Wie man Nutzer identifiziert, die sich über Proxy verbinden und den Zugriff durch Sicherheitsrichtlinien einschränken
Symptom
Resolution
Setup:
Proxy Server (192.168.30.103)----PA Firewall-----Internet
Konfigurieren Sie die Sicherheitsrichtlinien auf Firewall, wie in der Reihenfolge gezeigt:
Details:
Erlauben Sie DNS- erforderlich, um DNS-Abfragen vor der tatsächlichen Verbindung zu erlauben
Erlauben Sie Handshake- erforderlich, um TCP 3-Way-Handschlag zu erlauben, weil xff in HTTP Get Paket, das den 3-Wege-Handshake folgen würde. Daher konnte die Benutzer Abbildung erst nach dem ersten Handschlag ermittelt werden. Im folgenden finden Sie Verkehrsprotokolle für den anfänglichen 3-Wege-Handshake:
Beachten Sie, dass diese Richtlinie URL-Filter Profil verwendet hat, um nur einen anfänglichen 3-Wege-Handshake und kein Web-Browsing zu erlauben. Nach dem 3-Wege-Handshake werden weitere Maßnahmen durch Nutzer spezifische Richtlinien bestimmt:
XFF- erforderlich, um den benutzerbasierten Zugriff einzuschränken (die Anwendung kann auf ein bestimmtes Web-Browsing geändert werden [da xff in http ist] oder mit anderen benutzerbasierten Richtlinien kombiniert werden, wie es erforderlich ist. Auch könnte ein URL-Filter Profil für mehr Verkehrseinschränkungen angewendet werden.
Nachdem HTTP GET-Pakete von einem Proxy-Server auf die Firewall kommen, prüft die Firewall die IP-User-Mapping-Tabelle, um Richtlinien zu finden und anzuwenden, die auf dem Quell Benutzer basieren.
GET Packet:
User Mapping:
Politik Verschiebung:
Weitere Hinweise:
-Für HTTPS muss ein kompletter SSL-Handshake erlaubt sein (als HandSchlag, aber keine URL-Filterung) und SSL-Entschlüsselung muss aktiviert werden, um XFF-Header zu lesen und Benutzer-Mapping zu überprüfen
-Wenn es keine Benutzer Kartierung für die IP in XFF gibt, wäre der Quell Benutzer in Traffic Logs leer und die benutzerbasierten Richtlinien werden nicht in die Tat umgesetzt.
-Wenn Sie XFF für User-ID aktivieren, werden URL-Filter Protokolle Benutzername im Quell Benutzer anstelle von XFF IP anzeigen. Um zu sehen, wie man XFF in URL-Filter Protokollen aktivieren kann, klicken Sie bitte hier
-XFF kann für URL-Filter Protokolle aktiviert werden, auch wenn es keine URL-Filter Lizenz gibt. Weitere Informationen finden Sie hier