La valeur de L'en-tête X-Forwarded-For peut-elle être utilisée comme condition de correspondance dans la stratégie de sécurité et de QoS?
Resolution
À partir de Pan-OS 7,0, il est désormais possible de configurer la stratégie utilisateur et basée sur les groupes à l'Aide des informations de L'en-tête X-Forwarded-For. Si la valeur est une adresse IP, nous récupérons des informations utilisateur à partir de l'ID utilisateur, et si elle n'est pas une adresse IP, cette valeur est le nom d'utilisateur pour le mappage de groupe. Si un utilisateur correspondant ne peut pas être trouvé pour une adresse IP, il revient à une règle d'utilisateur'inconnu'ou'any', qui est le comportement habituel avec l'ID utilisateur.
Cela est utile dans les déploiements dans lesquels nous avons proxy entre le pare-feu et l'utilisateur final.
Configuration à partir de l'INTERFACE graphique Web
- Allez sur Device > Setup > ID de contenu > X-Forwarded-pour les en-têtes.
- Cliquez sur paramètres, activer'utiliser X-Forwarded-pour en-tête dans User-ID'pour utiliser la valeur de L'en-tête xff comme adresse IP/nom d'utilisateur.
Si vous avez activé'strip X-Forwarded-pour header'avec la première option, L'en-tête xff sera supprimé après que nous ayons utilisé la valeur xff pour l'identification de l'utilisateur.
Assurez-vous que vous vous engagez pour que les modifications prennent effet. "
Configuration de l'INTERFACE CLI
La commande de mode opérationnel est transitoire et ne survit pas à un redémarrage.
> Set système de réglage CTD x-forwarded-pour Oui
Parse x-forwarded-for est défini sur Yes.
La commande de mode de configuration est persistante et survit au redémarrage.
# Set deviceconfig réglage CTD x-forwarded-pour Oui
# Commit
Paramètre par défaut
Ce paramètre est désactivé par défaut, sauf si le paramètre a été activé sur les versions antérieures en utilisant la même commande CLI que ci-dessus ou en utilisant le paramètre GUI pour analyser L'en-tête X-Forwarded-For:
- Onglet Device-> Setup-> Content ID-> URL-Filtering-> X-Forwarded-for
Réglage actuel
La configuration actuelle peut également être vérifiée à l'Aide de la commande CLI suivante
> afficher le système de définition de la menace CTD
Parse x-forwarded-for: < not=""> </>pas de
bande x-FWD-pour: non
Lorsqu'il est activé, il passe à yes:
> afficher le système de définition de la menace CTD
.
Parse x-forwarded-for: <> </>oui
Strip x-FWD-pour: oui
.
Points à noter-
1. Si nous avons plusieurs adresses IP dans L'en-tête X-Forwarded, la première dans la liste est considérée comme la source réelle.
2. L'adresse IP source dans la stratégie de sécurité et les journaux sera toujours l'adresse IP du serveur proxy.
L'en-tête X-retransmis-for est exploité uniquement pour l'ID utilisateur.
3. Nous pouvons activer Strip X-Forwarded-For si vous ne voulez pas l'adresse privée que vous utilisez pour quitter le réseau d'entreprise.
4. Ce paramètre, lorsqu'Il est configuré, s'applique à tous les VSys avec l'ID utilisateur activé dans l'environnement multi-VSys.
5. IPv4 et IPv6 sont pris en charge.
6. Cela peut être utilisé comme condition de correspondance uniquement dans la stratégie de sécurité et la stratégie de QoS comme il est mentionné, et non pour d'autres stratégies.
7. Nous pouvons maintenant également voir le nom d'utilisateur dans la menace et les journaux de trafic dans'nom de la victime'et'utilisateur Source'correspondant même si l'adresse IP est IP du serveur proxy.
Références supplémentaires
.