プロキシ経由で接続しているユーザーを特定し、セキュリティポリシーを使用してアクセスを制限する方法
Symptom
Resolution
セットアップ:
プロキシサーバー (192.168.30.103)----PA のファイアウォール-----インターネット
ファイアウォールのセキュリティポリシーを次のように構成します。
詳細:
dns を許可する-実際の接続の前に dns クエリを許可する必要がある
ハンドシェイクを許可する-XFF は、3ウェイハンドシェイクに従う HTTP GET パケットになるため、TCP 3 ウェイハンドシェイクを許可する必要があります。したがって、ユーザーマッピングは、最初のハンドシェイクの後にのみ決定できます。次に、最初の3ウェイハンドシェイクのトラフィックログを示します。
注: このポリシーには、最初の3方向ハンドシェイクのみを許可し、web ブラウジングを行わないために適用される URL フィルタプロファイルがあります。3ウェイハンドシェイクの後、さらなるアクションはユーザー固有のポリシーによって決定されます。
XFF-ユーザーベースのアクセスを制限するために必要な (アプリケーションは、特定の web ブラウジングに変更することができます [XFF は HTTP であるため] または必要に応じて他のユーザーベースのポリシーと組み合わせる。また、トラフィックの制限については、URL フィルタリングプロファイルを適用することもできます。
HTTP GET パケットがプロキシサーバーからファイアウォールに入ると、ファイアウォールは ip ユーザーマッピングテーブルをチェックし、ソースユーザーに基づいてポリシーを検索して適用します。
パケットを取得する:
ユーザーマッピング:
ポリシーのシフト:
注意事項:
-HTTPS については、完全な ssl ハンドシェイクを許可する必要があります (としてハンドシェイクが、URL フィルタリングを許可する) と ssl 復号化は、XFF ヘッダーを読み取り、ユーザーマッピングをチェックするために有効にする必要があります
-XFF の IP のためのユーザーマッピングがない場合は、ソースユーザーは、トラフィックのログに空白になるとユーザーベースのポリシーがアクションに来ることはありません
-ユーザ ID の XFF を有効にした場合、URL フィルタリングログは XFF IP ではなくソースユーザのユーザ名を表示します。URL フィルタリングログで XFF を有効にする方法については、ここをクリックしてください。
-url フィルタリングのライセンスがない場合でも、url フィルタリングログに対して XFF を有効にすることができます。詳しくはこちら をご覧ください。