HTTP 流量不符合预期的安全性policy使用时的规则X-转发-For (XFF ) 标题

HTTP 流量不符合预期的安全性policy使用时的规则X-转发-For (XFF ) 标题

12724
Created On 02/02/22 10:03 AM - Last Modified 05/15/23 09:21 AM


Symptom


  • HTTP 流量与预期的安全性不匹配policy规则。
  • 全球柜台“ ctd_x_fwd_sec_pol " 会递增,因为每次firewall解析一个XFF安全标头policy查找,此计数器递增。
> show counter global | match ctd_x_fwd_sec_pol
:Global counters:
:name                                 value     rate
:-------------------------------------------------------------------------------
:ctd_x_fwd_sec_pol                     1864        0
---
:ctd_x_fwd_sec_pol                     2070        0
---
:ctd_x_fwd_sec_pol                     2100        0


 

Environment


  • 帕洛阿尔托 Firewall
  • PAN-OS10.0及以上
  • XFF IP 解决安全中的价值Policy和记录

Cause


这firewall使用IP地址在X-转发-For (XFF ) 的字段HTTP标头以执行安全策略。 如果数据包在到达之前通过单个代理服务器firewall, 这XFF字段包含IP始发端点的地址和firewall可以用那个IP地址强制执行安全policy. 但是,如果数据包经过多个上游设备,则firewall使用最近添加的IP地址来执行策略或使用依赖于其他功能IP信息。

Resolution


  • 第一个选项是修改安全性policy遵守规则X-Forwarded-对于流量的标头firewall收到:
    1. 前往监控 > 流量标签
    2. 显示X-转发给IP柱子寻找来源IP地址来自X-Forwarded-For 标头。
    3. 修改安全配置policy规则与X-转发源IP.
 
  • 第二个选项是禁用X-来自安全的 Forwarded-For Header 使用policy评估:
    1. 前往设备 > 设置 > 内容-ID >X- Forwarded-For 标头选项卡并单击编辑图标。
    2. 选择 ”使用X-Forwarded-For 标头:已禁用”。
注意:请注意,禁用XFF安全标头policy规则可能会影响其他流量。

    Additional Information


    使用XFF IP解决安全中的价值Policy和记录
    Other users also viewed:
    Actions
    • Print
    • Copy Link

      https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000004N4KCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

    Choose Language