配置 URL 管理覆盖

 用于凭据筛选器检测

用户凭据提交 = 继续

在某些情况下, 可能有您希望警告用户有关凭据检测而不是直接阻止的 URL 类别。在这些情况下, 您希望显示一个初始页面以警告用户, 但允许用户继续前进。在这种情况下, 您可以将用户凭据提交操作设置为 "继续"。当用户尝试浏览到该类别时, 将显示一个初始页面, 通知他们检测到的用户凭据, 但如果他们选择, 则允许继续。使用以下过程可以在继续操作时配置用户凭据提交:

第 1 步：

创建管理配置文件以使接口能够显示 URL 筛选继续并覆盖页面响应页:

1. 选择 "网络 > 接口管理", 然后单击 "添加"。
2. 输入配置文件的名称, 选择响应页和所需的任何其他服务 (ping), 然后单击 "确定"。

创建3层接口或使用已经存在的接口 (即防火墙的内部接口)。一定要附加您刚创建的管理配置文件 (在 "以太网接口" 对话框的 "高级 > 其他信息" 选项卡上)。

上面的图片是我的防火墙内部接口

第 2 步：

(要避免证书错误, 请使用组织中受信任 CA 签名的证书)。应根据以下参数创建证书:

1. 公用名称必须是内部接口/防火墙的其他接口的 DNS 主机名, 或者它必须是防火墙的内部接口 ip 地址/其他接口 ip 地址。(它必须与您在步骤5点6中配置的内容相匹配)。
2. 证书上还必须存在步骤 a 的 IP 地址的 SAN。
3. 将证书和私有导入防火墙。
   我的防火墙内部接口没有相应的 DNS 名称, 所以我必须直接使用接口的 ip 地址作为 CN 和 SAN

第 3 步 ︰

1. 选择对象 > 安全配置文件 > URL 筛选, 或者选择一个现有的 URL 筛选配置文件或添加一个新的。
2. 在 "类别" 选项卡上, 将用户凭据提交操作设置为每个需要警告飞溅页的类别 "继续"。
3. 完成 URL 筛选配置文件中的其余部分, 然后单击 "确定" 保存配置文件。在上面的图片中, 我已经将用户凭据提交操作设置为共享软件和免费网站的 "继续"

第 4 步 ︰

1. 从设备创建 SSL/tls 服务配置文件->> 证书管理-> SSL/tls 服务配置文件
2. 单击 "添加"。
3. 给它一个名字。
4. 选择从步骤2导入的证书。
5. 除非需要较低的 TLS, 否则请使用 TLSv1.2 作为最佳安全设置的最低版本。
   

第 5 步 ︰

1. 选择设备 > 安装 > 内容 ID。
2. 在 "URL 管理覆盖" 部分中, 单击 "添加"。
3. 在 "位置" 字段中, 选择此密码应用到的虚拟系统。
4. 输入密码并确认密码。(这并不重要的凭据筛选操作设置为继续, 但我们必须提供它无论如何)
5. 选择 SSL/TLS 服务配置文件。配置文件指定当带有 "继续" 操作的站点为 HTTPS 站点时, 防火墙向用户显示的证书。
6. 选择提示用户输入密码的模式:
   • (请勿使用)透明 (此模式对于凭据提交继续操作无效. 原因是因为我们无法生成对所有公共 internet 站点都有效的证书)-防火墙拦截了目的地为站点的浏览器通信, 该 url 类别已设置为覆盖和模拟原始目标 url, 发出 HTTP401提示输入密码。请注意, 如果客户端浏览器不信任证书, 则会显示证书错误。
   • (使用此项)重定向 (我们需要强制将用户重定向到防火墙上的 ip 地址/主机名, 以便为响应页提供服务, 因为步骤 1)-防火墙拦截 HTTP 或 HTTPS 通信到 URL 类别设置以继续并将请求重定向到3层使用 HTTP 302 重定向的防火墙上的接口, 以便提示用户单击 "继续". 如果选择此选项, 则必须提供要重定向通信量的地址 (IP 地址或 DNS 主机名)。
   
7. 单击"确定".

这篇文章是由史蒂芬奥斯汀贡献的@staustin

关于作者：

史蒂芬目前在纽约市的 Palantir 技术的信息安全工程师工作, 他的主要重点是网络安全。  他在从商业到政府部门的混合供应商环境中工作的信息安全领域拥有超过10年的经验。

PCNSE 8.0, CCIE #42978 (RS, Sec), GIAC GXPN, OSCP