HTTP トラフィックが期待されるセキュリティと一致しないpolicy使用時のルールX-転送先 (XFF ) ヘッダー

12722

Created On 02/02/22 10:03 AM - Last Modified 05/15/23 09:21 AM

Symptom

HTTP トラフィックが期待されるセキュリティと一致しないpolicyルール。
グローバルカウンター」 ctd_x_fwd_sec_pol " が増加するたびに、firewallを解析しますXFFセキュリティ用のヘッダーpolicyルックアップすると、このカウンタは増加します。

> show counter global | match ctd_x_fwd_sec_pol
:Global counters:
:name                                 value     rate
:-------------------------------------------------------------------------------
:ctd_x_fwd_sec_pol                     1864        0
---
:ctd_x_fwd_sec_pol                     2070        0
---
:ctd_x_fwd_sec_pol                     2100        0

Environment

パロアルト Firewall
PAN-OS10.0以上
XFF IP セキュリティにおけるアドレス値Policyとロギング

Cause

のfirewallを使用しますIPのアドレスX-転送先 (XFF ) フィールドHTTPヘッダーを使用してセキュリティポリシーを適用します。パケットが単一のプロキシサーバーを通過してから、firewall 、XFFフィールドには、IP発信元エンドポイントのアドレスとfirewallそれを使うことができますIPセキュリティを強化するためのアドレスpolicy。ただし、パケットが複数の上流デバイスを通過する場合、firewall最近追加されたものを使用しますIPポリシーを適用するためにアドレスを指定するか、それに依存する他の機能を使用します。IP情報。

Resolution

最初のオプションはセキュリティを変更することですpolicyに準拠するためのルールX-トラフィックの Forwarded-For ヘッダーfirewall受け取ります:
1. に行きますモニター > トラフィックタブ
2. を表示しますX-転送先IP桁ソースを見つけるためにIPからのアドレスX-Forwarded-For ヘッダー。
3. セキュリティの構成を変更するpolicyでルールを決めるX-転送先ソースIP。

2 番目のオプションは、X-セキュリティからの Forwarded-For ヘッダーの使用policy評価：
1. に行きますデバイス > セットアップ > コンテンツ -ID >X-転送先ヘッダータブをクリックし、編集アイコンをクリックします。
2. 選択する "使用X-Forwarded-For ヘッダー: 無効」。

注: の使用を無効にすると、XFFセキュリティのヘッダーpolicyルールは他のトラフィックに影響を与える可能性があります。

Additional Information