Cómo configurar las páginas de respuesta en el modo VWire
Resolution
Resumen
Este documento repasará los pasos básicos necesarios para configurar y demostrar páginas de bloque de aplicaciones y paginas de filtrado de URL mientras que el cortafuegos de Palo Alto Networks está en modo VWire.
Nota: no utilice Chrome para probar estas páginas. Chrome obligará a muchas conexiones a SSL incluso si la elección de tráfico no SSL, debido a este descifrado necesitará configuración debido a los errores de SSL introducidos.
Puede encontrar más información en el siguiente artículo: https://Live.paloaltonetworks.com/docs/DOC-3496
Pasos
- Desde el webgui, habilite la página del bloque de aplicaciones en el dispositivo > Response pages > acción activar:
- Verificar el VWire en la red > interfaces > Ethernet se está utilizando:
- Crear perfiles de filtrado de URL. Por ejemplo, el siguiente perfil buscará direcciones URL de redes sociales y presentará una página continua para no sólo supervisar, sino también cambiar el comportamiento del usuario.
Esto se hace yendo a: Object > perfiles de seguridad > filtrado de URL: - Crear directivas de seguridad para utilizar el perfil de URL en directivas > seguridad. La siguiente directiva de ejemplo coincidirá con todo el tráfico de ' dentro (confianza) a interfaces externas (no confiables) ' y coincidirá con el nombre de usuario de Active Directory. A continuación, tiene la Directiva de filtro URL creada anteriormente aplicada:
- Confirmar
- Los resultados son los siguientes:
de Firefox a http://Facebook.com con filtrado de URL sin desencriptación
: para https://Facebook.com en Firefox con filtrado de URL no descifrado:
para https://Facebook.com en Chrome con URL filtrado sin descifrado
Para bloqueo de aplicaciones en lugar de páginas de bloques de filtrado de URL
- Cambie la Directiva de seguridad a la siguiente:
quitar el perfil de URL, agregar Facebook como una aplicación, cambiar el servicio a la aplicación predeterminada y establecer la acción que se deniega: - Confirmar
- Resultados de la prueba
:
en Firefox a http://Facebook.com con el uso negado, ninguÌ n desciframiento:
en cromo a http://Facebook.com con el uso negado, ninguÌ n desciframiento:
en Firefox a https://Facebook.com con Aplicación denegada, sin desencriptación:
en Chrome a https://Facebook.com con aplicación denegada, sin desencriptación:
Habilitación de descifrado de proxy delantero o saliente, utilizando un certificado autofirmado
- Desde el WebGUI, vaya al dispositivo > gestión de certificado > certificados > generar. Cree un nuevo certificado autofirmado que sea una autoridad de certificado. Haga clic en generar y reciba el siguiente mensaje:
- Haga clic en el certificado para abrirlo y seleccione reenviar certificado de confianza:
- Ir a directivas > descifrado y crear una nueva Directiva de descifrado para que coincida con la siguiente:
zona de origen = confianza
usuario de origen = anuncio zona de destino de usuario
= desconfianza
acción = desencriptar
tipo = SSL-Forward-proxy - Confirmar
Probar páginas de bloque
de aplicaciones en Firefox: nota la conexión no es de confianza, porque no se ha agregado al certificado autofirmado de Palo Alto Networks a la carpeta raíz del equipo y los navegadores. Siga los pasos siguientes para agregar una excepción:
En Chrome: realiza el mismo proceso que en Firefox:
Para probar de nuevo el filtrado de URL, vuelva a cambiar la regla de seguridad al perfil de filtrado de URL utilizado anteriormente y commit.
En Firefox usando https://Facebook.com:
En Chrome usando https://Facebook.com:
Sin embargo, tenga en cuenta que antes de probar un error fue recibido como el de abajo, por lo que Chrome dependiendo de las extensiones y otras características de seguridad, puede tener más seguridad y puede buscar credenciales SSL no válidas para capturar "el hombre en los ataques del medio".