Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
HTTP ヘッダー挿入の回避策HTTP/2.0 SaaS アプリケーション - Knowledge Base - Palo Alto Networks

HTTP ヘッダー挿入の回避策HTTP/2.0 SaaS アプリケーション

28035
Created On 05/24/21 20:48 PM - Last Modified 03/03/23 01:58 AM


Symptom


HTTPヘッダー挿入および変更機能により、管理HTTPヘッダ情報、例えばSaaS 消費者アカウントへのアクセスを制限する特定のエンタープライズ アカウントまたはカスタム アクセス オプションを許可しながら。 HTTP ヘッダー挿入機能がサポートするのはHTTP/1.1 プロトコルPAN-OS9.1 以前ですが、現在多くの SaaS アプリケーションが使用していますHTTP/2.0. 以下は、ダウングレードを可能にする回避策です。HTTP特定の SaaS のバージョンを使用して、SaaS アプリケーションを制御し続けることができます。

問題:HTTPヘッダー挿入機能はサポートしていませんHTTP/2.0 は、最新の SaaS アプリケーションを制御できないことを意味します。
解決:使用ALPNストリップしてダウングレードHTTP維持する URL/アプリケーションの特定のリストのバージョンHTTPヘッダー挿入。 この機能は、firewall Application-Layer Protocol Negotiation に含まれるすべての値を削除します (ALPN )TLS拡大。 ALPN を確保するために使用されますHTTP/2 接続。 これに値が指定されていない場合TLS拡張子、firewall格下げしますHTTP/2 トラフィックHTTP/1.1.

Environment


  • パロアルト ファイアウォール
  • PAN-OS 9.1以下。
  • HTTP ヘッダー挿入

Cause


HTTP ヘッダー挿入機能はサポートしていませんHTTP/2.0.

Resolution


有効にするために必要な手順は次のとおりです。HTTPヘッダー挿入とHTTPでバージョンダウンPAN-OS. すでに確立している場合HTTPヘッダーの挿入とダウングレードしたいHTTP/2.0~HTTP /1.1 ドメインの特定のリストについては、カスタムを作成するだけで済みますURLカテゴリ (ステップ 1)、復号化プロファイル (ステップ 2) を作成し、それを復号化に追加しますPolicy(ステップ 4)

次の例では、有効にします。HTTP Office365 SaaS アプリケーションへのアクセスを制限するヘッダー挿入により、ユーザーはエンタープライズ ドメイン アカウントでのみログインできます。
  1. カスタムURLカテゴリー:
カスタムを作成するURLカテゴリ、有効にするサイトのリストHTTPヘッダーの挿入とダウングレードHTTPへのバージョンHTTP/1.1 に移動GUI:オブジェクト > カスタム オブジェクト >URLカテゴリ >をクリックして「追加」 興味のあるサイトをリストに追加します。

 
  1. 復号化プロファイル:
ダウングレードする必要はありませんHTTPすべてのトラフィックのバージョン。 制御したい SaaS アプリケーション専用の復号化プロファイルを作成しますHTTPヘッダー挿入。 案内するGUI:オブジェクト > 復号化 > 復号化プロファイル既存のプロファイルの 1 つを複製するか、新しいプロファイルを作成できます。 オプション「ストリップ」を必ずチェックしてくださいALPN'' クライアント拡張セクションの下。




  1. URL フィルタリング プロファイル:
有効にするHTTPヘッダーの挿入、専用の作成URL新しいプロファイルを追加するか、既存のプロファイルを複製して、プロファイルをフィルタリングします。 追加HTTPSaaS アプリケーションのドキュメントに準拠したヘッダー挿入オプションとパロアルトネットワークのドキュメント. この例では、I有効にしていますHTTPOffice 365 アプリケーションのヘッダー挿入。 参照するマイクロソフトのドキュメント詳細については。 案内するGUI:オブジェクト > セキュリティ プロファイル >URLフィルタリング



  1. 復号化Policy:
使用するサイトのリストを制御するにはHTTPヘッダーの挿入とダウングレードHTTPのために、専用の復号化を作成しますpolicy.
案内するGUI:ポリシー > 復号化新しいルールを追加するか、既存のルールを複製します。 新しいカスタムを必ず追加してくださいURLルールのステップ 1 と 2 で作成したカテゴリと復号化プロファイル:






  1. セキュリティ ルール:
すべてを連携させるには、SaaS アプリケーションを許可する新しいセキュリティ ルールを作成します。




新しいものを追加URLでのフィルタリング プロファイル行動タブ。ルールを保存し、専念への変更Firewall構成。




結果:
への変更をコミットした後、Firewall 、消費者のアカウントで Office365 SaaS へのアクセスをブロックできます。
Other users also viewed:
Your query has an error: Request Error.
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VSRCA2&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language