Comment tester XFF pour la fonctionnalité de politique de sécurité ?

Comment tester XFF pour la fonctionnalité de politique de sécurité ?

12296
Created On 11/17/22 15:18 PM - Last Modified 01/03/25 03:27 AM


Objective


XFF en mode Politique de sécurité permet d'appliquer la politique de sécurité sur l'IP XFF au lieu de l'IP source. Cette fonctionnalité a été introduite dans PAN-OS 10.0
Cet article de connaissances aidera le lecteur à avoir une compréhension claire de XFF pour la politique de sécurité
  • Qu'est-ce que XFF?
  • Comment XFF est-il utilisé ?
  • Quelle configuration est requise pour activer XFF pour la règle de sécurité ?
  • Comment configurer une règle de sécurité pour contrôler les paquets par XFF
  • Comment surveiller les informations XFF sur le journal de trafic et le journal de filtrage d'URL
  • Sessions HTTPS

Environment


  • PAN-OS 10.0 ou version ultérieure
  • X-Forwarded-For (XFF)-For (XFF)

Procedure


  • Qu'est-ce que XFF?
X-Forwarded-For (XFF)-For est un en-tête HTTP
X-Forwarded-For (XFF)-For est un en-tête utilisé pour divulguer des informations sur le client qui a initié une requête HTTP , comme une adresse IP
image.png
  • Comment XFF est-il utilisé ?
Les proxys peuvent injecter des en-têtes XFF dans la requête HTTP
Les serveurs Web, les pare-feu, etc. peuvent l'utiliser pour déterminer quelle est l'adresse IP d'origine du client
image.png
  • Quelle configuration est requise pour activer XFF pour la règle de sécurité ?
Configuré sous Appareil > Configuration > ID de contenu > En-têtes X-Forwarded-For (XFF)-For
image.png
La journalisation XFF peut être activée dans le profil de filtrage URL . Cela ne peut pas être ajouté au profil de filtrage des URL par défaut . J'ai créé default-1.
image.png
  • Comment configurer la règle de sécurité pour contrôler les paquets par XFF?
J'ai configuré 2 règles pour qu'elles correspondent soit à l'IP SRC, soit à l'IP XFF :
image.png
  • Comment pouvons-nous surveiller les informations XFF sur le journal de trafic et le journal de filtrage d'URL ?
Si j'envoie une requête HTTP avec une IP XFF de 10.1.1.1 :
# curl -H "X-Forwarded-For (XFF)-For: 10.1.1.1" http://portquiz.net
image.png
Il existe désormais une IP XFF de 10.1.1.1, elle correspond donc à la règle pour ?XFF_IP_Rule?.
Le journal du trafic affiche x-fwd-for: 10.1.1.1 comme ?X-FORWARDED-FOR IP?
image.png

Le journal de filtrage URL affiche x-fwd-for: 10.1.1.1 comme ? Utilisateur Source ?. Cela enregistre uniquement si le trafic atteint une action qui déclenche une alerte (comme Bloquer, Continuer ou Alerter)
image.png

S'il n'y a pas d'IP XFF , cela correspond à la règle ?SRC_IP_Rule? comme d'habitude.
image.png
image.png
image.png

  • Sessions HTTPS
Pour les sessions HTTPS , vérifiez si la session est déchiffrée ou non. HTTPS doit être déchiffré pour que nous puissions lire le XFF .
image.png

Si j'envoie une requête HTTPS avec une IP XFF de 10.1.1.1 :
# curl -k --header "X-Forwarded-For (XFF)-For: 10.1.1.1" https://portquiz.takao-tech.com
image.png
image.pngimage.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFEpCAM&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language