HTTP Datenverkehr, der bei Verwendung X-von Forwarded-ForXFF()-Headern nicht mit der erwarteten Sicherheitsregel policy übereinstimmt

HTTP Datenverkehr, der bei Verwendung X-von Forwarded-ForXFF()-Headern nicht mit der erwarteten Sicherheitsregel policy übereinstimmt

12711
Created On 02/02/22 10:03 AM - Last Modified 05/15/23 09:21 AM


Symptom


  • HTTP Der Datenverkehr entspricht nicht der erwarteten Sicherheitsregel policy .
  • Der globale Zähler "ctd_x_fwd_sec_pol" wird inkrementiert, da jedes Mal, wenn ein Header für die firewall XFF Sicherheitssuche policy analysiert wird, dieser Zähler inkrementiert wird.
> show counter global | match ctd_x_fwd_sec_pol
:Global counters:
:name                                 value     rate
:-------------------------------------------------------------------------------
:ctd_x_fwd_sec_pol                     1864        0
---
:ctd_x_fwd_sec_pol                     2070        0
---
:ctd_x_fwd_sec_pol                     2100        0


 

Environment


  • Palo Alto Firewall
  • PAN-OS10.0 und höher
  • XFF IP Adresswerte in Sicherheit Policy und Protokollierung

Cause


Die verwendet firewall die IP Adresse im X-Feld Forwarded-For (XFF) des HTTP Headers, um Sicherheitsrichtlinien durchzusetzen. Wenn das Paket einen einzelnen Proxyserver durchläuft, bevor es die , enthält das XFF Feld die Adresse des ursprünglichen Endpunkts und die firewallIP firewall kann diese IP Adresse verwenden, um eine Sicherheit policyzu erzwingen. Wenn das Paket jedoch mehrere Upstreamgeräte durchläuft, verwendet es firewall die zuletzt hinzugefügte IP Adresse, um Richtlinien durchzusetzen, oder verwendet andere Funktionen, die auf IP Informationen basieren.

Resolution


  • Die erste Möglichkeit besteht darin, die Sicherheitsregel policy so zu ändern, firewall dass sie mit den X-Forwarded-For-Headern des empfangenen Datenverkehrs kompatibel ist:
    1. Wechseln Sie zur Registerkarte "Traffic > überwachen"
    2. Zeigen Sie die Spalte "Forwarded-For" an, um die Quelladresse IP aus dem X-Header "Forwarded-ForIP" zu finden.X-
    3. Ändern Sie die Konfiguration der Sicherheitsregel policy mit der X-Forwarded-For-Quelle IP.
 
  • Die zweite Möglichkeit besteht darin, die Verwendung des Forwarded-For-Headers aus der X-Sicherheitsbewertung policy zu deaktivieren:
    1. Gehen Sie zur Registerkarte Device > Setup > Content- > X-Forwarded-For-HeaderID und klicken Sie auf das Bearbeitungssymbol.
    2. Wählen Sie "Header " X-Weiterleitung verwenden: Deaktiviert".
Hinweis: Beachten Sie, dass sich das Deaktivieren der Verwendung der XFF Header in Sicherheitsregeln policy auf anderen Datenverkehr auswirken kann.

    Additional Information


    Verwenden von XFF IP Adresswerten in Sicherheit Policy und Protokollierung
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N4KCAU&lang=de%E2%80%A9&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language