Wie testet man XFF auf die Merkmal?

Wie testet man XFF auf die Merkmal?

12296
Created On 11/17/22 15:18 PM - Last Modified 01/03/25 03:29 AM


Objective


XFF im Sicherheitsrichtlinienmodus ermöglicht die Durchsetzung der Sicherheitsrichtlinie auf der XFF -IP statt auf der Quell-IP. Diese Merkmal wurde in PAN-OS 10.0 eingeführt.
Dieser Wissensartikel vermittelt dem Leser ein klares Verständnis von XFF für Sicherheitsrichtlinien.
  • Was ist XFF?
  • Wie wird XFF verwendet?
  • Welche Konfiguration ist erforderlich, um XFF für die Regel zu aktivieren?
  • So konfigurieren eine Regel zur Paketsteuerung durch XFF
  • So überwachen XFF Informationen im Verkehrsprotokoll und im URL- filtern
  • HTTPS Sitzungen

Environment


  • PAN-OS 10.0 oder höher
  • X-Forwarded-For (X-Forwarded-For-Header, XFF)-Für (XFF)

Procedure


  • Was ist XFF?
X-Forwarded-For (X-Forwarded-For-Header, XFF)-For ist ein HTTP Header
X-Forwarded-For (X-Forwarded-For-Header, XFF)-For ist ein Header, der verwendet wird, um Informationen über den Client offenzulegen, der eine HTTP anfordern/Anforderung initiiert hat, beispielsweise eine IP-Adresse
bild.png
  • Wie wird XFF verwendet?
Proxys können XFF -Header in die HTTP Anfrage einfügen
Webserver, Firewalls usw. können dies verwenden, um die ursprüngliche Client-IP zu ermitteln
bild.png
  • Welche Konfiguration ist erforderlich, um XFF für die Regel zu aktivieren?
Konfigurierbar unter Gerät > Setup > Content-ID > X-Forwarded-For (X-Forwarded-For-Header, XFF)-For Headers
bild.png
XFF Logging kann im URL Filterprofil aktiviert werden. Dies kann nicht zum ? Standard(-)? URL Filterungsprofil hinzugefügt werden. Ich habe defaul-1 erstellt.
bild.png
  • Wie konfigurieren wir die Regel zur Paketsteuerung durch XFF?
2 Regeln konfiguriert, die entweder mit der SRC-IP oder der XFF IP übereinstimmen:
bild.png
  • Wie können wir XFF Informationen im Verkehrsprotokoll und im URL filtern überwachen ?
Wenn ich eine HTTP anfordern/Anforderung mit einer XFF IP von 10.1.1.1 sende:
# curl -H "X-Forwarded-For (X-Forwarded-For-Header, XFF)-For: 10.1.1.1" http://portquiz.net
bild.png
Jetzt gibt es eine XFF -IP von 10.1.1.1, sie entspricht also der Regel für ?XFF_IP_Rule?.
Das Traffic Log zeigt x-fwd-for: 10.1.1.1 als ?X-FORWARDED-FOR IP?
bild.png

Das URL Filterprotokoll zeigt x-fwd-for: 10.1.1.1 als ? Quelle ?. Dies wird nur protokolliert, wenn der Datenverkehr auf eine Aktion trifft, die eine Warnung ausgibt (wie Blockieren, Fortsetzen oder Warnen).
bild.png

Wenn keine XFF -IP vorhanden ist, gilt wie üblich die Regel „SRC_IP_Rule“.
bild.png
bild.png
bild.png

  • HTTPS Sitzungen
Überprüfen Sie bei HTTPS -Sitzungen, ob die Sitzung entschlüsselt ist oder nicht. HTTPS muss entschlüsselt sein, damit wir das XFF lesen können.
bild.png

Wenn ich eine HTTPS anfordern/Anforderung mit einer XFF IP von 10.1.1.1 sende:
# curl -k --header "X-Forwarded-For (X-Forwarded-For-Header, XFF)-For: 10.1.1.1" https://portquiz.takao-tech.com
bild.png
bild.pngbild.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFEpCAM&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language