URL 过滤清晰文本和加密流量之间的查找和执行差异 HTTP HTTPS
28111
Created On 08/12/20 22:08 PM - Last Modified 03/26/21 18:33 PM
Objective
KB本文描述了 URL policy 在会话设置过程中如何应用过滤, HTTP firewall 以及在各种清晰文本和加密情景中的行为。
URL 过滤 policy 允许网络和 Web 安全管理员按类别控制对网站的访问 URL ,并用于强制执行 Web 可接受的使用 policy AUP ()以及执行关键安全功能,例如阻止访问已知恶意网址(包括恶意软件、网络钓鱼、命令和控制以及其他高风险网站)。 哪些数据用于执行 URL 类别查找以及 policy 执行如何影响流量的具体细节取决于几个因素,并详细描述如下。
Procedure
清除文本 HTTP Web 交易
当 Web 交易通过清除文本 HTTP (通常为端口 80)执行时, URL 筛选 policy 检查 HTTP URL 客户端请求中的主机和路径标题以执行。 firewall可以在 policy 初始请求数据包传出到 Web 之前配置为查找 firewall 和执行,或者为了增加性能,在发送初始请求数据包后可能会进行查找和执行,如果 policy 查找导致阻止操作,则后续数据包将被阻止。 (有关此设置和其他筛选配置参数的更多信息 URL ,请在 PAN-OS "管理指南"中找到,可在此处找到 pan-os :https://docs.paloaltonetworks.com//10-0/ pan-os -admin/url-filtering/configure-url-filtering.html)加密 Web
HTTPS 交易
如果通过加密 HTTPS (通常端口 443)执行网络交易, URL 筛选 policy 将检查 SNI TLS 客户端你好握手中的服务器名称指示 () 字段。 可以在 firewall 初始请求数据包进入 Web 之前进行配置以查找和执行 policy firewall , 或为了提高性能,在发送初始请求包后可能会进行查找和执行,如果查找导致阻止操作,则后续数据包将被阻止。 解 policy
密的 Web HTTPS 交易
如果通过加密执行 Web 交易 HTTPS ,并且管理员已配置解密 Web 事务解密的解密规则, URL 筛选 policy 会检查 HTTP URL 客户端请求中的主机和路径标题,但不考虑 SNI 客户端 Hello 握手中的字段 TLS 。 之所以这样做,是因为请求标题中的合并主机和 URL 路径 HTTP 提供了更精细的信息,可用于执行更具体 URL 的类别查找以查找执行情况。
注意: 虽然这会导致更准确、更具体 URL 的类别匹配,但它会导致客户端 Hello 消息的出口 TLS 被传输,然后 URL 才能根据 HTTP 客户端发送的后续请求进行过滤检查。 这会通过在握手过程中使用字段交换数据,在网络内受损的主机和 Internet 上的恶意 Web 服务器之间出现双向 TLS 数据通道的风险。 建议对解密会话中涉及此行为的客户 HTTPS 执行以下两种选项中的任何一种:
- Palo Alto 网络公司目前正在开发一个 PAN-OS 软件更新,通过 URL policy 在 TLS SNI 字段和主机上添加筛选检查 HTTP 以及 URL 解密交易的标题 HTTPS 来解决此行为。 PSIRT与此问题相关的咨询CVE-2020(-2035)将在软件更新可用时更新。
- 对于希望立即降低上述风险的客户,可以查看 KB 文章 "如何 URL policy TLS 对解密 HTTPS 会话的握手实施过滤,以便在必要时评估和部署解决方法选项。
注意:此问题仅影响 HTTPS 使用 HTTPS 远期代理解密解密的流量 policy ,并且只能由已经泄露网络内部主机并寻求使用此特定技术执行命令和控制的攻击者使用。