X 転送ヘッダからの値は、セキュリティおよび QoS ポリシーのマッチ条件として使用できますか?
Resolution
PAN-OS 7.0 以降では、X 転送用ヘッダーの情報を使用してユーザーおよびグループベースのポリシーを構成できるようになりました。値が ip アドレスの場合、ユーザー id からユーザー情報を取得し、ip アドレスでない場合、この値はグループマッピングのユーザ名です。IP アドレスに対応するユーザーが見つからない場合は、ユーザー ID を使用した通常の動作である "不明" または "any" ユーザールールにフォールバックします。
これは、ファイアウォールとエンドユーザーの間でプロキシを使用している展開で役立ちます。
Web GUI からの設定
- [デバイス] > [設定] > [コンテンツ ID] > [X-転送-ヘッダー] に移動します。
- IP アドレス/ユーザー名として XFF ヘッダからの値を使用するには、[設定] をクリックして、[ユーザ ID の X 転送-ヘッダーの使用] を有効にします。
最初のオプションと一緒に「ストリップ X 転送-ヘッダ」を有効にした場合、ユーザ識別に XFF 値を使用した後、XFF ヘッダは取り除かれます。
変更を有効にするためにコミットしていることを確認してください。
CLI からの構成
操作モードコマンドは一時的なもので、再起動には耐えられません。
> システム設定を設定する x-転送-yes
x 転送のパースは yes に設定されています。
設定モードコマンドは永続的であり、再起動を存続します。
# 設定 deviceconfig 設定x-転送-はい
#コミット
デフォルトの設定
上記と同じ CLI コマンドを使用して以前のバージョンで設定を有効にした場合、または GUI 設定を使用して X 転送ヘッダを解析する場合を除き、この設定はデフォルトで無効になっています。
- デバイスタブ-> セットアップ-> コンテンツ ID-> URL フィルタリング-> X-転送-for
現在の設定
現在の構成は、次の cli コマンドを使用して確認することもできます。
> システム設定を表示する脅威
x-転送をパース: なし< not=""> </>
ストリップ x-fwdのための: いいえ
有効にすると、[はい] に変わります。
> システム設定を表示する脅威
.
x-転送のパース: はい<> </>
ストリップ x-fwd のための: はい
。
注意点-
1. X 転送ヘッダに複数の IP アドレスがある場合、最初にリストの中で実際のソースと見なされます。
2. セキュリティポリシーおよびログの送信元 ip アドレスは、プロキシサーバーの ip アドレスになります。
X 転送用ヘッダーは、ユーザー ID に対してのみ利用されます。
3. 企業ネットワークを離れるために使用するプライベートアドレスを必要としない場合は、ストリップ X 転送を有効にすることができます。
4. この設定は、マルチ vsys 環境でユーザー ID が有効になっているすべての vsys に適用されます。
5. IPv4 と IPv6 の両方がサポートされています。
6. これは、前述のように、セキュリティポリシーと QoS ポリシーでのみ一致条件として使用でき、他のポリシーに対しては使われません。
7 です。また、ip アドレスがプロキシサーバー ip であるにもかかわらず、"被害者名" と "ソースユーザー" の脅威とトラフィックログにユーザー名が表示されるようになりました。
追加の参考文献
.