HTTP Problemumgehung beim Einfügen von Headern für HTTP/2.0 SaaS-Anwendungen
28035
Created On 05/24/21 20:48 PM - Last Modified 03/03/23 01:59 AM
Symptom
HTTP Mit der Funktion zum Einfügen und Ändern von Kopfzeilen können Sie Kopfzeileninformationen verwalten HTTP , z. B. um den Zugriff auf SaaS-Verbraucherkonten einzuschränken und gleichzeitig ein bestimmtes Unternehmenskonto oder benutzerdefinierte Zugriffsoptionen zuzulassen. HTTP Die Header-Einfügefunktion unterstützt nur HTTPdas /1.1-Protokoll in PAN-OS Version 9.1 und älter, jedoch verwenden viele SaaS-Anwendungen jetzt HTTP/2.0. Im Folgenden finden Sie eine Problemumgehung, mit der Sie die Version für das jeweilige SaaS downgraden können, um die HTTP Kontrolle über SaaS-Anwendungen zu behalten.
Problem: HTTP Die Header-Einfügefunktion unterstützt HTTP/2.0 nicht, was bedeutet, dass Sie moderne SaaS-Anwendungen nicht steuern können.
Lösung: Verwenden Sie ALPN Strip, um die HTTP Version für eine bestimmte Liste von URLs/Anwendungen herabzustufen, um das Einfügen von Headern beizubehalten HTTP . Dieses Feature gibt an, dass alle firewall in der Erweiterung Application-Layer Protocol Negotiation (ALPN) TLS enthaltenen Werte entfernt werden sollen. ALPN wird verwendet, um /2-Verbindungen zu sichern HTTP. Wenn für diese TLS Erweiterung kein Wert angegeben ist, wird der firewall Datenverkehr /2 auf HTTP/1.1 herabgestuftHTTP.
Environment
- Palo Alto Firewalls
- PAN-OS 9.1 und darunter.
- HTTP Einfügen von Headern
Cause
HTTP Die Funktion zum Einfügen von Headern unterstützt HTTP/2.0 nicht.
Resolution
Hier sind einige Schritte, die Sie ausführen müssen, um das Einfügen von Headern und HTTP das Versionsdowngrade in PAN-OSzu aktivierenHTTP. Wenn Sie die Header-Einfügung bereits eingerichtet HTTP haben und /2.0 für eine bestimmte Liste von Domänen auf /1.1 herabstufen HTTPmöchten, müssen Sie nur eine benutzerdefinierte URL Kategorie erstellen (Schritt 1), ein Entschlüsselungsprofil erstellen (Schritt 2) und es zu Ihrer Entschlüsselung Policy hinzufügen (Schritt 4)
Im folgenden Beispiel aktivieren HTTP wir das Einfügen von Headern, um den Zugriff auf HTTPdie Office365 SaaS-Anwendung einzuschränken. Benutzer können sich nur mit Enterprise-Domänenkonten anmelden.
- Benutzerdefinierte URL Kategorie:
Erstellen Sie eine benutzerdefinierte Kategorie, listen Sie Websites auf, für die Sie das Einfügen von Kopfzeilen aktivieren HTTP möchten, und das Downgrade HTTP der Version auf /1.1 Navigieren Sie zuGUI: Objekte > benutzerdefinierte Objekte > Kategorie > URL und klicken Sie auf HTTP"Hinzufügen" Fügen Sie der Liste interessante Websites hinzu.URL
- Entschlüsselungsprofil:
Es besteht keine Notwendigkeit, die HTTP Version für den gesamten Datenverkehr herunterzustufen. Erstellen Sie ein dediziertes Entschlüsselungsprofil für SaaS-Anwendungen, die Sie mit HTTP Header-Insertion steuern möchten. Navigieren Sie zu GUI: Objekte > Entschlüsselung > Entschlüsselungsprofil Sie können eines der vorhandenen Profile klonen oder ein neues erstellen. Stellen Sie sicher, dass Sie die Option "Strip ALPN '' im Abschnitt Clienterweiterung aktivieren.
- URL Filterprofil:
Um das Einfügen von Headern zu aktivieren HTTP , erstellen Sie ein dediziertes URL Filterprofil, indem Sie ein neues hinzufügen oder das vorhandene klonen. Fügen Sie Header-Einfügeoptionen gemäß der SaaS-Anwendungsdokumentation und der Palo Alto Networks-Dokumentation hinzuHTTP. In diesem Beispiel Iaktiviere HTTP ich das Einfügen von Kopfzeilen für die Office 365-Anwendung. Weitere Informationen finden Sie in der Microsoft-Dokumentation . Navigieren Sie zu GUI: Objekte > Sicherheitsprofile > URL Filtern
- Entschlüsselung Policy:
Um die Liste der Websites zu steuern, für die Sie das Einfügen und Downgrade HTTP von Headern verwenden HTTP möchten, erstellen Sie eine dedizierte Entschlüsselung .
policy Navigieren Sie zuGUI: Richtlinien > Entschlüsselung und fügen Sie eine neue Regel hinzu oder klonen Sie die vorhandene. Stellen Sie sicher, dass Sie Ihr neues benutzerdefiniertes URL Kategorie- und Entschlüsselungsprofil, das wir in den Schritten 1 und 2 erstellt haben, der Regel hinzufügen:
policy Navigieren Sie zuGUI: Richtlinien > Entschlüsselung und fügen Sie eine neue Regel hinzu oder klonen Sie die vorhandene. Stellen Sie sicher, dass Sie Ihr neues benutzerdefiniertes URL Kategorie- und Entschlüsselungsprofil, das wir in den Schritten 1 und 2 erstellt haben, der Regel hinzufügen:
- Sicherheitsregel:
Damit alles zusammenarbeitet, erstellen Sie eine neue Sicherheitsregel, die Ihre SaaS-Anwendungen zulässt.
Fügen Sie Ihr neues URL Filterprofil auf der Registerkarte Aktionen hinzu.Speichern Sie die Regel, und übernehmen Sie Änderungen an der Firewall Konfiguration.
Ergebnisse:
Nachdem Sie Änderungen an dem Firewallübernommen haben, können Sie den Zugriff auf die Office365 SaaS mit Verbraucherkonten blockieren.
Fügen Sie Ihr neues URL Filterprofil auf der Registerkarte Aktionen hinzu.Speichern Sie die Regel, und übernehmen Sie Änderungen an der Firewall Konfiguration.
Ergebnisse:
Nachdem Sie Änderungen an dem Firewallübernommen haben, können Sie den Zugriff auf die Office365 SaaS mit Verbraucherkonten blockieren.