¿Cómo probar XFF para la función de política de seguridad?

¿Cómo probar XFF para la función de política de seguridad?

12296
Created On 11/17/22 15:18 PM - Last Modified 01/03/25 03:30 AM


Objective


XFF en modo de política de seguridad permite que la política de seguridad se aplique en la IP de XFF en lugar de en la IP de origen. Esta función se introdujo en PAN-OS 10.0
Este artículo de conocimiento ayudará al lector a tener una comprensión clara de XFF para la política de seguridad.
  • ¿Qué es XFF?
  • ¿Cómo se utiliza XFF ?
  • ¿Qué configuración se requiere para habilitar XFF para la regla de seguridad?
  • Cómo configurar una regla de seguridad para controlar paquetes mediante XFF
  • Cómo supervisar la información XFF en el registro de tráfico y el registro de filtrado de URL
  • Sesiones HTTPS

Environment


  • PAN-OS 10.0 o posterior
  • X-Forwarded-For (X reenviado para - XF) (XFF)

Procedure


  • ¿Qué es XFF?
X-Forwarded-For (X reenviado para - XF)-For es un encabezado HTTP
X-Forwarded-For (X reenviado para - XF)-For es un encabezado utilizado para revelar información sobre el cliente que inició una solicitud HTTP , como una dirección IP.
imagen.png
  • ¿Cómo se utiliza XFF ?
Los servidores proxy pueden inyectar encabezados XFF en la solicitud HTTP
Los servidores web, firewalls, etc. pueden usar esto para determinar cuál es la IP original del cliente.
imagen.png
  • ¿Qué configuración se requiere para habilitar XFF para la regla de seguridad?
Configurado en Dispositivo > Configuración > Content-ID > Encabezados X-Forwarded-For (X reenviado para - XF)-For
imagen.png
El registro XFF se puede habilitar en el perfil de filtrado de URL . No se puede agregar al Perfil de filtrado de URL valor predeterminado . Creé defaul-1.
imagen.png
  • ¿Cómo configurar la regla de seguridad para controlar paquetes por XFF?
Se configuraron 2 reglas para que coincidan con la IP de SRC o la IP de XFF :
imagen.png
  • ¿Cómo podemos supervisar la información XFF en el registro de tráfico y el registro de filtrado de URL?
Si envío una solicitud HTTP con una IP XFF de 10.1.1.1:
# curl -H "X-Forwarded-For (X reenviado para - XF): 10.1.1.1" http://portquiz.net
imagen.png
Ahora hay una IP XFF de 10.1.1.1, por lo que coincide con la regla para ?XFF_IP_Rule?.
El Log de tráfico muestra x-fwd-for: 10.1.1.1 como ?X-FORWARDED-FOR IP?
imagen.png

El registro de filtrado de URL muestra x-fwd-for: 10.1.1.1 como "Usuario de Origen" . Esto solo se registra si el tráfico alcanza una acción que genera alertas (como Bloquear, Continuar o Alertar).
imagen.png

Si no hay ninguna IP XFF , coincide con la regla ?SRC_IP_Rule? como de costumbre.
imagen.png
imagen.png
imagen.png

  • Sesiones HTTPS
Para las sesiones HTTPS , verifique si la sesión está descifrada o no. HTTPS debe estar descifrado para que podamos leer el XFF .
imagen.png

Si envío una solicitud HTTPS con una IP XFF de 10.1.1.1:
# curl -k --header "X-Forwarded-For (X reenviado para - XF): 10.1.1.1" https://portquiz.takao-tech.com
imagen.png
imagen.pngimagen.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFEpCAM&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language