.0 的发布, 有一个额外的匹配通过 SNI 字段, 这是显示在 SSL 客户端 "你好消息。有关详细信息, 请参阅:当多个 url 位于同一 IP 后面时, 在解密策略中解析 URL 类别.

下面的示例截图显示常见名称值为"*.最经典"。

安全策略可以阻止"*。最经典"，但这将导致阻塞整个站点。因为这不是预期的结果，需要配置 URL 过滤配置文件。然而，与 URL 过滤配置文件，问题是防火墙需要看着会议能够接的完整 URL。本届会议是 ssl 加密和防火墙不能进行检查，以适用 URL 筛选，除非交通启用解密策略。

应小心执行解密。如果不已经实现在防火墙上，目标是要配置解密检查所需的交通。在解密策略中，还有一个 URL 类别选项。解密不知道具体的子页面上 https 站点要求阻止，因为它在安全策略相同的方式工作。解密政策会检查"发布到 CN"上提交的证书。如果它与"URL 类别"下的设置相匹配，那么它将解密 SSL 会话。

这是有用的当解密只为交通 *。最经典，但应用 URL 筛选器阻止只有当用户转到： public.example.com/extension1/a

注意: 从上面的 URL 中删除了 "https://".

步骤

步骤如下所示配置所需的行为：

1. 转到对象 > 自定义对象 > URL 类别添加名为"示例黑名单"自定义 URL 类别。添加公共. com/extension1/a 作为 URL, 不要预置https://到 url 列表.
   
2. 转到对象 > 自定义对象 > URL 类别添加自定义的 URL 类别命名"通配符黑名单"。添加 *.链接到的 URL 列表。
   
3. 转到对象 > 安全配置文件 > URL 过滤，创建一个 URL 筛选配置文件，命名为"列入黑名单 HTTPS 网站"与"示例黑名单"自定义 URL 类别与行动 * 块 * （将上基块类别的 URL 过滤配置文件列出）
   
4. 转到政策 > 安全、添加信任不信任命名"否认 HTTPS 站点"的交通安全策略、离开行动允许，选择配置文件设置 > 配置文件类型和选择的配置文件。选择 URL 过滤"列入黑名单的 HTTPS 站点"。
   
5. 转到设备 > 证书管理 > 证书，生成两个自签名的 CA 证书，一个命名"帕洛阿尔托解密受信任"和一个命名"帕洛阿尔托解密不受信任"。证书的 CN 可以是防火墙的可信的 IP 为"Palo Alto 解密不受信任"，和别的通缉"帕洛阿尔托解密受信任"（导出该证书并将它推到使用组策略的用户）。打开"帕洛阿尔托解密受信任"的证书，标志"期待信任的证书"复选框。打开"帕洛阿尔托解密不受信任"的证书，标志着"提出不信任的证书"复选框。
   
6. 转到政策 > 解密，添加名为"解密列入黑名单网站"，设置的源区信托，解密策略目标区域不信任，选择 URL 类别"通配符黑名单"，并选择行动： 解密，类型： SSL 转发代理服务器。
7. 提交, https://public.example.com/extension1/a现在将被阻止.

所有者： mivaldi