概述
此文档将演练在帕洛阿尔托网络防火墙处于 VWire 模式时设置和演示应用程序块页和 URL 筛选页所需的基本步骤。
注意:不要使用 Chrome 来测试这些页面. 即使选择非 ssl 通信, Chrome 也会强制许多连接到 ssl, 因为由于引入了 ssl 错误, 此解密将需要设置。
其他信息可以在下面的文章中找到: https://live.paloaltonetworks.com/docs/DOC-3496
步骤
- 从 WebGUI 中, 启用设备 > 响应页中的应用程序块页 > 操作启用:
- 验证网络 >> 接口中的 VWire 正在使用以太网:
- 创建 URL 筛选配置文件。例如, 下面的配置文件将查找社交网络 url, 并显示一个持续页面, 不仅监视, 而且还会更改用户行为。
这是通过去: 对象 >> 安全配置文件 > URL 筛选:
- 创建安全策略以在策略 > 安全性中使用 URL 配置文件。 下面的示例策略将匹配来自 "内部 (信任) 到外部 (不信任) 接口" 的所有通信, 并匹配活动目录用户名。然后, 它在应用上面创建的 URL 筛选器策略:
- 提交
- 结果如下:
从火狐到http://facebook.com与 url 过滤没有解密:
为https://facebook.com在火狐与 url 过滤没有解密:
为https://facebook.com在 Chrome 与 url筛选无解密
对于应用程序阻止而不是 URL 筛选块页
- 将安全策略更改为以下内容:
删除 URL 配置文件, 将 Facebook 添加为应用程序, 将服务更改为应用程序默认值, 并将操作设置为 "拒绝":
- 提交
- 测试
结果:
在 firefox 中, http://facebook.com与应用程序被拒绝, 没有解密:
在 Chrome http://facebook.com与应用程序被拒绝, 没有解密:
在 firefox 中https://facebook.com与应用程序被拒绝, 没有解密:
在 Chrome 中https://facebook.com 应用程序被拒绝, 没有解密:
使用自签名证书启用基本转发代理或出站解密
- 从 WebGUI, 转到设备 > 证书管理 > 证书 > 生成。创建作为证书颁发机构的新的自签名证书。单击 "生成并接收以下消息":
- 单击证书以打开它并选择 "转发信任证书":
- 转到策略 > 解密并创建新的解密策略以匹配以下内容:
源区域 = 信任
源用户 = AD 用户
目标区域 = 不信任
操作 = 解密
类型 = ssl 转发代理
- 提交
在火狐中测试应用程序块页
: 注意连接不受信任, 因为它尚未添加到帕洛阿尔托网络自签名证书到计算机和浏览器根文件夹. 按照以下步骤添加异常:
在 Chrome: 执行与火狐相同的过程:
若要再次测试 URL 筛选, 请将安全规则切换回以前使用并提交的 url 筛选配置文件。
在火狐使用https://facebook.com:
在 Chrome 使用https://facebook.com:
但是, 请注意, 在测试错误之前, 像下面的一样, 所以 Chrome 取决于扩展和其他安全功能, 可以有更多的安全性, 并可以搜索无效的 SSL 凭据, 以捕获 "人在中间攻击"。