Wie man AntwortSeiten im VWire-Modus einsteckt
Resolution
Übersicht
Dieses Dokument wird die grundlegenden Schritte durchführen, die notwendig sind, um Anwendungs Block Seiten und URL-Filter Seiten einzurichten und zu demonstrieren, während die Palo Alto Networks Firewall im VWire-Modus ist.
Hinweis: verwenden Sie Chrome nicht, um diese Seiten zu testen. Chrome wird viele Verbindungen zu SSL erzwingen, auch wenn die Auswahl von nicht-SSL-Traffic, da diese Entschlüsselung aufgrund von SSL-Fehlern eingerichtet werden muss.
Weitere Informationen finden Sie im folgenden Artikel: https://Live.paloaltonetworks.com/docs/doc-3496
Schritte
- Aus dem WebGUI, aktivieren Sie die Anwendungs-Block-Seite in Gerät > Response-Seiten > Aktion aktivieren:
- ÜberPrüfen Sie den VWire im Netzwerk > Interfaces > Ethernet wird verwendet:
- URL-Filter Profile erstellen. Zum Beispiel wird das folgende Profil nach Social-Networking-URLs suchen und eine fort-Seite präsentieren, die nicht nur das Nutzerverhalten überwacht, sondern auch verändert.
Dies geschieht, indem man zu: Objekt > SicherheitsProfile > URL-Filterung: - Erstellen Sie Sicherheitsrichtlinien, um das URL-Profil in der RichtLinien > Sicherheit zu verwenden. Die folgende Beispiel-Richtlinie wird den gesamten Datenverkehr von ' innen (Vertrauen) nach außen (unvertrauens-) Schnittstellen ' und mit dem Namen des aktiven Verzeichnisses übereinstimmen. Es hat dann die oben erstellte URL-Filter-Richtlinie angewendet:
- Commit
- Die Ergebnisse sind wie folgt:
von Firefox bis http://Facebook.com mit URL-Filterung keine Entschlüsselung:
für https://Facebook.com in Firefox mit URL-Filterung keine Entschlüsselung:
für https://Facebook.com in Chrome mit URL Filterung keine Entschlüsselung
Für die Anwendung sperren statt URL-Filterung Block Seiten
- Ändern Sie die Sicherheitsrichtlinien auf Folgendes:
Entfernen Sie das URL-Profil, fügen Sie Facebook als Anwendung hinzu, ändern Sie den Dienst in der Anwendung-Standard und setzen Sie die Aktion auf Deny: - Commit
- Test
Ergebnisse:
in Firefox zu http://Facebook.com mit Anwendung verweigert, keine Entschlüsselung:
in Chrome zu http://Facebook.com mit Anwendung verweigert, keine Entschlüsselung:
in Firefox zu https://Facebook.com mit Anwendung verweigert, keine Entschlüsselung:
in Chrome zu https://Facebook.com mit Anwendung verweigert, keine Entschlüsselung:
Die Ermöglichung eines GrundLegenden Forward-Proxy oder einer Outbound-Entschlüsselung mit einem selbst signierten Zertifikat
- Von der WebGUI, gehen Sie zum Gerät > Zertifikats Management > Zertifikate > generieren. Erstellen Sie ein neues, selbst signiertes Zertifikat, das eine Zertifikatsbehörde ist. Klicken Sie auf generieren und erhalten Sie folgende Nachricht:
- Klicken Sie auf das Zertifikat, um es zu öffnen und wählen Sie das Treuhand Zertifikat:
- Gehen Sie zu den RichtLinien > Entschlüsselung und erstellen Sie eine neue Entschlüsselungs Richtlinie, die den folgenden entspricht:
Quell Zone = Treuhand
Quelle-Benutzer = AD-User-
Zielzone = Untrust
-Aktion = Entschlüsselungs
Typ = SSL-Forward-Proxy - Commit
Test-Anwendung Block Seiten
in Firefox: Beachten Sie, dass die Verbindung nicht vertrauenswürdig ist, weil Sie nicht zu den Palo Alto Networks selbst signierten Zertifikat an den Computer und Browser Root-Ordner hinzugefügt wurde. Folgen Sie den folgenden Schritten, um eine Ausnahme hinzuzufügen:
In Chrome: führen Sie den gleichen Prozess wie in Firefox:
Um die URL-Filterung erneut zu testen, schalten Sie die Sicherheitsregel zurück auf das zuvor verwendete URL-Filter Profil und verpflichten Sie sich.
In Firefox mit https://Facebook.com:
In Chrome mit https://Facebook.com:
Bitte beachten Sie jedoch, dass vor dem Testen ein Fehler wie der unten empfangen wurde, so dass Chrome, abhängig von Erweiterungen und anderen Sicherheitsmerkmalen, mehr Sicherheit haben und nach ungültigen SSL-Berechtigungen suchen kann, um "man in den mittleren Angriffen" zu fangen.