Comment identifier les utilisateurs se connectant par proxy et restreindre l'accès par la stratégie de sécurité
Symptom
Resolution
Configuration:
Serveur proxy (192.168.30.103)----pare-feu PA-----Internet
Configurer les stratégies de sécurité sur le pare-feu comme indiqué dans l'ordre:
Détails:
Autoriser DNS- requis pour autoriser les requêtes DNS avant la connexion réelle
Autoriser la poignée de main- nécessaire pour permettre à TCP 3-Way Handshake parce que xff serait dans http Get Packet, qui suivra la poignée de main 3-Way. Par conséquent, la cartographie utilisateur ne peut être déterminée qu'après la poignée de main initiale. Voici les journaux de trafic pour la poignée de main initiale à 3 voies:
Remarque Cette stratégie comporte un profil de filtrage d'URL appliqué pour ne permettre qu'une première poignée de main à 3 voies et aucune navigation sur le Web. Après la poignée de main à 3 voies, une action supplémentaire est déterminée par des stratégies spécifiques à l'utilisateur:
XFF- requis pour restreindre l'accès basé sur l'utilisateur (l'application peut être changée en navigation Web spécifique [puisque xff est dans http] ou combinée avec d'autres stratégies basées sur l'utilisateur, au besoin. En outre, un profil de filtrage d'URL pourrait être appliqué pour plus de restrictions sur le trafic.
Une fois que les paquets http Get sont sur le pare-feu à partir d'un serveur proxy, le pare-feu vérifie la table de mappage utilisateur IP pour rechercher et appliquer des stratégies basées sur l'utilisateur source.
GET Packet:
Mappage utilisateur:
Changement de politique:
Notes supplémentaires:
-Pour HTTPS, la poignée de main SSL complète doit être autorisée (comme permettre la poignée de main, mais pas de filtrage d'URL) et le décryptage SSL doit être activé pour lire L'en-tête xff et vérifier l'utilisateur-mappage
-S'il n'y a pas de mappage utilisateur pour l'IP dans xff, l'utilisateur source serait vide dans les journaux de trafic et les stratégies basées sur l'utilisateur n'entreront pas en action
-Si vous activez xff pour User-ID, les journaux de filtrage d'URL indiqueront username dans l'utilisateur source au lieu de xff IP. Pour voir comment activer XFF dans les journaux de filtrage d'URL, veuillez Cliquer ici
-XFF peut être activé pour les journaux de filtrage d'URL, même S'il n'y a pas de licence de filtrage d'URL. Pour plus de détails, veuillez Cliquer ici