阻止来自互联网门户的基于 Web 的电子邮件
22060
Created On 06/25/20 02:51 AM - Last Modified 03/26/21 18:26 PM
Symptom
- Firewall 仅在直接访问基于 Web 的电子邮件 URL 时,才使用筛选"基于 Web 的电子邮件"类别的规则进行配置:
- 但是,登录到"yahoo.com"的用户可以直接从主页访问邮件。
从主页启动"邮件",无需被阻止:
Environment
- 任何 PAN-OS .
- 帕洛阿尔托 Firewall .
- SSL 前置代理配置
- URL 过滤基于 Web 的电子邮件 URL 类别 firewall 。
Cause
流量以"ssl"应用程序开始,与允许流量的安全性匹配 policy SSL 。 在此示例中,匹配 policy 为"Egress_Thegreatwall",如下所示。 但是,当用户尝试从主页访问"邮件"时,就会发生应用转移。 应用程序从"ssl"转向"雅虎邮件基础"。 这触发了 policy 针对应用程序"雅虎邮件基础"的新安全查找,该应用程序与"Match_Webmail"规则相匹配。
监视器 - >流量:
详细的流量视图:
如上面所述,规则正在阻止 URL /应用程序,因为它配置有一个 URL 筛选配置文件。 尽管如此,雅虎邮件仍然加载。 发生这种情况的原因是,从主页上启动雅虎邮件会导致页面从多个来源/ULS 中启动内容,而这些内容是规则所允许的 firewall ,而该规则可能并不明显。
Resolution
- 打开浏览器中的开发人员控制台,查看浏览器在访问雅虎邮件时尝试加载的所有内容。
- 创建阻止这些内容的安全规则:如果需要,请使用通配符:".yimg"和"mail.yahoo.com"。 在此图中,该规则位于"Match_Webmail"下方。 此规则中的自定义对象"Yahoo_URLs"包含通配符,规则设置为拒绝。 为了简化安全政策,"互联网门户"类别被添加到"Match_Webmail"安全 policy 。
- 创建解密 - policy 用于"互联网门户" URL 类别和 URL 包含通配符 FQDN 的自定义对象。
Additional Information
- 本文假定读者熟悉应用转移、 URL 过滤和 SSL 解密。 如果没有 SSL 解密结果可能会有所不同:例如,Chrome 上的用户可能会被阻止,但 Safari 或 Firefox 上的用户不会被阻止。 因此,强烈建议解密。
- 同样的原则也适用于其他基于网络的电子邮件服务;从开发人员控制台获取的数据包捕获或信息可以帮助确定可能需要阻止哪些 ABI、网址或 FQDN。
- 在某些情况下,浏览器使用缓存/cookie 加载邮件客户端:清除浏览器cookie是一种临时的解决方法:长期修复是解密和阻止概述的流量。