プロキシ経由で接続しているユーザーを特定し、セキュリティポリシーを使用してアクセスを制限する方法

セットアップ:

プロキシサーバー (192.168.30.103)----PA のファイアウォール-----インターネット

ファイアウォールのセキュリティポリシーを次のように構成します。

詳細:

dns を許可する-実際の接続の前に dns クエリを許可する必要がある

ハンドシェイクを許可する-XFF は、3ウェイハンドシェイクに従う HTTP GET パケットになるため、TCP 3 ウェイハンドシェイクを許可する必要があります。したがって、ユーザーマッピングは、最初のハンドシェイクの後にのみ決定できます。次に、最初の3ウェイハンドシェイクのトラフィックログを示します。

注: このポリシーには、最初の3方向ハンドシェイクのみを許可し、web ブラウジングを行わないために適用される URL フィルタプロファイルがあります。3ウェイハンドシェイクの後、さらなるアクションはユーザー固有のポリシーによって決定されます。

XFF-ユーザーベースのアクセスを制限するために必要な (アプリケーションは、特定の web ブラウジングに変更することができます [XFF は HTTP であるため] または必要に応じて他のユーザーベースのポリシーと組み合わせる。また、トラフィックの制限については、URL フィルタリングプロファイルを適用することもできます。

HTTP GET パケットがプロキシサーバーからファイアウォールに入ると、ファイアウォールは ip ユーザーマッピングテーブルをチェックし、ソースユーザーに基づいてポリシーを検索して適用します。

パケットを取得する:

ユーザーマッピング:

ポリシーのシフト:

注意事項:

-HTTPS については、完全な ssl ハンドシェイクを許可する必要があります (としてハンドシェイクが、URL フィルタリングを許可する) と ssl 復号化は、XFF ヘッダーを読み取り、ユーザーマッピングをチェックするために有効にする必要があります

-XFF の IP のためのユーザーマッピングがない場合は、ソースユーザーは、トラフィックのログに空白になるとユーザーベースのポリシーがアクションに来ることはありません

-ユーザ ID の XFF を有効にした場合、URL フィルタリングログは XFF IP ではなくソースユーザのユーザ名を表示します。URL フィルタリングログで XFF を有効にする方法については、ここをクリックしてください。

-url フィルタリングのライセンスがない場合でも、url フィルタリングログに対して XFF を有効にすることができます。詳しくはこちら をご覧ください。