So blenden Sie die global-protect-Anmeldung URL (FQDN oder IP/sslmgr) für Informationen aus, während Sie nur wenige Benutzer zulassen
Objective
Einige Sicherheitsscanner können beim Scannen Firewall die Anmeldeseite des globalen Schutzes erkennen. Da es URL sich um "address/sslmgr" handelt, was bedeutet, dass der Pfad am Ende "sslmgr"FQDN-IP- ist, besteht die häufigste Verwirrung darin, dass auf der Anmeldeseite ein Prozessname angezeigt wird.
Wir möchten die global-protect-Anmeldeseite " oder IP /sslmgr"FQDN ausblenden und nur wenigen IPs den Zugriff auf diese Seite erlauben.
Environment
- Palo Alto Firewall
- Global Protect-Konfiguration
Procedure
Um unser Ziel zu erreichen, können wir eine benutzerdefinierte URL erstellen und in der Sicherheit policyverwenden . In diesem Artikel blockieren wir den Zugriff auf die Seiten 10.46.43.25/sslmgr und 10.46.43.25/global-protect/login-esp.
Bitte beachten Sie, dass die IP Adressen durch den FQDN Namen ersetzt werden können, z. B. "example[.] com/sslmgr."
Bitte führen Sie die folgenden Schritte aus, um die Konfiguration zu erstellen.
- Erstellen Sie eine benutzerdefinierte URL Kategorie wie folgt für die Seite, für die wir den Zugriff blockieren möchten, als GUI->Objekte-> Kunde -> Kategorie -> Name -> < beliebiger Name. wie GP-login-page-block>URL
- Klicken Sie im Eintrag auf die Schaltfläche "Hinzufügen" und fügen Sie den vollständigen URL globalen Schutzpfad hinzu.
- FQDN< oder IP/sslmgr>
- FQDN< oder IP-address/global-protect/login.esp>
- Erstellen Sie nun eine Sicherheit policy , um jedem diese Adresse zu verweigern und nur einige ausgewählte zuzulassen.
- GUI-> policy ->Erstelle ein und gib einen Namen ein policy .
- Fügen Sie auf der Registerkarte Quelladresse die Adressen hinzu, die auf die Seite zugreifen dürfen. Sobald Sie die Adresse hinzugefügt haben, klicken Sie bitte auf das Feld "Negieren".
- Sicherheit policy ->Benutzer-Registerkarte können Sie eine beliebige auswählen, und die Zieladresse auch eine beliebige auswählen.
- Sicherheit policy-> Anwendung wird auch beliebig ausgewählt.
- Sicherheit Policy-> Service/URL category, wählen Sie die Kunden-URL-Kategorie aus, die wir erstellt haben: 'GP-login-page-block'.
- Sicherheit Policy->Aktion, wählen Sie bitte Verweigern aus.
- Jetzt wird jeder, der auf die Seite zugreifen möchte, blockiert, mit Ausnahme der wenigen IP , die wir auf der Registerkarte "Quelle" hinzugefügt haben - 10.47.125.7 und 10.101.102.96
- Jeder andere Benutzer für einen anderen IP wird blockiert und erhält die folgende Meldung.
Additional Information
Hinweis: sslmgr wird im globalen Schutz verwendet, um Anfragen von Daemons und Datenebenen zu erfüllen OCSP und CRL abzufragen. sslmgr verwaltet grundsätzlich das Online-Zertifikatsstatusprotokoll und die Zertifikatssperrliste, daher ist das Deaktivieren von sslmgr keine Option, da es erwartet wird Verhalten von Global protect /global-protect/login.esp ist auch Teil des globalen Protect-Portals
Falls Sie die URL Blockseite sehen möchten, Sie können dieselbe benutzerdefinierte URL Kategorie und URL dasselbe Profil verwenden.
- Erstellen Sie die benutzerdefinierte URL Konfiguration wie oben beschrieben
- Ändern der benutzerdefinierten URL Aktion in einem URL-Profil
- Erstellen Sie die Sicherheit policy , wählen Sie die Quell-IPs wie oben beschrieben aus und wählen Sie "Negieren" aus.
- Wählen Sie die Zieladresse als GP Adresse aus.
- Wählen Sie auf der Registerkarte "Aktion-> "Zulassen" und wählen Sie im Profil-> -> URL-Profil aus, das wir geändert haben.
- Jetzt, wenn jeder Benutzer (außer den von uns zugelassenen IPs) blockiert wird