URL ワーク フローでの分類 SSL と Policy 検索
40668
Created On 09/26/18 13:54 PM - Last Modified 06/06/24 18:52 PM
Symptom
PAN-OS URL有効なフィルタリングライセンスがインストールされている限り、HTTPヘッダーおよびSSLハンドシェイクペイロードで検出された URL に対してカテゴリルックアップ URL を実行します。 URL評価でカテゴリ policy を使用し、 URL- プロファイルのフィルタリングアクションを適用すると、次に示すようにいくつかの条件が適用されます。
HTTP 接続 - クリアテキスト トラフィック:
URLヘッダーで 見つかったら HTTP すぐに、 PAN-OS カテゴリを派生し、 URL URL カテゴリを使用して関連するセキュリティを検索します policy (-idを含む既に利用可能なすべての情報と一緒 app に)。 選択したセキュリティに policy URL フィルタリングプロファイルがアタッチされている場合、 URL フィルタリングプロファイルで定義されたカテゴリアクション URL が実行されます。以降のセクションでは、接続に焦点を SSL 当てます。 ワーク フローは、 SSL 接続がフォワード プロキシ機能を使用して復号化されるかどうかによって異なります SSL 。
注-1: PAN-OS 8.1 では、 URL カテゴリはセキュリティ ポリシー、QoS ポリシー、復号化ポリシー、および認証ポリシーで一致条件として追加できます。 この記事では、復号ポリシーとセキュリティ ポリシーに焦点を当てます。
注2: この記事では、 を参照していますが SSL 、正しい用語は実際に TLS .
Environment
- PAN-OS 8.1以上。
- パロ アルト Firewall .
Resolution
SSL 復号化が有効で、適用可能です。
- SSLによってクライアントの Hello が処理されると、-id は に PAN-OS app 設定 SSL されます。
- PAN-OS policyは、-id = の追加情報を使用してセキュリティ再評価を実行 app します SSL
- クライアントこんにちは SNI が存在する場合 PAN-OS は URL 、www.example.com の場合は「コンピュータとインターネット情報」であるカテゴリを派生します
- この時点で、 URL このカテゴリは、 PAN-OS 復号化ポリシーを検索する際に使用されます。 この PAN-OS SSL フォワード プロキシ機能が機能します。
- セキュリティ ポリシーの再評価に PAN-OS カテゴリを使用しないこと URL に注意してください。 関連 URL するフィルタリングプロファイルで定義されたカテゴリアクションも適用されません URL
URL FQDN PAN-OS SSL URL URL www.example.com/images/amsterdam.png。 URL
b) URL 分類とフィルタリングアクションは HTTP 、厳密にベースのトラフィックに適用され SSL 、ハンドシェイク中に、 HTTP トラフィックがチャネルを通過することを保証されません SSL
c) URL カテゴリアクション PAN-OS は、エンドユーザーに応答ページを提示する必要 HTTP がある場合は、 SSL ハンドシェイクが完了するまで待機する必要があります。 - 復号化された接続が SSL アプリケーション データを送信せずに正常に終了した場合、または SSL 接続がデータを送信しない場合 HTTP 、トラフィック ログは URL- 、カテゴリ一致条件が構成されている場合、仕様では無視されるため、不適切なセキュリティ ポリシーの規則を表示します。
注: 上記の正当な理由は、愚かな証拠ではないかもしれませんが、説明したように、作業フローの変更は現在の設計です。