HTTP solución alternativa de inserción de encabezado para HTTPaplicaciones SaaS /2.0
28035
Created On 05/24/21 20:48 PM - Last Modified 03/03/23 01:59 AM
Symptom
HTTP La función de inserción y modificación de encabezado le permite administrar HTTP la información del encabezado, por ejemplo, restringir el acceso a las cuentas de consumidor SaaS al tiempo que permite una cuenta empresarial específica u opciones de acceso personalizadas. HTTP la función de inserción de encabezado solo HTTPadmite el protocolo /1.1 en PAN-OS 9.1 y versiones anteriores, sin embargo, muchas aplicaciones SaaS ahora usan HTTP/2.0. A continuación se muestra una solución alternativa que le permite degradar la HTTP versión del SaaS específico para mantener el control sobre las aplicaciones SaaS.
Problema: HTTP La función de inserción de encabezado no es compatible con HTTP/2.0, lo que significa que no podrá controlar las aplicaciones SaaS modernas.
Solución: use ALPN Strip para degradar la versión de una determinada lista de direcciones URL o aplicaciones para mantener HTTP la HTTP inserción del encabezado. Esta característica especifica que se elimine cualquier firewall valor contenido en la extensión Negociación de protocolo de capa de aplicación (ALPN). TLS ALPN se utiliza para proteger HTTPlas conexiones /2. Sin ningún valor especificado para esta TLS extensión, el degradará HTTPel firewall tráfico /2 a HTTP/1.1.
Environment
- Palo Alto Firewalls
- PAN-OS 9.1 y más abajo.
- HTTP Inserción de encabezado
Cause
HTTP La función de inserción de encabezado no admite HTTP/2.0.
Resolution
Estos son algunos pasos que debe seguir para habilitar HTTP la inserción de encabezados y HTTP la degradación de versión en PAN-OS. Si ya ha establecido HTTP la inserción de encabezado y desea degradar HTTP/2.0 a /1.1 para una determinada lista de dominios, solo necesita crear una categoría personalizada URL (paso 1), crear un perfil de descifrado (paso 2) y agregarlo a su descifrado Policy (paso 4)
En el siguiente ejemplo, habilitaremos HTTP la inserción de encabezado para restringir el acceso a HTTPla aplicación SaaS de Office365, Permitir a los usuarios iniciar sesión solo con cuentas de dominio empresarial.
- Categoría personalizada URL :
Cree una categoría personalizadaURL, enumerando los sitios para los que desea habilitar HTTP la inserción de encabezado y la versión de degradación HTTP a /1.1 Vaya a: Objetos > Objetos personalizados > Categoría > URL y haga clic en "Agregar" Agregar sitios de interés a HTTPGUIla lista.
- Perfil de descifrado:
No hay necesidad de degradar la HTTP versión para todo el tráfico. Cree un perfil de descifrado dedicado para las aplicaciones SaaS que desea controlar con HTTP la inserción de encabezados. Vaya a GUI: Objetos > descifrado > perfil de descifrado Puede clonar uno de los perfiles existentes o crear uno nuevo. Asegúrese de marcar la opción "Strip ALPN '' en la sección Extensión de cliente.
- URL Perfil de filtrado:
Para habilitar HTTP la inserción de encabezados, cree un perfil de filtrado dedicado URL agregando uno nuevo o clonando el existente. Agregue HTTP opciones de inserción de encabezado de acuerdo con la documentación de la aplicación SaaS y la documentación de Palo Alto Networks. En este ejemplo, I'está habilitando HTTP la inserción de encabezado para la aplicación de Office 365. Consulte la documentación de Microsoft para obtener más detalles. Vaya a GUI: Objetos > perfiles de seguridad > URL filtrado
- Descifrado Policy:
Para controlar la lista de sitios para los que desea utilizar HTTP la inserción y degradación HTTP de encabezados, cree un descifrado dedicado policy.
Vaya a GUI: Directivas > Descifrado y agregue una nueva regla o clone la existente. Asegúrese de agregar su nueva categoría personalizada URL y perfil de descifrado que hicimos en los pasos 1 y 2 a la regla:
Vaya a GUI: Directivas > Descifrado y agregue una nueva regla o clone la existente. Asegúrese de agregar su nueva categoría personalizada URL y perfil de descifrado que hicimos en los pasos 1 y 2 a la regla:
- Regla de seguridad:
Para que todo funcione en conjunto, cree una nueva regla de seguridad, permitiendo sus aplicaciones SaaS.
Agregue su nuevo URL perfil de filtrado en la pestaña Acciones .Guarde la regla y confirme los cambios realizados en la Firewall configuración.
Resultados:
después de confirmar los cambios en el , podrá bloquear el Firewallacceso al SaaS de Office365 con las cuentas de los consumidores.
Agregue su nuevo URL perfil de filtrado en la pestaña Acciones .Guarde la regla y confirme los cambios realizados en la Firewall configuración.
Resultados:
después de confirmar los cambios en el , podrá bloquear el Firewallacceso al SaaS de Office365 con las cuentas de los consumidores.