URL 在 SSL 和 Policy 查找工作流中的分类和查找
40656
Created On 09/26/18 13:54 PM - Last Modified 06/06/24 18:52 PM
Symptom
PAN-OS URL只要安装了有效的过滤许可证,就对HTTP头和SSL握手有效载荷中遇到的网址进行类别查找 URL 。 URL在 policy 评估中使用类别和应用 URL- 过滤配置文件操作受以下突出显示的几个条件的约束。
HTTP 连接 - 清晰文本流量:
一旦 URL 在标题中遇到 HTTP , PAN-OS 将获取 URL 该类别并使用 URL 该类别查找相关安全 policy (以及包括 id 在内的所有可用信息 app )。 如果选定的安全性- policy 附加 URL 了筛选配置文件,则 URL URL 将执行过滤配置文件中定义的类别操作。在以下部分,重点将放在 SSL 连接上。 工作流程取决于 SSL 连接是否使用 SSL 前代理功能进行解密。
注-1:自 PAN-OS 8.1 URL 起,可在安全策略、QoS 策略、解密策略和身份验证策略中添加该类别作为匹配条件添加。 本文的重点将放在解密策略和安全政策上。
注2:虽然文章提到 SSL ,但正确的术语确实是正确的 TLS 。
Environment
- PAN-OS 8.1 及以上。
- 帕洛阿尔托 Firewall 。
Resolution
SSL 解密已启用并适用:
- 客户 SSL 好一经处理 PAN-OS app ,id 就会被设置为 SSL 。
- PAN-OS 将执行安全 policy 重新评估与 app -id=的其他信息 SSL
- 如果客户你好 SNI 在场,那么 PAN-OS 将推导类别 URL ,如果 www.example.com 是"计算机和互联网信息"
- 此时, URL 该类别 PAN-OS 仅用于查找解密策略。 已 PAN-OS SSL 参与此转发代理功能。
- 需要注意的是, PAN-OS 不会使用 URL 该类别重新评估安全策略。 它也不应用 URL 相关过滤配置文件中定义的类别操作 URL 。其理由是
:a) URL 该类别是使用 FQDN 客户端(Web-浏览器)所提供的类别推导的; PAN-OS 做出知情的决定,即使用连接的应用程序 SSL 可能会呈现完整 URL ( URL 包括文件位置 - www.example.com/images/amsterdam.png),该选项在解密后可见,并且可能与自定义 URL 类别匹配。
b) URL 分类和过滤操作将严格适用于 HTTP 基于流量的流量 SSL ,在握手期间,不能保证 HTTP 流量会流过 SSL 通道。
URL PAN-OS HTTP SSL - 如果解密 SSL 的连接在不发送任何应用程序数据的情况下优雅地终止,或者如果 SSL 连接不发送任何 HTTP 数据,则如果配置类别匹配条件,则流量日志将显示不正确的安全策略又名规则 URL- ,因为它们被设计忽略。
注:上述理由可能并非万无一失,但如前所述,工作流程的变化是当前设计。