如何阻止 Tor （洋葱路由器）

Tor网络（洋葱路由器）通过跨不同的Tor服务器移动其数据并加密该流量来掩饰用户身份，以便不会追溯到用户。 任何尝试跟踪的人都会看到来自 Tor 网络上的随机节点的流量，而不是用户的计算机。

 

Palo Alto 网络下一代上的以下配置 firewall 可以阻止您网络上的 Tor 应用程序流量。

1. Policy阻止托尔的安全 App -ID

2. 使用应用程序筛选器

3. 阻止风险 URL 类别

4. 否认未知应用程序

5. 阻止不受信任的问题和过期的证书与解密配置文件

6. 打开 SSL 解密

7. 源/目标基于控制使用外部动态列表

注意：阻止任何回避的应用程序，如 Tor 需要组合不同的功能，如上面所述。 在许多情况下，只使用一个单一的能力是不够的。 使用尽可能多的这些配置根据需要适当地阻止 Tor。

 

1. Policy 阻止托尔的安全 App -ID

Palo Alto 网络已创建 tor 和 tor2web 等应用程序 来识别 Tor 连接。 与任何其他匿名器一样 ，Tor 使用不同的技术来绕过您的安全性。 仅仅在安全性中阻止托和r2web应用程序 policy 是不够的。

 

创建一个安全 policy 条来阻止以下应用到互联网：

• tor
• tor2web
• Ssh
• ssh 隧道
• ike
• ipsec esp
• http 代理

在 WebGUI Policy >>安全，请务必创建拒绝访问上述列表的规则，并确保"服务"设置为"应用程序默认"。

 

 

2. 使用应用程序过滤器

有许多避税的应用在那里，被创建为需求上升从用户想要绕过限制。 A 跟上新应用的好方法是使用应用程序筛选器，并基于行为阻止应用程序，而不是手动将每个应用程序添加到安全 policy 性。

 

应用程序筛选器动态组基于选定类型的应用程序。 有关如何创建应用程序过滤器的更多详细信息，请访问 PAN-OS 《管理指南》（https://www.paloaltonetworks.com/documentation/80/ pan-os / - pan-os app id/创建应用程序过滤器）

 

使用应用过滤器（对象>应用过滤器），我们可以 VPN 根据"网络"类别和子类别"代理"创建新的应用程序组（名称-）。 此过滤器将包括诸如精神，tor2web，您的自由...等

 

接下来， 在"策略>安全性"中，创建一个安全 policy 性来阻止被子分类为代理的应用程序。 将应用过滤器 VPN ""包含在安全中 policy ，并将操作设置为"拒绝"。

 

注意： 作为最佳实践，当白色列表应用程序在您的安全 policy ，use"应用程序默认"的服务 。 将 firewall 所使用的端口与该应用程序的默认端口列表进行比较。 如果所使用的端口不是应用程序的默认端口， firewall 则会删除会话并记录 "appid policy 查找拒绝"的消息。

 

3. 阻止风险 URL 类别

创建 URL 筛选配置文件，阻止访问分类为：

• 代理服务器避免匿名
• 恶意软件
• 网络钓鱼
• 动态 dns
• 未知
• 停
• 网络钓鱼
• 可疑

将 URL 过滤配置文件与安全性联系起来 policy ，以实施更严格的控制。 在 "对象">安全配置文件> URL 筛选中这样做。 查找每个类别并阻止访问上述类别。

 

注意：请按照以下链接操作：在配置安全 配置文件时，为最佳做法创建最佳实践安全配置文件。

 

4. 拒绝未知应用程序

作为最佳实践，它被建议阻止归类为未知 tcp、 udp 未知和未知 p2p 网络中的任何应用程序。

如果用户需要在互联网上访问的应用程序被 firewall 未知 tcp 或未知 udp 识别，如果需要允许访问这些应用程序，则创建一个安全 policy 性，允许在特定应用程序使用的特定端口上使用未知 tcp 或未知 udp。

 

对于被识别为"未知 tcp"或"未知 udp"或"未知 p2p"的其他流量，我们将创建一个 policy 拒绝流量的安全性。

 

请确保在策略"安全 ">创建此规则，如下所示。

  

5. 使用解密配置文件阻止不受信任的问题和过期证书

这可以通过实际解密流量实现，并可以相当有效地阻止 Tor。 我们建议客户使用"解密配置文件"，如下所示，作为无解密规则的一部分，以限制 Tor 的连接。

 

为此，请进入 对象>配置文件。如果您还没有不解密规则，请使用"添加"按钮添加它。 在"无解密"选项卡内，请确保选择了 2 个选项。

 

然后在策略>， 再次，如果您没有"不 解密" 规则，请添加它与"添加"按钮，然后在该规则内部，在"选项"选项卡中，

 

完成后，您应该会看到 规则中列出的 解密配置文件名称。

 

 

6. 打开 SSL 解密

如果，尽管执行上述建议的所有控制，Tor仍然可以连接，那么我们建议打开 SSL 解密此流量，这将有助于阻止 Tor。

 

创建解密配置文件，以> 配置文件。单击底部的"添加"并给它一个名称。 I 使用"解密"。 请务必选择 服务器证书验证 和 不受支持的模式检查的任何选项。

 

然后，请务必进入 解密>政策 ，并将解密配置文件关联到解密 policy 。 在解密规则内的"选项"选项选项卡内进行此 Policy 项。

 

有关设置 SSL 解密的更多信息，请参阅：

如何实施和测试 SSL 解密

 

7. 使用外部动态列表进行基于源/基于数据的控制

注：以下图表中的记录列表 https://panwdbl.appspot.com/lists/ettor.txt目前不可用。 因此，人们不能把它作为 EDL 来源。 相反，我们可以使用该网站，https://check.torproject.org/torbulkexitlist，它提供了一个文本文件，包含所有托尔退出地址。 此网站由官方项目正式提供 TOR （有关详细信息，请参阅https://blog.torproject.org/changes-tor-exit-list-service。 

• 请参阅 PAN-OS 创建 外部动态列表的管理指南。
• Palo Alto 的最新内容更新（动态更新 8435 从 7/7/21）支持内置外部动态列表。 此列表可用于 EDL 配置中阻止不需要的流量。

若要设置外部动态列表，请进入 对象>外部动态列表 ，并创建一个包含"添加"的新列表。 给它一个名字 — — Tor。 请务必将 URL 源字段内侧放上。

 

然后在 策略>安全性内部，为新（外部动态列表）创建新规则（添加 EDL ）。

 

在"目的地"选项卡内，请务必使用 EDL 您刚刚创建的"Tor"。