如何 URL 强制过滤解 policy TLS 密 HTTPS 会话的握手
32606
Created On 08/04/20 19:32 PM - Last Modified 10/10/23 08:32 AM
Objective
在 KB 实施以下任何缓解措施之前,请参阅文章 URL 过滤清晰文本 HTTP 和加密 HTTPS 流量之间的文章查找和执行差异 。
为了 URL policy TLS 强制筛选解密 HTTPS 会话的握手,我们建议您使用以下任何一种解决方法:
- 在PanOS防火墙上的两个vsys之间路由出站流量,它们能够做到这 URL 一点,并在一个和 SSL / TLS 另一个vsys上执行筛选和/解密。
- 添加 2 个额外的安全区并路由它们之间的出站流量,以同时应用"解密"和"无解密"解密 policy 规则。 例如,您 NGFW 在应用"无解密"的内区到内部区域的流量中配置您的流量 DMZ ,然后通过"解密"规则从外部DMZ到Internet区域进行传递。 DMZ 下面详细介绍了此解决方法。 请注意,此配置可能会显著增加负载 firewall 。
- 使用流量链中的附加安全设备。 / SSL TLS 解密和 URL- 过滤功能应在它们之间分离(例如,第一台设备正在执行 URL 筛选,第二台设备正在执行 SSL / TLS 解密。
我们不建议禁用 SSL / TLS 解密,因为它会使您面临更高的风险。
Procedure
建议的解决方法的详细信息 (2)
此解决方法的概念是仿效 PanOS 中的第二个网络安全设备 NGFW ,以对 policy 流量的同一部分实施"解密"和"无解密"安全规则。 实现工作流程如下所述,但根据您的配置,可能需要进行一些更改
ATTENTION 。 Firewall由于活动 SSL 会话和 Web 浏览流量增加一倍,上述配置可能会显著增加负载。 考虑仅将其实施到敏感数据段,或使用 PBF (Policy 基于转发)来限制应检查两次流量的内容。
以下步骤应帮助您在 firewall 表示下面方案上的原则图的配置上构建配置。 下表表示网络接口配置。 来自内部安全区的流量应通过内部DMZ和外部DMZ区域,在到达Internet区域之前由两个分离的虚拟路由器路由。 这允许您在每个交通路径部分(内部 - 内部DMZ和外部 - DMZ 互联网)上实施不同的安全规则集。
接口 | 类型 | 安全区 | 虚拟路由器 | 评论 |
---|---|---|---|---|
以太网 1/1 | L3 出口 IP- 地址 | 互联网 | VR-2 | |
以太网 1/2 | L3 192.168.112.1/24 | 外部-DMZ | VR-2 | 物理接口与以太网链路连接在一起 |
以太网 1/3 | L3 192.168.112.1/24 | 内部 -DMZ | VR-1 | |
以太网 1/4 | L3 192.168.42.1/24 | 里面 | VR-1 |
STEPS TO IMPLEMENT:
使用物理链路连接两个空置的以太网接口。 在此描述 中,将使用以太网 1/2 和以太网 1/3 作为参考。
将以太网 1/2 和以太网 1/3配置为第 3 层类型接口(导航到网络>接口,选择接口并分配第 3 层接口类型。 将其他字段保留为默认字段)
创建新的 虚拟路由器。 我们将在此指南中提及此虚拟路由器 VR-2 。 分配接 VR-2 口 以太网 1/2 和接口与 Internet 链接 (以太网 1/1 在图表上). 要执行最后一个操作,您可能需要从当前虚拟路由器取消分配此接口。
将接口以太网 1/3分配给已连接内部区域的虚拟路由器。 我们在此指南中提到此虚拟路由器 VR-1 。
创建新的安全区:外部DMZ和内部,DMZ并分别将其分配到以太网 1/2和以太网 1/3的接口。
- 通过从相同的网络范围分配地址,配置界面以太网 1/2和以太网 1/3( IP- 本指南中我们将使用192.168.112.1/24。 因此 ,以太网 1/2 配置为 IP- 地址 192.168.112.1/24 和 以太网 1/3 - IP- 地址 192.168.112.2/24)。 请参阅下面的屏幕截图。
- 导航回虚拟路由器 (网络>)配置屏幕。 添加 静态路线,引导流量从 VR-1 VR-2 :
- 您 VR-2 需要添加两条新的静态路线,将流量引导到内部 DMZ ,并将流量引导到 Internet:
- 您还需要调整 NAT policy 以反映更改。 对于出站流量,您需要 NAT policy 从内部区域(如果您有内区)中删除并将其添加到外部DMZ区域。 示例在下面的屏幕截图中
- 提交配置后,您可以观察到每个传出连接创建了两个会话,一个在内部和内部DMZ之间,另一个在外部DMZ和Internet之间。
- 现在,您可以为传出流量创建两个解密Policy规则,对内部和内部DMZ之间的流量应用"无解密"操作,对外部DMZ和Internet之间的流量应用"解密"操作。
- 相应地调整 您的安全 Policy 规则以反映更改。 为了避免风险,与发现的渗滤方法相关,您需要对 URL 内部DMZ和外部>互联网内部>两个段的 DMZ 流量应用过滤。