Wie man Nutzer identifiziert, die sich über Proxy verbinden und den Zugriff durch Sicherheitsrichtlinien einschränken

Wie man Nutzer identifiziert, die sich über Proxy verbinden und den Zugriff durch Sicherheitsrichtlinien einschränken

45951
Created On 09/25/18 19:49 PM - Last Modified 01/28/24 04:44 AM


Symptom


Symptome

Betrachten Sie einen Proxy-Server, der zwischen Benutzern in einem Netzwerk und einer Firewall eingesetzt wird. In einem solchen Fall zeigt die Firewall die IP-Adresse des Proxy-Servers als Quelle-IP-Adresse in den Traffic Logs an. Daher ist es nicht möglich, den Zugriff auf der Grundlage des tatsächlichen Nutzers zu beschränken und den tatsächlichen Nutzer aus Verkehrs Protokollen zu bestimmen.

 

Dieser Artikel konzentriert sich auf die Lösung dieser Frage.

Hinweis: Dies gilt für Pan-OS 7,0 und später.

Diagnose

Voraussetzungen:

 

  1. Proxy-Server sollte X-WeiterGeleitete Header (XFF) hinzufügen, der die tatsächliche IP des Clients enthält, wenn er an Firewall weitergeleitet wird.
  2. Konfigurieren Sie die BenutzerIdentifikation auf der Firewall, um IP-User-Mapping zu sammeln
  3. Aktivieren Sie die XFF-Identifikation für User-ID. Um mehr darüber zu erfahren, klicken Sie bitte hier .

Resolution


 

Setup:

 

Proxy Server (192.168.30.103)----PA Firewall-----Internet

 

Konfigurieren Sie die Sicherheitsrichtlinien auf Firewall, wie in der Reihenfolge gezeigt:

 

SicherheitsRichtlinien. png

 

 

 

 

 

Details:

 

Erlauben Sie DNS- erforderlich, um DNS-Abfragen vor der tatsächlichen Verbindung zu erlauben

 

Erlauben Sie Handshake- erforderlich, um TCP 3-Way-Handschlag zu erlauben, weil xff in HTTP Get Paket, das den 3-Wege-Handshake folgen würde. Daher konnte die Benutzer Abbildung erst nach dem ersten Handschlag ermittelt werden. Im folgenden finden Sie Verkehrsprotokolle für den anfänglichen 3-Wege-Handshake:

 

Anfänglicher HandSchlag. png

 

Beachten Sie, dass diese Richtlinie URL-Filter Profil verwendet hat, um nur einen anfänglichen 3-Wege-Handshake und kein Web-Browsing zu erlauben. Nach dem 3-Wege-Handshake werden weitere Maßnahmen durch Nutzer spezifische Richtlinien bestimmt:

 

Handshake URL Filterung. png

 

XFF- erforderlich, um den benutzerbasierten Zugriff einzuschränken (die Anwendung kann auf ein bestimmtes Web-Browsing geändert werden [da xff in http ist] oder mit anderen benutzerbasierten Richtlinien kombiniert werden, wie es erforderlich ist. Auch könnte ein URL-Filter Profil für mehr Verkehrseinschränkungen angewendet werden.

 

Nachdem HTTP GET-Pakete von einem Proxy-Server auf die Firewall kommen, prüft die Firewall die IP-User-Mapping-Tabelle, um Richtlinien zu finden und anzuwenden, die auf dem Quell Benutzer basieren.

 

GET Packet:

XFF Packet-1. pngUser Mapping:

User Mapping. png

 

Politik Verschiebung:

 

Policy Shift. png

 

 

 

 

Weitere Hinweise:

 

-Für HTTPS muss ein kompletter SSL-Handshake erlaubt sein (als HandSchlag, aber keine URL-Filterung) und SSL-Entschlüsselung muss aktiviert werden, um XFF-Header zu lesen und Benutzer-Mapping zu überprüfen

-Wenn es keine Benutzer Kartierung für die IP in XFF gibt, wäre der Quell Benutzer in Traffic Logs leer und die benutzerbasierten Richtlinien werden nicht in die Tat umgesetzt.

-Wenn Sie XFF für User-ID aktivieren, werden URL-Filter Protokolle Benutzername im Quell Benutzer anstelle von XFF IP anzeigen. Um zu sehen, wie man XFF in URL-Filter Protokollen aktivieren kann, klicken Sie bitte hier

-XFF kann für URL-Filter Protokolle aktiviert werden, auch wenn es keine URL-Filter Lizenz gibt. Weitere Informationen finden Sie hier
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CletCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language