明确拒绝 Policy 允许某些流量泄漏
19307
Created On 09/24/20 21:44 PM - Last Modified 03/26/21 18:39 PM
Symptom
- A firewall 配置为明确拒绝前往特定目的地的流量的安全规则。 在下图中 ,example.com 的流量被拒绝:
GUI: 安全>政策
- 但是,嗅探器捕获指示允许流量到此目标:
- 流量日志进一步确认到目标数据包的数据包正在达到配置的安全性:
GUI: 监控>流量
Environment
- 一个尼 PAN-OS
- 帕洛阿尔托防火墙 (两者 VM 和 Hardware )
- 已配置身份验证策略(强制门户)。
- 已配置安全策略。
Cause
每当在上面配置 身份验证 policy firewall 并有交通匹配时 policy ,无论该流量设置的行动如何,都允许某些 policy 流量通过。
这是因为身份验证与授权脱钩。 第一个线索来自上面显示的流量日志,其中"会话结束原因"为第一个流量的"身份 policy 验证-重定向"。
前面的流量以policy"-拒绝"结尾。
一旦三向握手完成,终点将发送一个 HTTP-GET ( HTTP 用于流量)或服务器 Hello(在 HTTPS 允许的情况下)(如早期嗅探器捕获中所示)。然后将主机重定向到捕获门户进行身份验证:
嗅探器跟踪 HTTPS :
捕获的服务器证书是捕获门户的服务器证书,指示用户被重定向到身份验证。 对于 HTTP 查询,重定向看起来不同,更明显。 下面的屏幕截图中的第 23 帧说明了这一点:
嗅探器跟踪 HTTP :
安全 policy 操作直到用户验证后才应用。 用户进行身份验证后,流量将被拒绝或阻止。
Resolution
为此的解决方案是将拒绝的流量排除在身份验证策略中。请注意,很少有使用案例需要交通认证的流量被 policy 拒绝。 这会导致处理器周期的使用效率低下,具体取决于要验证和随后拒绝的流量的规模/数量。