如何隐藏全局保护登录URL(FQDN或者IP/sslmgr) 获取信息，同时只允许少数用户

一些安全扫描器在扫描时Firewall可以发现全局保护登录页面。 从此URL是 ”FQDN-IP- address/sslmgr”表示路径最后是“sslmgr”，最常见的混淆是登录页面显示进程名称。

我们想隐藏全局保护登录页面“FQDN或者IP/sslmgr”，并且只允许少数IP访问该页面。

• 帕洛阿尔托 Firewall
• 全局保护配置

为了实现我们的目标，我们可以创建一个自定义URL并在安全中使用它policy. 在本文中，我们阻止访问页面 10.46.43.25/sslmgr 和 10.46.43.25/global-protect/login-esp。
请注意IP地址可以替换为FQDN名称，例如“example[.]com/sslmgr”。

请按照以下步骤创建配置。

1. 创建自定义URL对于我们要阻止访问的页面，类别如下GUI->对象->客户->URL类别 -> 名称 -> < 任何你喜欢的名字。例如GP-登录页面块>
2. 在条目中，单击“添加按钮”并添加完整的URL用于全局保护路径。
   1. <FQDN或者IP/sslmgr>
   2. <FQDN或者IP-地址/全局保护/login.esp>

3. 现在创建一个安全policy拒绝所有人进入该地址，只允许少数选定的人。
   1. GUI->policy ->创建一个policy并给出一个名字。
   2. 在源地址选项卡下，添加允许访问该页面的地址。 添加地址后，请单击“否定框”。

3. 安全policy->用户选项卡可以任意选择，目的地址也可以任意选择。
4. 安全policy->应用程序也选择了任何。
5. 安全Policy-> 服务/URL category，选择我们创建的客户 url-category 'GP-登录页面块'。
6. 安全Policy->动作，请选择拒绝。
7. 现在任何想要访问该页面的人都将被阻止，除了少数人IP我们在源选项卡中添加了 - 10.47.125.7 和 10.101.102.96

4. 任何其他用户IP将被阻止并收到以下消息。

1. 创建自定义URL配置如上
2. 修改自定义URL行动在URL-轮廓

 

3. 创造安全policy然后选择上面的源 IP，然后选择否定。

4. 选择目标地址为GP地址。

5. 在操作选项卡中 -> 选择“允许”，在配置文件中 -> 选择 ->URL-我们修改过的配置文件。

6. 现在任何用户（我们允许的 IP 除外）都将被阻止