HTTP trafic ne correspondant pas à la règle de sécurité policy attendue lors de l’utilisation d’en-têtes X-Forwarded-For (XFF)

HTTP trafic ne correspondant pas à la règle de sécurité policy attendue lors de l’utilisation d’en-têtes X-Forwarded-For (XFF)

13696
Created On 02/02/22 10:03 AM - Last Modified 05/15/23 09:26 AM


Symptom


  • HTTP Le trafic ne correspond pas à la règle de sécurité policy attendue.
  • Le compteur global « ctd_x_fwd_sec_pol » s’incrémente, car chaque fois que le analysent un XFF en-tête pour la firewall recherche de sécuritépolicy, ce compteur s’incrémente.
> show counter global | match ctd_x_fwd_sec_pol
:Global counters:
:name                                 value     rate
:-------------------------------------------------------------------------------
:ctd_x_fwd_sec_pol                     1864        0
---
:ctd_x_fwd_sec_pol                     2070        0
---
:ctd_x_fwd_sec_pol                     2100        0


 

Environment


  • Palo Alto (Palo Alto) Firewall
  • PAN-OS10.0 et versions ultérieures
  • XFF IP Valeurs d’adresse dans Sécurité Policy et journalisation

Cause


Le firewall utilise l’adresse du X-champ Forwarded-For (XFF) de l’en-tête IP pour appliquer les HTTP stratégies de sécurité. Si le paquet passe par un seul serveur proxy avant d’atteindre le , le XFF champ contient l’adresse IP du point de terminaison d’origine firewallet peut firewall utiliser cette IP adresse pour appliquer une sécurité policy. Toutefois, si le paquet passe par plusieurs périphériques en amont, le utilise l’adresse firewall ajoutée IP la plus récente pour appliquer des stratégies ou utilise d’autres fonctionnalités qui reposent sur IP des informations.

Resolution


  • La première option consiste à modifier la règle de sécurité policy pour qu’elle soit conforme X-aux en-têtes Forwarded-For du trafic que le firewall reçoit :
    1. Accédez à l’onglet Surveiller > trafic
    2. Affichez la colonne Forwarded-For pour rechercher l’adresse source IP dans l’en-tête X- Forwarded-For IP X-.
    3. Modifiez la configuration de la règle de sécurité policy à l’aide de la X-source IPForwarded-For .
 
  • La deuxième option consiste à désactiver l’utilisation de l’en-tête Forwarded-For de l’évaluation X-de sécurité policy :
    1. Accédez à l’onglet Device > Setup > Content - > X-Forwarded-For (Configuration de l’appareil Content- Forwarded-For (En-têtesID transférés) et cliquez sur l’icône Modifier.
    2. Sélectionnez « Utiliser l’en-tête X-Forwarded-For : Désactivé ».
Remarque : sachez que la désactivation de l’utilisation des en-têtes dans les règles de sécurité policy peut avoir un impact sur d’autres XFF trafics.

    Additional Information


    Utiliser XFF IP des valeurs d’adresse dans Sécurité Policy et journalisation
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N4KCAU&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language