HTTP tráfico que no coincide con la regla de seguridad policy esperada cuando se utilizan X-encabezados Forwarded-For (XFF)

HTTP tráfico que no coincide con la regla de seguridad policy esperada cuando se utilizan X-encabezados Forwarded-For (XFF)

12748
Created On 02/02/22 10:03 AM - Last Modified 05/15/23 09:21 AM


Symptom


  • HTTP El tráfico no coincide con la regla de seguridad policy esperada.
  • El contador global "ctd_x_fwd_sec_pol" se incrementará, ya que cada vez que analiza un XFF encabezado para la firewall búsqueda de seguridadpolicy, este contador se incrementa.
> show counter global | match ctd_x_fwd_sec_pol
:Global counters:
:name                                 value     rate
:-------------------------------------------------------------------------------
:ctd_x_fwd_sec_pol                     1864        0
---
:ctd_x_fwd_sec_pol                     2070        0
---
:ctd_x_fwd_sec_pol                     2100        0


 

Environment


  • Palo Alto Firewall
  • PAN-OS10.0 y superior
  • XFF IP Valores de dirección en seguridad Policy y registro

Cause


El firewall utiliza la IP dirección del X-campo Reenviado para (XFF) del HTTP encabezado para aplicar directivas de seguridad. Si el paquete pasa a través de un único servidor proxy antes de llegar al , el XFF campo contiene la IP dirección del extremo de origen y puede firewall utilizar esa IP dirección para aplicar una seguridadpolicy.firewall Sin embargo, si el paquete pasa a través de varios dispositivos ascendentes, el firewall utiliza la dirección agregada IP más recientemente para aplicar directivas o utiliza otras características que dependen de IP la información.

Resolution


  • La primera opción es modificar la regla de seguridad policy para que sea compatible con los X-encabezados Forwarded-For del tráfico que firewall recibe:
    1. Vaya a la pestaña Supervisar > tráfico
    2. Muestre la columna Reenviado para buscar la X-dirección de origen del encabezado Reenviado paraIP.X-IP
    3. Modifique la configuración de la regla de seguridad policy con el X-origen IPReenviado para .
 
  • La segunda opción es deshabilitar la utilización del encabezado Forwarded-For de la X-evaluación de seguridad policy :
    1. Vaya a la pestaña Device > Setup > Content- > X-Forwarded-For Headers (Configuración del del dispositivo)ID y haga clic en el icono de edición.
    2. Seleccione "Usar X-encabezado reenviado: deshabilitado".
Nota: Tenga en cuenta que deshabilitar el uso de los encabezados en las XFF reglas de seguridad policy podría afectar a otro tráfico.

    Additional Information


    Usar XFF IP valores de dirección en seguridad Policy y registro
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N4KCAU&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language