Cómo identificar a los usuarios que se conectan mediante proxy y restringen el acceso mediante la política de seguridad
Symptom
Resolution
Configuración:
Servidor proxy (192.168.30.103)----PA Firewall-----Internet
Configure las directivas de seguridad en el cortafuegos como se muestra en orden:
Detalles:
Permitir DNS- requerido para permitir consultas DNS antes de la conexión real
Permitir el apretón de mano- requerido para permitir el protocolo de enlace TCP de 3 vías porque XFF estaría en el paquete HTTP GET, que seguiría el apretón de tres vías. Por lo tanto, el mapeo de usuarios sólo se puede determinar después del apretón de mano inicial. Los siguientes son registros de tráfico para el apretón de mano inicial de 3 vías:
Nota esta directiva tiene el perfil de filtrado de URL aplicado para permitir sólo un apretón de mano de 3 vías inicial y ninguna navegación web. Después del apretón de dirección de tres vías, la acción adicional se determina mediante políticas específicas del usuario:
XFF- requerido para restringir el acceso basado en el usuario (la aplicación se puede cambiar a la navegación web específica [ya que XFF está en http] o combinada con otra directiva basada en el usuario según sea necesario. Además, se podría aplicar un perfil de filtrado de URL para obtener más restricciones sobre el tráfico.
Después de que los paquetes HTTP GET vienen en el Firewall desde un servidor proxy, el Firewall comprueba la tabla de asignación de usuario IP para buscar y aplicar directivas basadas en el usuario de origen.
OBTENER paquete:
Mapeo de usuarios:
Cambio de política:
Notas adicionales:
-Para HTTPS, el apretón de mano SSL completo necesita ser permitido (como permitir el apretón de mano pero no hay filtrado de URL) y el descifrado SSL necesita ser permitido para leer el encabezado XFF y comprobar el mapeo de usuarios
-Si no hay ninguna asignación de usuario para la IP en XFF, el usuario de origen estaría en blanco en los registros de tráfico y las políticas basadas en el usuario no entrarán en acción
-Si habilitas XFF para User-ID, los logs de filtrado de URL mostrarán el nombre de usuario en Source user en lugar de XFF IP. Para ver cómo habilitar XFF en registros de filtrado de URL, por favor haga clic aquí
-XFF se puede activar para los registros de filtrado de URL, incluso si no hay ninguna licencia de filtrado de URL. Para más detalles, chasque por favor aquí