HTTP 标头插入解决方法HTTP/2.0 SaaS应用
28015
Created On 05/24/21 20:48 PM - Last Modified 03/03/23 01:59 AM
Symptom
HTTP标题插入和修改功能让你管理HTTP标题信息,例如限制对 SaaS 消费者帐户的访问同时允许特定的企业帐户或自定义访问选项。 HTTP 标头插入功能仅支持HTTP/1.1 中的协议PAN-OS9.1 及更早版本,但现在许多 SaaS 应用程序正在使用HTTP/2.0。 以下是一种解决方法,可让您降级HTTP特定 SaaS 的版本,以保持您对 SaaS 应用程序的控制。
问题:HTTP不支持标头插入功能HTTP/2.0 这意味着您将无法控制现代 SaaS 应用程序。
解决方案:使用ALPN剥离降级HTTP要维护的特定 URL/应用程序列表的版本HTTP标题插入。 此功能指定为firewall删除应用层协议协商中包含的任何值(ALPN )TLS扩大。 ALPN 用于保护HTTP/2 个连接。 没有为此指定值TLS扩展, 的firewall会降级HTTP/2 交通到HTTP/1.1。
Environment
- 帕洛阿尔托防火墙
- PAN-OS 9.1 及以下。
- HTTP 标题插入
Cause
HTTP 不支持标头插入功能HTTP/2.0。
Resolution
以下是启用所需的一些步骤HTTP标头插入和HTTP版本降级PAN-OS. 如果您已经建立HTTP标头插入并想降级HTTP/2.0 至HTTP/1.1 对于某个域名列表,你只需要创建一个CustomURL类别(第 1 步),创建解密配置文件(第 2 步),并将其添加到您的解密Policy(步骤4)
在下面的示例中,我们将启用HTTP标头插入以限制对 Office365 SaaS 应用程序的访问,允许用户仅使用企业域帐户登录。
- 风俗URL类别:
创建自定义URL类别,列出您要启用的网站HTTP标头插入和降级HTTP版本到HTTP/1.1 导航到GUI:对象 > 自定义对象 >URL类别 >并点击“添加” 将感兴趣的站点添加到列表中。
- 解密简介:
没有必要降级HTTP所有流量的版本。 为您想要控制的 SaaS 应用程序创建专用的解密配置文件HTTP标题插入。 导航GUI:对象 > 解密 > 解密配置文件您可以克隆现有配置文件之一或创建一个新配置文件。 一定要勾选“StripALPN '' 在客户端扩展部分下。
- URL 过滤配置文件:
启用HTTP标题插入,创建一个专用URL通过添加新的或克隆现有的配置文件来过滤配置文件。 添加HTTP根据 SaaS 应用程序文档和帕洛阿尔托网络文档. 在这个例子中,I '启用HTTPOffice 365 应用程序的页眉插入。 参考微软文档更多细节。 导航GUI:对象 > 安全配置文件 >URL过滤
- 解密Policy:
控制要使用的站点列表HTTP标头插入和降级HTTPfor, 创建专用解密policy.
导航GUI:策略 > 解密并添加新规则或克隆现有规则。 确保添加您的新自定义URL我们在规则的第 1 步和第 2 步中创建的类别和解密配置文件:
导航GUI:策略 > 解密并添加新规则或克隆现有规则。 确保添加您的新自定义URL我们在规则的第 1 步和第 2 步中创建的类别和解密配置文件:
- 安全规则:
为了使一切协同工作,创建一个新的安全规则,允许您的 SaaS 应用程序。
添加您的新URL上的过滤配置文件动作标签。保存规则并犯罪更改为Firewall配置。
结果:
提交更改后Firewall,您将能够阻止使用消费者帐户访问 Office365 SaaS。
添加您的新URL上的过滤配置文件动作标签。保存规则并犯罪更改为Firewall配置。
结果:
提交更改后Firewall,您将能够阻止使用消费者帐户访问 Office365 SaaS。