Comment configurer les pages de réponse en mode VWire
Resolution
Vue d’ensemble
Ce document va pas à pas les étapes de base nécessaires pour le paramétrage et la démonstration des pages de bloc d'Application et des pages de filtrage d'URL tandis que le pare-feu de Palo Alto Networks est en mode VWire.
Remarque: N'utilisez pas chrome pour tester ces pages. Chrome va forcer de nombreuses connexions à SSL, même si le choix du trafic non-SSL, en raison de ce décryptage aura besoin d'installation en raison d'erreurs SSL introduites.
Des informations supplémentaires peuvent être trouvées dans l'article suivant : https://Live.paloaltonetworks.com/docs/doc-3496
Étapes
- À partir du WebGUI, activez la page de bloc d'Application dans le périphérique > Response pages > action activer:
- Vérifiez le VWire dans le réseau > interfaces > Ethernet est utilisé:
- Créer des profils de filtrage d'URL. Par exemple, le profil suivant recherchera des URL de réseautage social et présentera une page continue non seulement pour surveiller, mais également pour modifier le comportement de l'utilisateur.
Cela se fait en allant à: Object > Security Profiles > filtrage d'URL: - Créez des stratégies de sécurité pour utiliser le profil d'URL dans stratégies > sécurité. L'exemple de stratégie suivant correspond à tout le trafic des interfaces'inside (Trust) vers outside (Untrust) 'et correspond au nom d'utilisateur Active Directory. Il a ensuite la stratégie de filtrage d'URL créée ci-dessus appliquée:
- Validation
- Les résultats sont les suivants:
de Firefox à http://Facebook.com avec filtrage d'url pas de décryptage:
pour https://Facebook.com dans Firefox avec filtrage d'url pas de décryptage:
pour https://Facebook.com dans le chrome avec l'URL filtrage sans décryptage
Pour le blocage d'Application au lieu des pages de bloc de filtrage d'URL
- Remplacez la stratégie de sécurité par ce qui suit:
supprimez le profil d'URL, ajoutez Facebook comme application, changez de service en application par défaut et définissez l'action à refuser: - Validation
- Résultats des tests
:
dans Firefox à http://Facebook.com avec l'application refusée, pas de décryptage:
en chrome à http://Facebook.com avec l' application refusée, pas de décryptage:
dans Firefox pour https://Facebook.com avec Application refusée, aucun décryptage:
dans chrome à https://Facebook.com avec l' application refusée, aucun décryptage:
Activation d'un proxy avant ou d'un décryptage sortant, à l'Aide d'un certificat auto-signé
- À partir du WebGUI, allez à Device > gestion des certificats > certificats > Generate. Créez un nouveau certificat auto-signé qui est une autorité de certification. Cliquez sur générer et recevez le message suivant:
- Cliquez sur le certificat pour l'ouvrir et sélectionnez transférer le certificat d'Approbation:
- Allez dans stratégies > décryptage et créez une nouvelle stratégie de décryptage pour correspondre à ce qui suit:
source zone = confiance
source utilisateur = AD user
destination zone =
action de confiance = déchiffrer
type = SSL-Forward-proxy - Validation
Testez les pages
de bloc d'Application dans Firefox: Notez que la connexion n'est pas fiable, car elle n'a pas été ajoutée au certificat auto-signé de Palo Alto Networks sur l'ordinateur et le dossier racine des navigateurs. Suivez les étapes ci-dessous pour ajouter une exception:
Dans Chrome: effectuez le même processus que dans Firefox:
Pour tester à nouveau le filtrage d'URL, remettez la règle de sécurité au profil de filtrage d'URL utilisé précédemment et Commit.
Dans Firefox en utilisant https://Facebook.com:
En chrome en utilisant https://Facebook.com:
Toutefois, S'il vous plaît noter que, avant de tester une erreur a été reçu comme celui ci-dessous, donc chrome en fonction des extensions et autres fonctionnalités de sécurité, peut avoir plus de sécurité et peut rechercher des informations d'identification SSL invalide pour attraper "l'Homme dans les attaques du milieu".