インターネット ポータルからの Web ベースの電子メールのブロック
22064
Created On 06/25/20 02:51 AM - Last Modified 03/26/21 18:26 PM
Symptom
- Firewall 「ウェブベースの電子メール」カテゴリをフィルタリングするルールで設定されるのは URL 、Webベースの電子メールに直接アクセスする場合のみです。
- ただし、「yahoo.com」にログインしたユーザーは、ホームページからメールに直接アクセスできます。
ホーム ページから 「メール」 を起動すると、ブロックされずに開きます。
Environment
- 任意 PAN-OS の .
- パロ アルト Firewall .
- SSL フォワード プロキシが構成されました
- URL の Web ベース電子メール URL カテゴリをフィルター処理 firewall します。
Cause
トラフィックは「ssl」アプリケーションとして開始され、 policy トラフィックを許可するセキュリティと一致 SSL します。 この例では、以下に policy 示すように、マッチングは「Egress_Thegreatwall」です。 ただし、ユーザーがホーム ページから 「メール」 にアクセスしようとするとすぐに、アプリケーションのシフトが発生します。 アプリケーションは「ssl」から「ヤフーメールベース」に移行します。 これにより、 policy ルール 'Match_Webmail' に一致するアプリケーション 'yahoo-mail-base' に対する新しいセキュリティルックアップがトリガーされます。
監視 --> トラフィック
: 詳細なトラフィック ビュー:
上で強調表示されているように URL 、/アプリケーションはフィルタリング プロファイルで構成されているためブロック URL されています。 それにもかかわらず、ヤフーメールはまだ読み込まれます。 これが起こっている理由は、ホームページからYahooメールを起動すると、ページが、ルールによって許可されている複数のソース/URLからコンテンツ firewall を起動し、すぐには明らかではない可能性があるためです。
Resolution
- ブラウザーで開発者コンソールをオンにして、Yahoo メールへのアクセス中にブラウザが読み込もうとしているすべてのコンテンツを表示します。
- これらのコンテンツをブロックするセキュリティ規則を作成します。必要に応じてワイルドカードを使用 mail.yahoo.comします。 この図では、ルールは 「Match_Webmail」 の下に配置されます。 このルールのカスタム オブジェクト 'Yahoo_URLs' にはワイルドカードが含まれ、ルールは拒否に設定されています。 セキュリティ ポリシーを簡素化するために、'インターネット ポータル' カテゴリが "Match_Webmail' セキュリティに追加されます policy 。
- policy「インターネットポータル」 URL カテゴリと URL ワイルドカードFQDNを含むカスタムオブジェクトの復号化を作成します。
Additional Information
- この記事では、読者がアプリケーションのシフト、 URL フィルター処理、および復号化に精通していることを前提としています SSL 。 SSL復号化の結果がない場合、たとえば Chrome のユーザーは Safari や Firefox ではブロックされる可能性がありますが、ユーザーはブロックされない場合があります。 したがって、復号化は強くお勧めします。
- 同じ原則が他の Web ベースの電子メール サービスにも適用されます。パケット キャプチャや開発者コンソールから取得した情報は、ブロックする必要がある API、URL、または FQDN を決定するのに役立ちます。
- 場合によっては、ブラウザはキャッシュ/クッキーを使用してメールクライアントをロードします。ブラウザクッキーのクリアは一時的な回避策です。長期的な修正は、アウトライン化されたトラフィックを復号化してブロックすることです。