从 PAN OS 7.0 开始, 现在可以使用来自 X 转发的标题的信息配置用户和基于组的策略。如果该值是 ip 地址, 我们从用户 id 获取用户信息, 如果它不是 ip 地址, 则此值为组映射的用户名。如果找不到针对 IP 地址的相应用户, 则返回到 "未知" 或 "任何" 用户规则, 这是通常使用用户 ID 的行为。
这在我们在防火墙和最终用户之间具有代理的部署中非常有用。
从 Web GUI 配置
- 转到设备 >> 安装程序 > 内容 ID > X 转发-用于标头。
- 单击 "设置", 在用户 ID 中启用 "使用 X 转发的标题" 以使用 XFF 头中的值作为 IP 地址/用户名。
如果您启用了 "带 X 转发的页眉" 以及第一个选项, 则在使用 XFF 值进行用户标识后, XFF 标头将被剥离。
请确保您承诺更改生效。
从 CLI 配置
操作模式命令是瞬态的, 无法在重新启动时生存。
>> 设置系统设置为 yes x 转发-是
解析 x 转发为 "是"。
配置模式命令是持久的, 并在重新启动时幸存。
# 设置 deviceconfig 设置为yes x 转发
#提交
默认设置
默认情况下禁用此设置, 除非使用上面相同的 CLI 命令在早期版本上启用了该设置, 或者使用 GUI 设置解析 X 转发的标题:
- 设备选项卡->> 设置->> 内容 ID->> 网址过滤->> X 转发-为
当前设置
还可以使用以下 cli 命令验证当前配置
显示系统设置威胁
解析 x 转发: 无< not=""> </>
带 x 前进-为: 否
当启用时, 它变为 yes:
显示系统设置威胁
.
解析 x 转发的: 是<> </>
带 x 前进的: 是
.
注意事项-
1. 如果在 X 转发的标题中有多个 IP 地址, 则列表中的第一个将被视为实际的源。
2. 安全策略和日志中的源 ip 地址仍将是代理服务器的 ip 地址。
X 转发的标头仅用于用户 ID。
3. 如果您不希望您使用的专用地址离开公司网络, 我们可以启用带 X 转发的。
4. 配置时, 此设置适用于在多 vsys 环境中启用用户 ID 的所有 vsys。
5. IPv4 和 IPv6 都支持。
6. 这只能在安全策略和 QoS 策略中被提及, 而不应用于任何其他策略。
7。我们现在也可以看到威胁和通信日志中的 "受害者姓名" 和 "源用户" 的用户名, 即使 ip 地址是代理服务器 ip。
其他引用
https://www.paloaltonetworks.com/documentation/70/pan-os/newfeaturesguide/user-id-features/user-attribution-based-on-x-forwarded-for-headers.html
.