不使用 HTTPS 会话的俘虏门户

不使用 HTTPS 会话的俘虏门户

68971
Created On 09/25/18 19:49 PM - Last Modified 09/28/23 12:55 PM


Symptom


症状

圈养门户 (CP) 用户将输入自己的用户名和密码之前的任何活动。然而,当俘虏门户用户转到一些 https 网站,他们没有看到圈养的门户页面,输入其凭据。因此,帕洛阿尔托网络防火墙无法识别用户身份 (因为 HTTPS 会话绕过俘虏的门户页面)。

诊断

  • 对已知用户使用 "无解密" 策略. 他们将被称为后输入他们的凭据。
  • 未知的无线用户使用解密策略, 以确保他们在打开 HTTPS 会话/网站时获得被捕获的门户页面. 直到,除非这些用户输入其凭据,他们将未知的用户,所以俘虏门户将触发由于 SSL 解密。
  • 未知用户解密策略将确保用户总是得到一个俘虏的门户页面独立的网站,他们试着去。 

Resolution


先决条件

 

  • 知识的 SSL 解密
  • 知识的俘虏门户 (CP)

非工作方案

  1. 来自无线区域的未知用户尝试访问https://www.google.com.
  2. 因为它是 SSL 会话,圈养的门户页面可能不会触发。
  3. 防火墙是无法识别用户,用户不会收到一个俘虏的门户页面。

 

工作方案

需要 SSL 解密中注入圈养的门户页面,每当用户访问任何 URL (https) 的地方。

单击此处配置 SSL 解密

单击此处配置圈养门户

 

请参阅屏幕截图和下面的说明:

 

 1.PNG

 

工作方案

  • 解密政策 1 说到无线没有解密已知用户。
  • 解密政策 2 说解密来自无线区域的所有通信。

 

  1. 来自无线区域的未知用户尝试访问https://www.google.com.
  2. 解密政策 2 触发,并提供了一个 CP 页。
  3. 未知的用户再次尝试访问任何其他 https 站点,CP 页再次提示由于解密政策 
  4. 用户输入的凭据,是集团的一部分,俘虏门户玻璃钢 (使用 AD CP 用户身份验证)。
  5. 防火墙是现在知道的用户和解密策略 1 将触发器并不会解密任何进一步的交通,从已知的用户-用户不会得到证书警告页。
  6. 安全策略还需要到位,基于集团和区域单独。在顶部和它下面的区域特定政策上创建一组特定的政策。

 

警告消息的解释

未知的用户将会从无线区,还有没有办法为他们安装自签名的证书,所以解密是到位的情况下,他们会得到一条警告消息。

 

如果您使用第三方证书为 CP,用户身份验证后,将没有 decryp 规则,并将无提示证书警告。

 

谢谢。

 

Tarang 斯里瓦斯塔瓦
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClevCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language