Habilitar la franja X-Forward-para bloquear las comunicaciones a determinados sitios web

Habilitar la franja X-Forward-para bloquear las comunicaciones a determinados sitios web

29825
Created On 09/25/18 19:52 PM - Last Modified 05/31/23 20:26 PM


Resolution


Incidencia

Algunos sitios web bloquean las comunicaciones entrantes de los equipos host cuando la función Strip-X FF está activada en el cortafuegos de Palo Alto Networks.

Por ejemplo:

http://www.kwap.gov.My

http://www.TCU.edu

http://www.CalEPA.ca.gov

http://www.boe.ca.gov

http://ARB.ca.gov/

http://www.ACS.org

http://www.Publix.com

Causa

La opción strip x-Forward-for (dispositivo > Setup > Content-ID) del encabezado proporciona seguridad quitando la dirección IP en este campo del cliente al enviar una solicitud a un sitio web en la solicitud GET. Con los sitios que utilizan IDP/IDS esto se está viendo como un valor no válido porque no hay ningún valor en este campo. Cuando esto suceda, la solicitud GET será retirada por el sitio remoto.

A continuación se muestra un ejemplo de exportación de texto del paquete Get que muestra el campo XFF que se ha borrado al transmitir el cortafuegos de Palo Alto Networks:

Anfitrión: www. Publix. com\r\n

Vía: 1,1 Linux2.pantac3.org:3128 (Squid/2.7. STABLE7) \r\n

X-forwarded-para: \r\n<----></---->

Resolución

La funcionalidad de esta función funciona como se diseñó. Comuníquese con sitios web impactados para que sus dispositivos IDS/IPS puedan configurarse para aceptar comunicaciones de los equipos host.

Propietario: kadak
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClgJCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language