global-protect ログインを非表示にする方法URL(FQDNまたIP/sslmgr) については、少数のユーザーのみを許可します
41102
Created On 02/16/22 00:18 AM - Last Modified 04/23/24 03:40 AM
Objective
一部のセキュリティ スキャナは、Firewallグローバル保護ログイン ページを見つけることができます。 これからURLは "FQDN-IP- address/sslmgr " これはパスが最終的に "sslmgr" であることを意味します。最も一般的な混乱は、ログイン ページにプロセス名が表示されることです。
global-protect ログイン ページを非表示にしたいのですが」FQDNまたIP/sslmgr」を使用し、少数の IP のみがこのページにアクセスできるようにします。
Environment
- パロアルト Firewall
- グローバルプロテクト構成
Procedure
目的を達成するために、カスタムを作成できますURLセキュリティに使用しますpolicy。 この記事では、ページ 10.46.43.25/sslmgr および 10.46.43.25/global-protect/login-esp へのアクセスをブロックします。
ご注意ください。IPアドレスは次のものに置き換えることができますFQDN「example[.]com/sslmgr」などの名前。
以下の手順に従って構成を作成してください。
- カスタムを作成するURLアクセスをブロックしたいページについては、次のようにカテゴリを指定します。GUI ->オブジェクト->顧客->URLカテゴリ -> 名前 -> < 好きな名前。そのようなGP-ログインページブロック>
- エントリ内で「追加ボタン」をクリックし、完全なファイルを追加します。URLグローバル保護パスの場合。
- <FQDNまたIP/sslmgr>
- <FQDNまたIP-アドレス/global-protect/login.esp>
- 次にセキュリティを作成しますpolicyこのアドレスからのすべてのユーザーを拒否し、選択した少数のアドレスのみを許可します。
- GUI->policy ->作成policyそして名前を付けます。
- [ソース アドレス] タブで、ページへのアクセスを許可するアドレスを追加します。 アドレスを追加したら、「否定ボックス」をクリックしてください。
- 安全policy→「ユーザー」タブでは任意のアドレスを選択でき、宛先アドレスも任意のアドレスを選択できます。
- 安全policy->アプリケーションも任意に選択されます。
- 安全Policy-> サービス/URLカテゴリでは、作成した顧客の URL カテゴリを選択します。GP-ログインページブロック」。
- 安全Policy->アクション、拒否を選択してください。
- これで、少数のユーザーを除いて、そのページにアクセスしようとする人は誰でもブロックされます。IPソースタブに10.47.125.7と10.101.102.96を追加しました。
- 他のユーザーのための他のユーザーIPはブロックされ、次のメッセージが表示されます。
Additional Information
注: sslmgr は、次の目的を達成するためにグローバル保護で使用されます。OCSPとCRLデーモンとデータプレーンによるクエリリクエスト。 sslmgr は基本的にオンライン証明書ステータス プロトコルと証明書失効リストを管理します。そのため、sslmgr を無効にすることはオプションではありません。グローバル プロテクト /global-protect/login.esp はグローバル プロテクト ポータルの一部でもあるため、これは予期された動作であるからです。
ご覧になりたい場合は、URLブロック ページ、同じカスタムを使用できますURLカテゴリとURLプロフィール。
- カスタムを作成するURL上記のような構成
- カスタムを変更するURLでのアクションURL-プロフィール
- セキュリティを作成するpolicy上記のようにソース IP を選択し、negate を選択します。
- 宛先アドレスを次のように選択しますGP住所。
- アクションタブで「許可」を選択し、プロファイルで選択 ->URL-変更したプロファイル。
- (許可した IP 以外の) ユーザーがブロックされるようになりました