Cuando se utiliza SSL descifrado URL-proxy el tráfico HTTPS (SSL) puede usar una regla de seguridad incorrecta
Resolution
Detalles
En este escenario, cuando el usuario estaba accediendo a "https://Exchange.leapfile.com/", se golpeó la regla "deny-app" para la caída, pero puede ver el siguiente registro de tráfico:
Vea los siguientes registros de tráfico:
=========================================================================== registro de tráfico-ng Case =========================================================================== Receive_T Dest_addr Rule App S_Port D_Port Category Action 8/25 9:55 54.227.253.124 URL Block Web-navegación 55888 443 permitir en línea- almacenamiento de información y backup
Después de deshabilitar la regla "bloquear URL", se puede pulsar en la regla "deny-app" como se esperaba.
=========================================================================== registros de tráfico-OK Case =========================================================================== Receive_T Dest_addr Rule App S_Port D_Port Category Action 8/25 9:56 54.227.253.124 Deny-APP leapfile 55895 443 denegar online- almacenamiento de información y backup
Tal como se configuró, "Set deviceconfig Setting SSL-Decrypt URL-proxy Yes" en el Firewall de Palo Alto Networks, el Firewall enviará la página de bloque de URL en el caso de una URL coincidente. En este caso, el cortafuegos envía la página de bloque de URL antes de que Palo Alto Networks Firewall tuviera la oportunidad de establecer la aplicación en "leapfile". Mientras que en la primera regla deny-App, asegúrese de que no hay ninguna directiva de bloque de URL. Palo Alto Networks Firewall no envía la página de bloqueo de URL antes de identificar la aplicación. Cuando la aplicación está establecida, la aplicación será denegada por la regla "deny-app".
Para obtener más información sobre cómo configurar, consulte el siguiente vínculo: Cómo configurar el dispositivo Palo Alto Networks para que sirva una página de respuesta de URL en una sesión https sin descifrar SSL
Habilite la capacidad del dispositivo de Palo Alto Networks para inyectar páginas de respuesta de filtrado de URL dentro de una sesión https con el siguiente comando de configuración:
> Set deviceconfig establecer SSL-descifrar URL-proxy sí
Propietario: kkondo