Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何 URL 强制过滤解 policy TLS 密 HTTPS 会话的握手 - Knowledge Base - Palo Alto Networks

如何 URL 强制过滤解 policy TLS 密 HTTPS 会话的握手

32606
Created On 08/04/20 19:32 PM - Last Modified 10/10/23 08:32 AM


Objective


在 KB 实施以下任何缓解措施之前,请参阅文章 URL 过滤清晰文本 HTTP 和加密 HTTPS 流量之间的文章查找和执行差异

为了 URL policy TLS 强制筛选解密 HTTPS 会话的握手,我们建议您使用以下任何一种解决方法:
  1. 在PanOS防火墙上的两个vsys之间路由出站流量,它们能够做到这 URL 一点,并在一个和 SSL / TLS 另一个vsys上执行筛选和/解密。
  1. 添加 2 个额外的安全区并路由它们之间的出站流量,以同时应用"解密"和"无解密"解密 policy 规则。 例如,您 NGFW 在应用"无解密"的内区到内部区域的流量中配置您的流量 DMZ ,然后通过"解密"规则从外部DMZInternet区域进行传递。 DMZ 下面详细介绍了此解决方法。 请注意,此配置可能会显著增加负载 firewall 。
  1. 使用流量链中的附加安全设备。 / SSL TLS 解密和 URL- 过滤功能应在它们之间分离(例如,第一台设备正在执行 URL 筛选,第二台设备正在执行 SSL / TLS 解密。

我们不建议禁用 SSL / TLS 解密,因为它会使您面临更高的风险。


Procedure



建议的解决方法的详细信息 (2)
此解决方法的概念是仿效 PanOS 中的第二个网络安全设备 NGFW ,以对 policy 流量的同一部分实施"解密"和"无解密"安全规则。 实现工作流程如下所述,但根据您的配置,可能需要进行一些更改

ATTENTION 。 Firewall由于活动 SSL 会话和 Web 浏览流量增加一倍,上述配置可能会显著增加负载。 考虑仅将其实施到敏感数据段,或使用 PBF (Policy 基于转发)来限制应检查两次流量的内容。

以下步骤应帮助您在 firewall 表示下面方案上的原则图的配置上构建配置。 下表表示网络接口配置。 来自内部安全区的流量应通过内部DMZ外部DMZ区域,在到达Internet区域之前由两个分离的虚拟路由器路由。 这允许您在每个交通路径部分(内部 - 内部DMZ和外部 - DMZ 互联网)上实施不同的安全规则集。

来自内部安全区的流量应通过内部 DMZ 和外部 DMZ 区域,在到达 Internet 区域之前由两个分离的虚拟路由器路由。 这允许您在每个交通路径部分(内部 - 内部和外部 - 互联网)上实施不同的安全规则 DMZ DMZ 集。
 
接口类型安全区虚拟路由器评论
以太网 1/1L3
出口
IP- 地址
互联网VR-2 
以太网 1/2L3
192.168.112.1/24
外部-DMZVR-2物理接口与以太网链路连接在一起
以太网 1/3L3
192.168.112.1/24
内部 -DMZVR-1
以太网 1/4L3
192.168.42.1/24
里面VR-1 

STEPS TO IMPLEMENT:
  1. 使用物理链路连接两个空置的以太网接口。 在此描述 中,将使用以太网 1/2 和以太网 1/3 作为参考。

  2. 以太网 1/2 和以太网 1/3配置为第 3 层类型接口(导航到网络>接口,选择接口并分配第 3 层接口类型。 将其他字段保留为默认字段)

  3. 创建新的 虚拟路由器。 我们将在此指南中提及此虚拟路由器 VR-2 。 分配接 VR-2以太网 1/2 和接口与 Internet 链接 (以太网 1/1 在图表上). 要执行最后一个操作,您可能需要从当前虚拟路由器取消分配此接口。

  4. 将接口以太网 1/3分配给已连接内部区域的虚拟路由器。 我们在此指南中提到此虚拟路由器 VR-1

  5. 创建新的安全区外部DMZ内部,DMZ并分别将其分配到以太网 1/2以太网 1/3的接口。

  6. 通过从相同的网络范围分配地址,配置界面以太网 1/2以太网 1/3( IP- 本指南中我们将使用192.168.112.1/24。  因此 ,以太网 1/2 配置为 IP- 地址 192.168.112.1/24 和 以太网 1/3 - IP- 地址 192.168.112.2/24)。 请参阅下面的屏幕截图。
通过从相同的网络范围分配地址,配置界面以太网 1/2 和以太网 1/3( IP- 本指南中我们将使用 192.168.112.1/24。 因此,以太网 1/2 配置为 IP- 地址 192.168.112.1/24 和以太网 1/3 - IP- 地址 192.168.112.2/24)。 请参阅下面的屏幕截图。
 
  1. 导航回虚拟路由器 (网络>)配置屏幕。 添加 静态路线,引导流量从 VR-1 VR-2
导航回虚拟路由器(网络>)配置屏幕。 添加静态路线,引导流量从 VR-1 VR-2 :
 
  1. VR-2 需要添加两条新的静态路线,将流量引导到内部 DMZ ,并将流量引导到 Internet:
您 VR-2 需要添加两条新的静态路线,将流量引导到内部 DMZ ,并将流量引导到 Internet:
 
  1. 您还需要调整 NAT policy 以反映更改。 对于出站流量,您需要 NAT policy 从内部区域(如果您有内区)中删除并将其添加到外部DMZ区域。 示例在下面的屏幕截图中
您还需要调整 NAT policy 以反映更改。 对于出站流量,您需要 NAT policy 从内部区域(如果您有内区)中删除并将其添加到外部 DMZ 区域。
 
  1. 提交配置后,您可以观察到每个传出连接创建了两个会话,一个在内部内部DMZ之间,另一个在外部DMZInternet之间。
提交配置后,您可以观察到每个传出连接创建了两个会话,一个在内部和内部 DMZ 之间,另一个在外部和 Internet 之间 DMZ 。
 
  1. 现在,您可以为传出流量创建两个解密Policy规则,对内部内部DMZ之间的流量应用"无解密"操作,外部DMZInternet之间的流量应用"解密"操作。  

现在,您可以为传出流量创建两个解密 Policy 规则,对内部和内部之间的流量应用"无解密 DMZ "操作,对外部和 Internet 之间的流量应用"解密"操作 DMZ 。
 

  1. 相应地调整 您的安全 Policy 规则以反映更改。 为了避免风险,与发现的渗滤方法相关,您需要对 URL 内部DMZ和外部>互联网内部>两个段的 DMZ  流量应用过滤。


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000008V4JCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language