セキュリティポリシー機能のXFF をテストするにはどうすればよいでしょうか?

12298

Created On 11/17/22 15:18 PM - Last Modified 01/03/25 03:34 AM

Objective

セキュリティポリシーモードのXFFでは、ソースIPではなくXFF IPにセキュリティポリシーを適用できます。この機能はPAN-OS 10.0で導入されました。
このナレッジ記事は、読者がセキュリティポリシーのためのXFFを明確に理解するのに役立ちます。

XFFとは何ですか?
XFFはどのように使用されますか?
セキュリティルールに対してXFF を有効にするには、どの設定が必要ですか?
XFFによるパケット制御のセキュリティルールのコンフィグ方法
トラフィックログとURLフィルタリングログでXFF情報を監視する方法
HTTPSセッション

Environment

PAN-OS 10.0 以降
X-Forwarded-For ( X-Forwarded-For -XFF)-For (XFF) 転送

Procedure

XFFとは何ですか?

X-Forwarded-For ( X-Forwarded-For -XFF)-ForはHTTPヘッダーです
X-Forwarded-For ( X-Forwarded-For -XFF)-Forは、 IPアドレスなど、 HTTP要求を開始したクライアントに関する情報を公開するために使用されるヘッダーです。
画像.png

XFF はどのように使用されますか?

プロキシはHTTPリクエストにXFFヘッダーを挿入できる
ウェブサーバー、ファイアウォールなどはこれを使用して元のクライアントIPが何であるかを判断できます。
画像.png

セキュリティルールに対してXFF を有効にするには、どの設定が必要ですか?

デバイス > セットアップ > Content-ID > X-Forwarded-For ( X-Forwarded-For -XFF)-Forヘッダーで設定
画像.png

XFFロギングはURLフィルタリングプロファイルで有効にできます。これは、?デフォルト? URLフィルタリングプロファイルには追加できません。私は default-1 を作成しました。
画像.png

XFFでパケットを制御するためのセキュリティルールをどのようにコンフィグか?

SRC IP またはXFF IP のいずれかに一致するように 2 つのルールを構成しました。
画像.png

トラフィックログと URLフィルタリングログでXFF情報を監視するにはどうすればよいですか?

XFF IP 10.1.1.1 でHTTP要求を送信する場合:
# curl -H " X-Forwarded-For ( X-Forwarded-For -XFF)-For: 10.1.1.1 " http://portquiz.net
画像.png

現在、 XFF IP は 10.1.1.1 なので、?XFF_IP_Rule? のルールと一致します。
トラフィックログには、 x-fwd-for: 10.1.1.1 が「X-FORWARDED-FOR IP」として表示されます。
画像.png

URLフィルタリングログには、x-fwd-for: 10.1.1.1 が「送信元ユーザー」として表示されます。これは、トラフィックが警告するアクション (ブロック、続行、警告など) にヒットした場合にのみログに記録されます。
画像.png

XFF IP がない場合、通常どおりルール「SRC_IP_Rule」に一致します。
画像.png

HTTPSセッション

HTTPSセッションの場合、セッションが復号化されているかどうかを確認します。XFFを読み取るには、 HTTPSを復号化する必要があります。
画像.png

XFF IP 10.1.1.1 でHTTPS要求を送信する場合:
# curl -k --header " X-Forwarded-For ( X-Forwarded-For -XFF)-For: 10.1.1.1 " https://portquiz.takao-tech.com
画像.png

セキュリティ ポリシー機能のXFF をテストするにはどうすればよいでしょうか?

Objective

Environment

Procedure

Other users also viewed:

セキュリティポリシー機能のXFF をテストするにはどうすればよいでしょうか?