概要
このドキュメントでは、パロアルトネットワークファイアウォールが VWire モードになっているときに、アプリケーションブロックページと URL フィルタページをセットアップおよびデモンストレーションするために必要な基本手順について説明します。
注: Chrome を使用してこれらのページをテストしないでください。ssl 以外のトラフィックを選択した場合でも、Chrome は ssl への多くの接続を強制します, この復号化のために導入された ssl エラーのためのセットアップが必要になります.
追加情報については、次の資料を参照してください。https://live.paloaltonetworks.com/docs/DOC-3496
手順
- WebGUI から、[デバイス] > [応答ページ] > [アクションを有効にする] の [アプリケーションブロック] ページを有効にします。
- [ネットワーク] > [インターフェイス] > [イーサネット] の VWire が使用されていることを確認します。
- URL フィルタプロファイルを作成します。たとえば、次のプロファイルはソーシャルネットワーキング url を検索し、[続行] ページを表示して監視だけでなく、ユーザーの動作も変更します。
これは、[オブジェクト] > [セキュリティプロファイル] > [URL フィルタリング] によって行われます。
- [ポリシー] > [セキュリティ] で URL プロファイルを使用するセキュリティポリシーを作成します。 次のポリシー例では、すべてのトラフィックが ' 内部 (信頼) から外部 (untrust) インターフェイス ' に一致し、Active Directory ユーザー名と一致します。次に、上記で作成した URL フィルタポリシーを適用します。
- コミット
- 結果は次のとおりである: url の
ろ過の http://facebook.com への firefox から復号化無し: url のフィルタリングの
firefox の https://facebook.com のため復号化無し:
url が付いているクロムの https://facebook.com のために復号化なしのフィルタリング
URL フィルタリングのブロックページではなくアプリケーションブロックの場合
- セキュリティポリシーを次のように変更します:
URL プロファイルを削除し、アプリケーションとして Facebook を追加し、サービスをアプリケーションデフォルトに変更して、アクションを [拒否] に設定します。
- コミット
- テスト
結果:
firefox でアプリケーションが拒否されたと http://facebook.com する, 復号化なし:
Chrome では 、アプリケーションが拒否されたと http://facebook.com する, 復号化なし:
firefox でhttps://facebook.com するアプリケーションは、復号化を拒否:
Chrome では 、アプリケーションが拒否されたとhttps://facebook.comするには、復号化:
自己署名証明書を使用した基本転送プロキシまたは送信復号化の有効化
- WebGUI から、[デバイス] > [証明書の管理] > [証明書] > [生成] に移動します。証明機関である新しい自己署名証明書を作成します。[生成] をクリックし、次のメッセージを受信します。
- 証明書をクリックして開き、[信頼証明書の転送] を選択します。
- [ポリシー] > [復号化] に移動し、次に一致するように新しい復号化ポリシーを作成します。
ソースゾーン = 信頼
ソースユーザー = AD ユーザー
変換先ゾーン = Untrust
アクション = 暗号化解除の
種類 = ssl フォワードプロキシ
- コミット
Firefox でアプリケーションブロックページをテスト
する: メモ接続は、コンピュータとブラウザのルートフォルダに対して、パロアルトネットワークの自己署名証明書に追加されていないため、信頼できません。次の手順に従って例外を追加します。
Chrome で: Firefox と同じプロセスを実行します。
url フィルタを再度テストするには、セキュリティルールを以前に使用した url フィルタプロファイルに戻し、コミットします。
https://facebook.com を使用して Firefox で:
https://facebook.com を使用してクロームで:
ただし、次のようにエラーをテストする前に、拡張機能やその他のセキュリティ機能によっては Chrome がより多くのセキュリティを持つことができ、"中間攻撃の男" を捕まえるために無効な SSL 認証情報を検索できることに注意してください。