如何识别通过代理连接的用户并通过安全策略限制访问
45955
Created On 09/25/18 19:49 PM - Last Modified 01/28/24 04:44 AM
Symptom
Resolution
安装程序︰
代理服务器 (192.168.30.103)----PA 防火墙-----互联网
在防火墙上配置安全策略, 如下所示:
详细信息:
允许 dns 在实际连接之前允许 dns 查询
允许握手-要求允许 TCP 3 方式握手, 因为 XFF 将在 HTTP 获取数据包中, 这将跟随3路握手. 因此, 用户映射只能在初始握手之后确定。以下是初始3路握手的通信记录:
注意此策略的 URL 筛选配置文件应用于仅允许初始的3路握手和不进行 web 浏览。在3路握手之后, 进一步的操作由用户特定的策略决定:
XFF-限制基于用户的访问所需的 (应用程序可以更改为特定的 web 浏览 [因为 XFF 是 HTTP], 或者根据需要与其他基于用户的策略相结合. 此外, 还可以应用 URL 筛选配置文件来限制通信量。
在 HTTP 获取数据包来自代理服务器的防火墙后, 防火墙将检查 ip 用户映射表以查找并应用基于源用户的策略。
获取数据包:
用户映射:
政策转变:
附加说明:
-对于 HTTPS, 需要允许完成 ssl 握手 (如允许握手但不进行 URL 筛选), 需要启用 ssl 解密以读取 XFF 头并检查用户映射
-如果 XFF 中没有 IP 的用户映射, 则源用户将在通信日志中为空, 并且基于用户的策略将不生效
-如果为用户 ID 启用 XFF, URL 筛选日志将显示源用户的用户名, 而不是 XFF IP。要了解如何在 URL 筛选日志中启用 XFF, 请单击此处
-即使没有 url 筛选许可证, 也可以为 url 筛选日志启用 XFF。有关详细信息, 请单击此处