如何识别通过代理连接的用户并通过安全策略限制访问

如何识别通过代理连接的用户并通过安全策略限制访问

45955
Created On 09/25/18 19:49 PM - Last Modified 01/28/24 04:44 AM


Symptom


症状

考虑在网络和防火墙上的用户之间部署的代理服务器。在这种情况下, 防火墙将代理服务器的 ip 地址显示为通信日志中的源 ip 地址。因此, 不能基于实际用户限制访问, 也不可能从通信日志中确定实际用户。

 

本文的重点是为这个问题提供一个解决方案。

注:这适用于泛 OS 7.0 和更高版本.

诊断

先决条件︰

 

  1. 代理服务器应在转发到防火墙时添加包含客户端实际 IP 的 X 转发 (XFF) 报头
  2. 在防火墙上配置用户标识以收集 ip 用户映射
  3. 启用用户 ID 的 XFF 标识。要了解更多信息, 请点击这里.

Resolution


 

安装程序︰

 

代理服务器 (192.168.30.103)----PA 防火墙-----互联网

 

在防火墙上配置安全策略, 如下所示:

 

安全策略. png

 

 

 

 

 

详细信息:

 

允许 dns 在实际连接之前允许 dns 查询

 

允许握手-要求允许 TCP 3 方式握手, 因为 XFF 将在 HTTP 获取数据包中, 这将跟随3路握手. 因此, 用户映射只能在初始握手之后确定。以下是初始3路握手的通信记录:

 

最初的握手. png

 

注意此策略的 URL 筛选配置文件应用于仅允许初始的3路握手和不进行 web 浏览。在3路握手之后, 进一步的操作由用户特定的策略决定:

 

握手 URL 筛选. png

 

XFF-限制基于用户的访问所需的 (应用程序可以更改为特定的 web 浏览 [因为 XFF 是 HTTP], 或者根据需要与其他基于用户的策略相结合. 此外, 还可以应用 URL 筛选配置文件来限制通信量。

 

在 HTTP 获取数据包来自代理服务器的防火墙后, 防火墙将检查 ip 用户映射表以查找并应用基于源用户的策略。

 

获取数据包:

XFF 包-1. png用户映射:

用户映射. png

 

政策转变:

 

政策转变. png

 

 

 

 

附加说明:

 

-对于 HTTPS, 需要允许完成 ssl 握手 (如允许握手但不进行 URL 筛选), 需要启用 ssl 解密以读取 XFF 头并检查用户映射

-如果 XFF 中没有 IP 的用户映射, 则源用户将在通信日志中为空, 并且基于用户的策略将不生效

-如果为用户 ID 启用 XFF, URL 筛选日志将显示源用户的用户名, 而不是 XFF IP。要了解如何在 URL 筛选日志中启用 XFF, 请单击此处

-即使没有 url 筛选许可证, 也可以为 url 筛选日志启用 XFF。有关详细信息, 请单击此处
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CletCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language