Comment configurer les pages de réponse en mode VWire

Comment configurer les pages de réponse en mode VWire

53399
Created On 09/25/18 17:46 PM - Last Modified 06/07/23 08:04 AM


Resolution


Vue d’ensemble

Ce document va pas à pas les étapes de base nécessaires pour le paramétrage et la démonstration des pages de bloc d'Application et des pages de filtrage d'URL tandis que le pare-feu de Palo Alto Networks est en mode VWire.

 

Remarque: N'utilisez pas chrome pour tester ces pages. Chrome va forcer de nombreuses connexions à SSL, même si le choix du trafic non-SSL, en raison de ce décryptage aura besoin d'installation en raison d'erreurs SSL introduites. 

 

Des informations supplémentaires peuvent être trouvées dans l'article suivant : https://Live.paloaltonetworks.com/docs/doc-3496

Étapes

  1. À partir du WebGUI, activez la page de bloc d'Application dans le périphérique > Response pages > action activer:image1-Response pages. png

  2. Vérifiez le VWire dans le réseau > interfaces > Ethernet est utilisé:image2-interfaces. png

  3. Créer des profils de filtrage d'URL. Par exemple, le profil suivant recherchera des URL de réseautage social et présentera une page continue non seulement pour surveiller, mais également pour modifier le comportement de l'utilisateur. 
    Cela se fait en allant à: Object > Security Profiles > filtrage d'URL:PE3-URL Filtering. png

  4. Créez des stratégies de sécurité pour utiliser le profil d'URL dans stratégies > sécurité.  L'exemple de stratégie suivant correspond à tout le trafic des interfaces'inside (Trust) vers outside (Untrust) 'et correspond au nom d'utilisateur Active Directory. Il a ensuite la stratégie de filtrage d'URL créée ci-dessus appliquée:

    Image 4-politique de sécurité. png

  5. Validation
  6. Les résultats sont les suivants:
    de Firefox à http://Facebook.com avec filtrage d'url pas de décryptage:Image 5-Firefox 1. png

    pour https://Facebook.com dans Firefox avec filtrage d'url pas de décryptage:Image 6-FireFox 2. png

    pour https://Facebook.com dans le chrome avec l'URL filtrage sans décryptage Image 7-chrome 1. png


Pour le blocage d'Application au lieu des pages de bloc de filtrage d'URL

  1. Remplacez la stratégie de sécurité par ce qui suit:
    supprimez le profil d'URL, ajoutez Facebook comme application, changez de service en application par défaut et définissez l'action à refuser:

    Image 8-Security application. png
  2. Validation
  3. Résultats des tests
    :
    dans Firefox à http://Facebook.com avec l'application refusée, pas de décryptage:Image 9-Firefox 4. png

    en chrome à http://Facebook.com avec l' application refusée, pas de décryptage:Image 10-Firefox 5. png

    dans Firefox pour https://Facebook.com avec Application refusée, aucun décryptage:Image 11-Firefox 6. png

    dans chrome à https://Facebook.com avec l' application refusée, aucun décryptage: Image 12-Chrome 2. png


Activation d'un proxy avant ou d'un décryptage sortant, à l'Aide d'un certificat auto-signé

  1. À partir du WebGUI, allez à Device > gestion des certificats > certificats > Generate. Créez un nouveau certificat auto-signé qui est une autorité de certification. Cliquez sur générer et recevez le message suivant: Image 13-CERT. png

  2. Cliquez sur le certificat pour l'ouvrir et sélectionnez transférer le certificat d'Approbation:

    Image 14-CERT 2. png

  3. Allez dans stratégies > décryptage et créez une nouvelle stratégie de décryptage pour correspondre à ce qui suit:
    source zone = confiance
    source utilisateur = AD user
    destination zone =
    action de confiance = déchiffrer
    type = SSL-Forward-proxy

    Image 15-decryption. png
  4. Validation

Testez les pages
de bloc d'Application dans Firefox: Notez que la connexion n'est pas fiable, car elle n'a pas été ajoutée au certificat auto-signé de Palo Alto Networks sur l'ordinateur et le dossier racine des navigateurs. Suivez les étapes ci-dessous pour ajouter une exception:
Image 16-Firefox SSL 1. png

Image 17-Firefox SSL 2. png

Image 18-Firefox SSL 3. png

Dans Chrome: effectuez le même processus que dans Firefox:

Image 19-chrome SSL 1. png

 

Image 20-chrome SSL 2. png

 

Image 21-chrome SSL 3. png

 

Pour tester à nouveau le filtrage d'URL, remettez la règle de sécurité au profil de filtrage d'URL utilisé précédemment et Commit.

 Dans Firefox en utilisant https://Facebook.com: Image 22-Firefox SSL 4. png

En chrome en utilisant https://Facebook.com: Image 23-Firefox SSL 5. png

 

Toutefois, S'il vous plaît noter que, avant de tester une erreur a été reçu comme celui ci-dessous, donc chrome en fonction des extensions et autres fonctionnalités de sécurité, peut avoir plus de sécurité et peut rechercher des informations d'identification SSL invalide pour attraper "l'Homme dans les attaques du milieu".

Image 24-chrome SSL 5. png

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJcCAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language